Informations sur le malware Ransomware

  • N°Id de l'article : 119006
  • Note :
  • 5 clients ont donné une note de 2.8 sur 6 à cet article
  • Mis à jour : 04 févr. 2015

Cet article vous fournit plus de renseignements sur les menaces nommées « ransomware » et répond aux questions les plus couramment posées.

S'applique aux produits et aux versions Sophos suivants
Aucun produit spécifique

Système(s) d'exploitation
Windows uniquement

Qu'est-ce qu'un Ransomware ?

Ransomware est un logiciel malveillant qui vous demande de payer une rançon si vous voulez récupérer l'accès à votre ordinateur ou à vos fichiers.  Les SophosLabs ont détecté deux types de ransomware :

  • Chiffre les fichiers/dossiers personnels (par exemple, le contenu du dossier Mes documents : documents, feuilles de calcul, photos, vidéos).  Les fichiers sont supprimés du dossier dès qu'ils ont été chiffrés et vous retrouvez généralement un fichier texte dans ce dossier contenant des instructions pour le paiement de la rançon.  Il se peut qu'un écran verrouillé apparaisse lorsque vous tentez d'accéder au dossier selon les variantes utilisées.  En cas contraire, il se peut que vous ayez juste un problème lorsque vous essayez d'ouvrir vos fichiers.  Ce type de ransomware est appelé « file encryptor ». Par exemple, CryptoLocker est un « file encryptor » détecté par Sophos Anti-Virus sous le nom de Troj/Ransom-ACP.

  • « Verrouille » l'écran (affiche une image en plein écran qui bloque toutes les autres fenêtres) et demande le paiement d'une rançon.  Aucun fichier personnel n'est chiffré.  Des captures d'écran illustrant ce type de comportement sont affichées ci-dessous (cliquez dessus pour les agrandir).  Ce type de ransomware est appelé « WinLocker ».
capture d'écran de ransomware

Il existe également le « ransomware MBR ».  Le secteur de démarrage principal (MBR ou Master Boot Record) est une section du disque dur de l'ordinateur qui permet au système d'exploitation de démarrer.  Le ransomware MBR modifie le secteur de démarrage principal de l'ordinateur afin que le processus normal de démarrage soit interrompu et qu'une demande de rançon apparaisse à l'écran à sa place.

CryptoLocker en action

CryptoLocker est un type plus récent de ransomware qui chiffre les fichiers personnels et qui demande ensuite le paiement d'une rançon de 300 dollars US pour vous les restituer. Retrouvez le en action dans la vidéo ci-dessous.

Quels systèmes d'exploitations sont susceptibles d'être attaqués ?

De même que beaucoup d'autres malwares, la majorité des ransomwares cible essentiellement le système d'exploitation Windows de Microsoft.

Est-ce que Sophos Endpoint Security and Control protège mon ordinateur contre les ransomwares ?

Oui, mais sachez que les programmeurs de malwares ne cessent jamais de mettre à jour et de publier de nouvelles variantes et familles de leurs programmes malveillants.  Il est impératif que vous vous mainteniez à jour avec les éditions les plus récentes des produits Sophos et que vous vous assuriez que tous vos ordinateurs respectent nos conseils pratiques en matière de configuration de Sophos Anti-Virus.

Les articles suivants sont très utiles :

Comment un ordinateur peut-il être infecté par un ransomware ?

Vecteur d'infection Comment... Conseil
Email de SPAM En ouvrant les pièces jointes d'email de SPAM.

Administrateur informatique :

  • Empêchez les emails de SPAM d'atteindre les boîtes de réception des utilisateurs.
  • Enseigner aux utilisateurs à ne pas ouvrir les pièces jointes qu'ils ne s'attendaient pas à recevoir.
  • Assurez-vous que l'antivirus local est mis à jour sur tous les ordinateurs et qu'il fonctionne (vérifiez que l'utilisateur ne l'a pas désactivé).
  • Assurez-vous que vos partages centralisés (emplacement de mise à jour des ordinateurs d'extrémité) reçoivent bien les mises à jour à partir de Sophos Update Manager. Veuillez vérifier votre console.

Utilisateur régulier :

  • Évitez d'ouvrir des pièces jointes d'email que vous ne vous attendiez pas à recevoir.
  • Méfiez-vous des pièces jointes d'email vous invitant à répondre rapidement ou de ne « pas hésiter plus longtemps » et de cliquer sur ces pièces jointes sans vous demander d'où elles proviennent.
  • Vérifiez qu'il n'y a pas de croix rouge ou de triangle d'avertissement sur le bouclier Sophos dans la zone de notification et s'assurer.
    Bon Mauvais
      
    Placez le curseur de votre souris sur le bouclier et assurez-vous que « Contrôle sur accès : Désactivé » n'est pas affiché.
    Bon
    Mauvais
    Cliquez deux fois sur le bouclier Sophos pour ouvrir le programme.  Dans le volet de gauche sous le panneau « État », assurez-vous que la valeur « Dernière mise à jour » est récente...

    ...la date qui apparaît lorsque vous passez la souris sur le bouclier n'indique pas une mise à jour récente de la protection mais uniquement la date à laquelle le logiciel a contacté la source de mise à jour et s'est synchronisé.
  • Contacter votre service informatique en cas de doute.
Botnet Votre ordinateur était déjà infecté par des malwares mais pas par un ransomware qui a chiffré les fichiers. Vous n'avez sans doute pas réalisé qu'un malware est exécuté sur votre ordinateur. Le botnet présent actuellement à pour but d'agir en tant que commande de « mise à niveau » qui va permettre aux escrocs de mettre à jour ou remplacer le malware déjà présent sur votre ordinateur ou d'ajouter de nouveaux programmes malveillants. Assurez-vous que (tous) vos ordinateurs sont mis à jour et exécuter un contrôle intégral localement ou à partir de la console.
Exploitation des vulnérabilités du système d'exploitation ou du logiciel Le malware exploite une faille de sécurité du système d'exploitation de l'ordinateur ou d'une application installée sur l'ordinateur installé. Assurez-vous que (tous) vos ordinateurs sont mis à jour avec les correctifs de Microsoft.  Il est important d'effectuer une « Mise à jour Windows » régulièrement.  Nous mettons Sophos Patch à disposition des administrateurs informatiques afin de leur permettre de rechercher les ordinateurs n'ayant pas les derniers correctifs de système d'exploitation ou logiciels.  Retrouvez plus d'informations dans l'article 114162.

Retrouvez plus de renseignements sur les techniques de diffusion dans l'article technique des SophosLabs sur Ransomware : la nouvelle génération de faux antivirus

Les articles suivants sont très utiles :

Quelle est la différence entre un ransomware et un faux antivirus ?

Les WinLockers, les « file encryptors » et autres malwares qui affectent le secteur de démarrage principal de l'ordinateur avec des demandes de rançon (décrits en détail au début de cet article) sont des ransomwares.  Le faux antivirus prétend trouver des fichiers malveillants sur votre ordinateur et vous invite à payer ses services pour les éliminer.

Les deux pratiquent l'extorsion de fonds mais de différentes manières.

Que dois-je faire de plus pour protéger mon ordinateur contre les ransomwares ?

Assurez-vous que vos ordinateurs exécutent la version la plus récente de votre logiciel et qu'ils sont à jour avec les fichiers d'identités sur les virus.  Veillez également à configurer votre logiciel afin de bénéficier d'une protection optimale.

Si vous êtes un administrateur réseau, formez vos utilisateurs à une navigation sécurisée sur Internet et envisagez d'utiliser une solution de sécurité multiniveaux tel que notre solution UTM (Unified Threat Management).

Les articles suivants sont très utiles :

Sous quels noms sont détectés les ransomwares ?

  • HPMal/Matsnu-A
  • CXmal/RnsmLnk-A
  • Troj/RansmMem-A
  • Troj/RevetMem-A
  • Troj/Ransom-*
  • Mal/Ransom-*
  • Mal/Reveton-*
  • Troj/Matsnu-*

D'autres détections comme Mal/Encpk-* sont également plus génériques et incluent à la fois les ransomwares et d'autres malwares qui partage des propriétés communes.

Identification de fichiers malveillants et envoi d'échantillons

Si un fichier malveillant n'est pas détecté ou si le nettoyage d'une infection est incomplet, vous allez devoir identifier les fichiers malveillants et envoyer des échantillons aux SophosLabs pour une analyse détaillée.

Si vous ne pouvez pas identifier de fichiers malveillants et que vous avez accès à l'ordinateur (localement ou à distance), téléchargez la version ZIP de Sophos Diagnostic Utility et lancez la version par lignes de commande avec le commutateur « -malware » (retrouvez plus de renseignements dans l'article 116537 sur le commutateur de malwares). Effectuez ensuite une demande de support pour envoyer le fichier journal de sortie au support technique de Sophos en expliquant en détails la situation et vos observations.

Dès que les SophosLabs auront analysés les fichiers, qu'une mise à jour aura été publiée et que votre ordinateur aura reçu cette mise à jour, vous pourrez lancer un contrôle intégral de l'ordinateur (soit localement, soit à partir de la console) pour supprimer définitivement l'infection.

Les articles suivants sont très utiles :

Comment supprimer les fichiers malveillants détectés sur mon ordinateur ?

Si vous êtes certain de la présence de fichiers malveillants non détectés sur votre ordinateur, consultez la section Identification de fichiers malveillants et envoi d'échantillons ci-dessus avant de lancer un contrôle intégral.  Si vous n'êtes pas certain ou que vous avez envoyé des échantillons et qu'une mise à jour a été publiée, veuillez lancer un contrôle intégral du système :

Que faire si les fichiers sont chiffrés ?

Vos données ne peuvent pas être récupérées et nous ne sommes malheureusement pas en mesure de les récupérer pour vous. La récupération est techniquement impossible à effectuer.

Lorsque tous les fichiers malveillants ont été supprimés, remplacez les fichiers chiffrés par une sauvegarde récente.

Remarque : il était auparavant possible de déchiffrer les fichiers chiffrés par les premières versions des ransomwares.  Aujourd'hui en revanche, les versions les plus récentes ont recours à un système de clé publique et privée. La clé publique sert à chiffrer tandis que la clé privée sert à déchiffrer.  La clé privée est hébergée sur un serveur central maintenu par les escrocs et n'est donc pas accessible.

Que dois-je faire si je ne peux plus accéder à mon ordinateur ?

Remarque : si vous ne pouvez plus accéder à votre ordinateur, qu'un message d'avertissement est affiché (cf. les captures d'écran ci-dessus) et que vous savez que tous vos fichiers personnels n'ont pas été chiffrés (par exemple, en utilisant le mode sans échec ou en accédant à votre ordinateur via un autre ordinateur du réseau), vous êtes infecté par un ransomware de type WinLocker.

Si vous avez accès à un seul ordinateur (celui qui est infecté), essayez ce qui suit :

  • Connectez-vous à l'ordinateur sous un autre compte d'utilisateur (pour contourner le malware s'il ne prend que pour cible votre compte d'utilisateur actuel).
  • Redémarrez l'ordinateur en mode sans échec.

Si vous ne parvenez pas à accéder à votre ordinateur localement, vous allez devoir y accéder à partir d'un autre ordinateur du réseau (voir ci-dessous).

Si l'ordinateur infecté est connecté au même réseau que l'ordinateur non infecté, veuillez :

  • Exécuter Sophos Diagnostic Utility à distance en vous conformant aux instructions de l'article 112981.
  • Utiliser les programmes Windows et les techniques d'administration réseau pour examiner la nature de l'infection : connexion à distance à l'éditeur de registre ; tasklist.exe ; taskkill.exe ; navigation dans le partage C$.

Lorsque vous avez accès à l'ordinateur, identifiez les fichiers qui permettent à l'écran de verrouillage d'apparaître.  Retrouvez plus de renseignements à la section Identification de fichiers malveillants et envoi d'échantillons ci-dessus.

Où puis-je trouver des informations supplémentaires sur les ransomware ?

Veuillez consulter la présentation ci-dessous ou sur Brainshark.

Retrouvez plus de renseignements et d'exemples de ransomwares sur notre source d'actualités et inscrivez-vous à notre blog nakedsecurity.

Si vous ne l'avez pas encore fait, nous vous invitons à lire notre article au format PDF sur les ransomwares : Ransomware : la nouvelle génération de faux antivirus.

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires