Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Ransomwares : pour le FBI, il est parfois nécessaire de payer

Merci pour le tuyau

Ransomwares : pour le FBI, il est parfois nécessaire de payer

Le 28 octobre 2015 à 16h03

Lors d’une conférence sur la sécurité qui s’est tenue la semaine dernière, le FBI a clairement indiqué être relativement impuissant face aux ransomwares, ces logiciels qui chiffrent les données de l’utilisateur avant de lui réclamer une rançon.

Les ransomwares sont devenus une menace « banale » pour les utilisateurs. Il s’agit de petits logiciels que le pirate amène à exécuter par des moyens détournés. Le moyen le plus commode reste une pièce jointe infectée dans un email, et on ne répètera jamais assez qu’il est nécessaire de contrôler la provenance d’un courrier avant d’en ouvrir les fichiers contenus. Notez que l’exécution peut également se faire grâce à l’exploitation d’une faille 0-day, et donc pour laquelle il n’existe pas de correctif durant les premiers temps.

Des attaques qui se répandent

Une fois que le logiciel est lancé, son objectif devient très simple. Dans un premier temps, il chiffre l’ensemble des données importantes. L’utilisateur n’y a donc plus accès. Les données stockées dans le cloud sont épargnées si aucun client de synchronisation n’est installé, sinon les changements sont répercutés également sur les serveurs. Après tout, pour un OneDrive ou un Dropbox, il s’agit simplement de modifications. Dans un deuxième temps, l’utilisateur est invité à payer pour retrouver ses données. Un compte à rebours peut d’ailleurs être présent.

Dans un document datant de juin, le FBI abordait la situation. Son Internet Crime Complaint Center (IC3) confirmait que la tendance était à l’augmentation du nombre de cas et que les victimes se multipliaient. CryptoWall et ses variantes étaient particulièrement impliqués et le centre précisant qu’en un an (entre juin 2014 et 2015), 992 plaintes liées à ce seul ransomware avaient été enregistrées, générant un profit de 18 millions de dollars pour les pirates, soit en moyenne 18 000 dollars par victime.

« Nous conseillons souvent aux gens de payer simplement la rançon »

Le conseil donné était alors de contacter l’antenne locale du FBI. Plusieurs mois plus tard, il n’a pas changé, mais il s’accompagne d’un constat assez défaitiste. Joseph Bonavolonta, en charge de cette lutte dans les bureaux de Boston, participait la semaine dernière au Cyber Security Summit 2015. Il confirmait que ces malwares particuliers étaient redoutables et que les études menées n’avaient pas mené à des résultats probants : « Le ransomware est bon à ce point. Pour être honnêtes, nous conseillons souvent aux gens de payer simplement la rançon ».

Un conseil étonnant, et qui s’oppose clairement à la recommandation en France de l’initiative StopRansomware, soutenue par la Gendarmerie nationale : « Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu ». Mais le FBI n’a pas tout à fait la même analyse. D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.

Car le conseil le plus important est finalement le même que celui donné en France par le ministère de l’Intérieur : sauvegarder ses données. Bonavolonta explique ainsi qu’une entreprise réalisant régulièrement des sauvegardes n’a aucun besoin de payer une rançon : il suffit de restaurer les données depuis le dernier bon état connu. Un antivirus est également essentiel, ne serait-ce que pour scanner ladite sauvegarde et donc ne pas réinstaller le logiciel malveillant.

Commentaires (92)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je trouve le mot assez ridicule aussi <img data-src=" />

votre avatar







John Shaft a écrit :



Désormais ? C’est standardisé depuis 1994 pour les systèmes Unix. Et je suppose que ça entérine des années de pratique. ‘fin bon sous Linux, pas de problèmes de ce type à ma connaissance <img data-src=" />





Unix, comme Os grand public, on fait mieux… <img data-src=" />

&nbsp;Sur mac, cela a demarré avec os X, sur windows, tu dois savoir.

un pc est sensible aux noms et aux emplacements. il est con .


votre avatar

Bien gentil le restore. faut-il encore savoir quand le ransomware a été installé pour pas faire de restore avec le problème

votre avatar

“D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée.“On peut voir dans l’autre sens, si personne ne payait, alors aucune rançon ne serait demandée, et les auteurs de ces saloperies seraient passés à autre chose/ne pratiqueraient pas ça.

votre avatar

mais +1000 !

Darwin rullz

votre avatar







SFX-ZeuS a écrit :



C’est très con alors les antivirus pourrait facilement se baser sur les entête pour se rendre compte qu’un logiciel est en train d’encrypter des fichiers, le bloquer et demander l’approbation à l’utilisateur.

Mais bon si ils font ça j’image que ces ransomwares seront vite modifié pour laisser le début du fichier intact…





Sauf que si l’antivirus ne détecte rien tu es fait comme un rat.

Cette année j’ai eu 2 infections sur des machines du boulot. L’antivirus TrendMicro n’a strictement rien vu à aucun moment.

Si je m’en suis aperçu, c’est parce que je n’utilise pas l’AV de l’entreprise mais NOD32, qui lui m’a alerté lors d’une copie automatisée. J’ai du restaurer environ 200 000 fichiers PDF et Excel. J’ai perdu environ une centaine de documents du jour car je ne peux pas activer l’historique sur un serveur (2000).

Bref, faire confiance à un AV face à ces merveilles -il faut le dire- de ransomwares, c’est quand même aléatoire comme solution : il faut des backups solides.


votre avatar

Je n’ai jamais dit que les antivirus étaient capable de gérer ces ransomwares

votre avatar







John Shaft a écrit :



Désormais ? C’est standardisé depuis 1994 pour les systèmes Unix. Et je suppose que ça entérine des années de pratique. ‘fin bon sous Linux, pas de problèmes de ce type à ma connaissance <img data-src=" />





Toujours pareil le soucis vient de l’interface chaise clavier qui ouvre une PJ contaminé rien n’empêche que l’utilisateur sous Linux l’ouvre et saisisse le mot de passe. Certains ont installé des Linux chez leurs parents ou amis qui ne se servent du PC que pour surfer et donc ça ne fait pas d’eux des utilisateurs plus avertit que d’autres. Il y a des naïfs sur tout les OS.


votre avatar

Ah c’est facile de parler de “grand public” à posteriori <img data-src=" />



Sous Windows, c’est apparu avec Win 95 non ?

votre avatar

Le bitcoin et autres crypto monnaies sont des facilitateurs pour le paiement des rançons de façon secure pour les pirates !

L’absence d’intermédiation n’a pas que du bon !&nbsp;

votre avatar

Certains logiciels de rançon te désactivent tes snapshots avant de te la mettre&nbsp;<img data-src=" />

Même les partages réseaux ne sont pas épargnés.

C’est moche pour ton thésard de perdre ses travaux de recherche …

&nbsp;

Rien ne vaut un backup sur un HDD externe ou grosse clé usb qui restera hors de tous réseaux.



Tiens je vais continuer à mater la série MR ROBOT&nbsp;<img data-src=" />

&nbsp;

votre avatar

Et la NSA, ils disent quoi, eux ? <img data-src=" />

votre avatar

Ces ransomwares sont une forme de terrorisme numérique.

Heureusement en France nous avons à présent des lois sur la surveillance et des boites noires pour lutter contre le terrorisme.

Donc on est tranquilles, il ne peut rien nous arriver, les ransomwares n’ont qu’à bien se tenir !

votre avatar

Vécu ça au taf il y a quelques mois :

le rançongiciel se cache dans un mail, genre “Votre commande Amazon est prête à être livrée, cliquez ici”.

De mémoire, la PJ était un fichier du style : commande.txt______________________.exe

Du coup l’utilisateur un peu distrait pense avoir affaire à un .txt et paf !

En 2 min l’exe cryptait tous les .docx .xlsx et .pptx présents dans l’arborescence de toutes les lettres de lecteurs (locaux et réseaux).

Sympa quand ça arrive à un admin une secrétaire comptable qui à 250 lecteurs réseaux avec des droits en écriture partout, avec des partages RWX avec d’autres secrétaires et directeurs… <img data-src=" />



Bref, ça nous a permis de tester en direct live nos sauvegardes réseaux, les shadow copies locales, et aussi d’écouler notre vieux stock de :popcorn: cleenex pour les pas-de-bol… <img data-src=" />

votre avatar

@Vincent



Bonjour,

j’avais lu cet article surhttp://thehackernews.com/2015/10/fbi-ransomware-malware.html

Ainsi je me demandais si vous citiez vos sources quelque part (histoire d’avoir plus à manger :-P)



Merci !

votre avatar

J’aurai pas voulu être à la place de la secrétaire.<img data-src=" /><img data-src=" />

votre avatar







Bumbadawg a écrit :



@Vincent



Bonjour,

j’avais lu cet article surhttp://thehackernews.com/2015/10/fbi-ransomware-malware.html

Ainsi je me demandais si vous citiez vos sources quelque part (histoire d’avoir plus à manger :-P)



Merci !





“Lors d’une conférence sur la sécurité qui s’est tenue la semaine

dernière, le FBI a clairement indiqué être relativement impuissant face

aux ransomwares, ces logiciels qui chiffrent les données de

l’utilisateur avant de lui réclamer une rançon.”



Voilà pour les sources dirais-je. Après, un article peut avoir une source commune <img data-src=" />


votre avatar

Ce qui est bien dans not’boulot, c’est que parfois on reçoit des bouteilles de champ’…! <img data-src=" />



edith : …alors que c’est juste not’taf en fait… <img data-src=" /> (nan mais des fois on se lourde, mais dans l’ensemble ça arrive pas souvent… <img data-src=" />)

votre avatar

  • Vous ne faites rien de spécial et vivez juste votre vie : tout sera aspiré et analysé au dernier degré !





    • Vous avez un réel problème : dans l’cul, démerdez-vous.



      &nbsp;

      Ceci était un message à caractère informatif du F.B.I.


votre avatar







egoz a écrit :



&nbsp;<img data-src=" />





C’est plus cool parce que c’est américain ?

&nbsp;C’est mot pour mot la même chose en français. <img data-src=" />

&nbsp;


votre avatar

On ne peut parler de terrorisme, il n’y a aucune terreur.

La rançon s’obtient par la force, ce que décrit bien l’article.

votre avatar

J’étais tout à coup en train de me dire que j’allais investir dans un NAS pour sauvegarde externe vu que beaucoup l’ont vu ou vécu, mais si ça poutre tout le réseau, là… Sérieux, je dois être super concentré, j’ai pas d’antivirus et j’ai jamais chopé un virus, mais ça fout les foies.

Bon, j’ai désactivé le malware Flash et je fais toujours gaffe aux extensions et à la provenance réelle des emails, mais quand-même. Parfois tu te dis que finalement, tu ferais bien de tout faire dans le cloud, sans synchro automatique. Vaut-il mieux être pillé par les ricains en col blanc ou les russes en chapka (les ricains te laissant un droit de regard sur tes fichiers parce qu’ils sont plus urbains ^^) ?

votre avatar







jul a écrit :



J’étais tout à coup en train de me dire que j’allais investir dans un NAS pour sauvegarde externe vu que beaucoup l’ont vu ou vécu, mais si ça poutre tout le réseau, là… Sérieux, je dois être super concentré, j’ai pas d’antivirus et j’ai jamais chopé un virus, mais ça fout les foies.

Bon, j’ai désactivé le malware Flash et je fais toujours gaffe aux extensions et à la provenance réelle des emails, mais quand-même. Parfois tu te dis que finalement, tu ferais bien de tout faire dans le cloud, sans synchro automatique. Vaut-il mieux être pillé par les ricains en col blanc ou les russes en chapka (les ricains te laissant un droit de regard sur tes fichiers parce qu’ils sont plus urbains ^^) ?





Si tu n’as pas d’antivirus, tu ne peux donc pas affirmer n’avoir aucun virus…

Tous les virus n’affichent pas des gros warning rouge des qu’ils infectent ton PC… Il n’y a qu’à voir le nombre de PC zombies utilisés pour les attaques DDOS…


votre avatar







egoz a écrit :



&nbsp;<img data-src=" />





la mode des substantifs débiles est américaines. heureusement, Pci reste sur du franglais de bas niveaux.


votre avatar







jul a écrit :



J’étais tout à coup en train de me dire que j’allais investir dans un NAS pour sauvegarde externe vu que beaucoup l’ont vu ou vécu, mais si ça poutre tout le réseau, là… Sérieux, je dois être super concentré, j’ai pas d’antivirus et j’ai jamais chopé un virus, mais ça fout les foies.

Bon, j’ai désactivé le malware Flash et je fais toujours gaffe aux extensions et à la provenance réelle des emails, mais quand-même. Parfois tu te dis que finalement, tu ferais bien de tout faire dans le cloud, sans synchro automatique. Vaut-il mieux être pillé par les ricains en col blanc ou les russes en chapka (les ricains te laissant un droit de regard sur tes fichiers parce qu’ils sont plus urbains ^^) ?





Les virus s’attaques aux lecteurs réseaux, suffit de ne pas monter de lecteurs réseaux et d’accéder au NAS via un raccourci du type \adresse-ip\nom-de-dossier


votre avatar







jb18v a écrit :



ça apprendra aux gens à sauvegarder et à plus faire n’importe quoi <img data-src=" />





+1


votre avatar

Je suis certain que même en payant, les données chiffrées ne sont pas récupérable. Donc autant ne pas payer du tout, si au final on a le même résultat.

votre avatar

Dans l’article il est dit que généralement les données sont libérés…

votre avatar







Orphee a écrit :



Si tu n’as pas d’antivirus, tu ne peux donc pas affirmer n’avoir aucun virus…

Tous les virus n’affichent pas des gros warning rouge des qu’ils infectent ton PC… Il n’y a qu’à voir le nombre de PC zombies utilisés pour les attaques DDOS…





En effet, mais je surveille d’assez près ma machine et mon utilisation est assez propre (pas de cracks etc.) pour en être quasi-certain, j’y travaille dessus toute la journée. Après, je ne suis pas contre les anti-virus en soi, mais je n’ai jamais rien trouvé qui me semble correct (en gros qui gène plus mon utilisation qu’autre chose).

Si tu peux me conseiller un anti-virus de qualité je t’écoute.


votre avatar

Toutes mes données que je ne veux surtout pas perdre (photos, vidéos notamment) sont sur un serveur owncloud chez OVH.



Une autre copie sur un NAS, et une troisième copie sur un disque dur débranché.



Par contre je m’inquiète pour mes clients qui ne font pas attention à leurs sauvegardes (données médicales).

votre avatar







Leixia a écrit :



Les virus s’attaques aux lecteurs réseaux, suffit de ne pas monter de lecteurs réseaux et d’accéder au NAS via un raccourci du type \adresse-ip\nom-de-dossier





INtéressant, merci&nbsp;<img data-src=" />


votre avatar







jul a écrit :



En effet, mais je surveille d’assez près ma machine et mon utilisation est assez propre (pas de cracks etc.) pour en être quasi-certain, j’y travaille dessus toute la journée. Après, je ne suis pas contre les anti-virus en soi, mais je n’ai jamais rien trouvé qui me semble correct (en gros qui gène plus mon utilisation qu’autre chose).

Si tu peux me conseiller un anti-virus de qualité je t’écoute.





Personnellement, ça n’engage que moi biensur, j’utilise Kaspersky Anti-virus (pas l’usine internet security).

J’en suis vraiment très satisfait, il fait bien le distinguo entre les vrais virus et les “cracks” faux positifs (reste à faire ton choix après la notification) et je n’ai rencontré qu’un seul incident depuis les années où je l’utilise…

Une mise à jour foireuse avait généré un BSOD… J’en avais testé pas mal avant lui, et je le trouve vraiment performant… Et sur un site d’e-commerce s’affichant ‘discount’, il y a souvent des versions boite au rabais, sachant que les clés de licence, même vielles de 2012 sont valides quelque soit la version de Kaspersky… Donc j’achète une vielle boite 3pc/1an à 20€, je DL la dernière version du soft sur le site de Kaspersky, et rouler jeunesse…


votre avatar

Je travaille sur un volume situé dans un NAS, ou parfois en local pour des choses temporaires.



Chaque nuit, le contenu important du NAS est sauvegardé sur un autre NAS (qui n’est pas accessible depuis l’ordinateur autrement que via l’interface web), et chaque semaine il y a en plus une copie complète du volume de travail sur un second volume de ce même NAS (lui aussi inaccessible depuis l’ordi).



Bientôt un troisième NAS viendra agrandir la famille, lorsque la fibre optique sera installée. Il sera hors de chez moi et fera des sauvegardes hebdomadaires.

votre avatar







blackdream a écrit :



Pour la qualité je n’ai pas les compétences pour juger, mais l’antivirus de microsoft n’est vraiment pas dérangeant.





Ah au temps pour moi, j’ai donc un anti-virus, celui par défaut de MS je suppose. Donc avant qu’il existe, je n’en avais pas, et depuis, je ne pense pas avoir eu recours à celui de MS qui effectivement doit tourner sur la machine (machin defender j’imagine). Vu que je ne savais même pas qu’il existait, il est effectivement très discret. ^^

Sinon, je tiens à préciser que j’ai toujours eu un firewall, trouvant que c’était suffisant (je pensais que denfender était juste un firewall justement). Voilà à quoi ça mène de devenir un casual geek&nbsp;<img data-src=" />


votre avatar







KP2 a écrit :



Et la NSA, ils disent quoi, eux ? <img data-src=" />







ils se frottent les mains de l’argent qu’ils vont gagner <img data-src=" />


votre avatar







domFreedom a écrit :



Vécu ça au taf il y a quelques mois :

le rançongiciel se cache dans un mail, genre “Votre commande Amazon est prête à être livrée, cliquez ici”.

De mémoire, la PJ était un fichier du style : commande.txt______________________.exe

Du coup l’utilisateur un peu distrait pense avoir affaire à un .txt et paf !





Ce qui est terrible, c’est que ces ransomware n’ont besoin d’aucune autorisation particulière, aucune élévation de privilège pour commencer à opérer…


votre avatar

L’élévation de privilège ne sert pas à exécuter un programme, sinon à chaque clic on devrait valider l’action, et on deviendrait tous fous ! <img data-src=" />

Elle sert à exécuter une action qui va lire/modifier des données systèmes inaccessibles en mode non privilégié.

Le malware n’effectue aucune action système, il va juste scanner (et chiffrer) les fichiers ciblés avec les droits de l’utilisateur : imparable !



Dans un partage réseau en lecture seule pour l’utilisateur, les fichiers ne seront pas touchés, puisque en “lecture seule”. Par contre, au moindre droit d’écriture (modification ou contrôle total, paf ! catastrophe !).

Dans un profil local (Mes documents/Mes images etc.) repaf ! Tout est chiffré !



Testé le rançonware gracieusement forwardé <img data-src=" /> en email par ma secrétaire dans une vm poubelle avec des fichiers Office bidons, ça chiffre niquel ! <img data-src=" />

Avec, à la fin du processus, un beau popup intimant de payer dans le délai maxi imparti… <img data-src=" />

votre avatar

T’as vu, j’ai pas menti niveau discretion ! <img data-src=" />

votre avatar







jul a écrit :



Vu que je ne savais même pas qu’il existait, il est effectivement très discret. ^^

Sinon, je tiens à préciser que j’ai toujours eu un firewall, trouvant que c’était suffisant (je pensais que denfender était juste un firewall justement). Voilà à quoi ça mène de devenir un casual geek <img data-src=" />









blackdream a écrit :



T’as vu, j’ai pas menti niveau discretion ! <img data-src=" />





Defender?

sous w10, c’est une plaie, je l’ai désactivé dès que possible (après bien des difficultés)


votre avatar

Est-ce qu’on peut payer en ticket resto ?

votre avatar







taralafifi a écrit :



Est-ce qu’on peut payer en ticket resto ?







Pas plus de 19 euros par jour <img data-src=" />


votre avatar







domFreedom a écrit :



L’élévation de privilège ne sert pas à exécuter un programme, sinon à chaque clic on devrait valider l’action, et on deviendrait tous fous ! <img data-src=" />

Elle sert à exécuter une action qui va lire/modifier des données systèmes inaccessibles en mode non privilégié.

Le malware n’effectue aucune action système, il va juste scanner (et chiffrer) les fichiers ciblés avec les droits de l’utilisateur : imparable !ardé :







Ce qui me choque c’est qu’il est toujours si facile d’envoyer et de lancer des exécutable depuis une page web ou un client mail à ce que je lis ici. Que certains malin arrive à faire exécuter du contenu malicieux du fait de failles existantes, je le conçois bien mais rien n’a été mis en place pour qu’un exécutable non vérifié nécessite bien plus qu’un clic pour être exécuté ?







jul a écrit :



Ah au temps pour moi, j’ai donc un anti-virus, celui par défaut de MS je suppose. Donc avant qu’il existe, je n’en avais pas, et depuis, je ne pense pas avoir eu recours à celui de MS qui effectivement doit tourner sur la machine (machin defender j’imagine). Vu que je ne savais même pas qu’il existait, il est effectivement très discret. ^^

Sinon, je tiens à préciser que j’ai toujours eu un firewall, trouvant que c’était suffisant (je pensais que denfender était juste un firewall justement). Voilà à quoi ça mène de devenir un casual geek <img data-src=" />





Je tiens malheureusement a te signaler que là ou l’intérêt des antivirus est très limité, celui des firewall l’est encore plus. Un firewall n’a de sens que si tu n’a pas confiance en ton propre système informatique. Tu peut toujours envoyé autant d’information à une machine que tu veux, si elle ne fait pas l’effort d’elle-même de recevoir, elle ne recevra rien.


votre avatar

On se rapproche aussi de la problématique des failles de sécurité et de leur marché. Sur un système 100% à jour, on a quantité de failles failles de sécurité qui sont présentes, découvertes ou pas, publiquement ou pas.

votre avatar







hurd a écrit :



Ce qui me choque c’est qu’il est toujours si facile d’envoyer et de lancer des exécutable depuis une page web ou un client mail à ce que je lis ici. Que certains malin arrive à faire exécuter du contenu malicieux du fait de failles existantes, je le conçois bien mais rien n’a été mis en place pour qu’un exécutable non vérifié nécessite bien plus qu’un clic pour être exécuté ?





Deux clics : il y a une pop-pup qui indique que le fichier ne vient pas d’une source sûre s’il est téléchargé depuis INternet. (sauf si tu as une antiquité formatée en FAT32)

&nbsp;



hurd a écrit :



Je tiens malheureusement a te signaler que là ou l’intérêt des antivirus est très limité, celui des firewall l’est encore plus. Un firewall n’a de sens que si tu n’a pas confiance en ton propre système informatique. Tu peut toujours envoyé autant d’information à une machine que tu veux, si elle ne fait pas l’effort d’elle-même de recevoir, elle ne recevra rien.



A moins d’autoriser un port qui comporte une faille, le firewall windows bloque tout, et prévient pour ouvrir des ports. L’utilisateur a encore une fois la responsabilité d’ouvrir ou pas.


votre avatar

Je n’ai testé que sur windows 7. Et pour le coup il est vraiment pas chiant, il ne m’a remonter que des réelle menace. Après je me souviens pas si je l’avais configuré.

votre avatar







psn00ps a écrit :



A moins d’autoriser un port qui comporte une faille, le firewall windows bloque tout, et prévient pour ouvrir des ports. L’utilisateur a encore une fois la responsabilité d’ouvrir ou pas.







Sauf que justement les port ne sont pas véritablement “ouvert” sans parefeu. Tu peut envoyer autant d’information sur le port numéro machin, s’il n’y a aucun programme sur ta machine pour accepter l’information, elle est perdu et donc tu ne risque rien.

Du coup, le firewall n’a d’intérêt que si tu n’a pas confiance en l’environnement logiciel qui tourne sur ta machine… et dans ce cas précis, avoir confiance au firewall est aussi risqué.

Donc la protection amenée est limite, car le système est déjà insécurisé au moment même ou le firewall est utile.


votre avatar

Excellent conseil, comme ca ils ont juste à recrypter les&nbsp; fichiers au bout d’un certains temps et redemander une rançon ensuite.

votre avatar

“D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.”



Si l’on est plein a ce faire voler on aura un prix de gros…


votre avatar

J’ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l’entête d’un type de document pour éviter de se faire repérer par un antivirus?

Car détecter qu’un fichier word/excel/jpeg vient d’être modifié et que son entête n’as plus rien à voir avec une entête valide ce n’est pas compliqué à faire.

votre avatar







Haemy a écrit :



Excellent conseil, comme ca ils ont juste à recrypter les  fichiers au bout d’un certains temps et redemander une rançon ensuite.







Une restau dans ce genre de contexte doit evidemment impliquer une reinstall complete sinon ca n’a pas de sens…


votre avatar







SFX-ZeuS a écrit :



J’ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l’entête d’un type de document pour éviter de se faire repérer par un antivirus?

Car détecter qu’un fichier word/excel/jpeg vient d’être modifié et que son entête n’as plus rien à voir avec une entête valide ce n’est pas compliqué à faire.







Ben ouais mais comment l’antivirus peut il faire la difference entre un ransomware et un programme de chiffrement légitime ?


votre avatar







SFX-ZeuS a écrit :



J’ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l’entête d’un type de document pour éviter de se faire repérer par un antivirus?

Car détecter qu’un fichier word/excel/jpeg vient d’être modifié et que son entête n’as plus rien à voir avec une entête valide ce n’est pas compliqué à faire.





Il encrypte le fichier dans sa totalité en RSA.

L’antivirus ne détecte pas les fichiers encryptés comme étant des menaces donc pas besoin de se compliquer la vie à garder l’entête d’origine.


votre avatar







KP2 a écrit :



Ben ouais mais comment l’antivirus peut il faire la difference entre un ransomware et un programme de chiffrement légitime ?







C’est facile : le chiffrement n’est jamais légitime! Le chiffrement sert uniquement aux gens pour se mettre hors de porté de la loi ^^


votre avatar

Yep j’ai un amis qui a été confronté à ça. Toute ses recherches y sont passées (médecine). Bon il a ça dans la tête, mais ce sont des milliers d’heures de travail foutues en l’air.



En cherchant pour lui, sans pour autant trouver de solution, je suis tombé sur des “devkit” de serveur de ransomware. Sur TOR on trouve ce genre de site qui propose de payer une licence pour un serveur de ransomware clefs en main.



Par contre pour décrypter c’est aléatoire. SI le ransomware utilise un ancien algo ça peut passer, mais si il est récent c’est mort pour plusieurs années. Le mieux est de “cryogéniser” ses données pour qu’elles soient décryptable dans le futur <img data-src=" /> (ce qui sera surement très probable).

votre avatar

En te le demandant simplement ;)

votre avatar



Ransomwares : pour le FBI, il est parfois nécessaire de payer



Et en plus ça permettra de financer les contras en Amérique Centrale le développement des pays ou habitent les gentils rançonneurs. <img data-src=" />

votre avatar

ça apprendra aux gens à sauvegarder et à plus faire n’importe quoi <img data-src=" />

votre avatar







Dr.Wily a écrit :



Le mieux est de “cryogéniser” ses données pour qu’elles soient décryptable dans le futur <img data-src=" /> (ce qui sera surement très probable).







Tu plonges le disque dur dans un bain d’azote liquide ? <img data-src=" />


votre avatar

Une bonne technique pour éviter ça c’est d’activer le versioning des fichiers NTFS.

après avoir nettoyé le PC convenablement, vous pourrez récupérer l’ancienne version.



Dans le cas où ça vous arrive et que le versioning n’est pas activé, le chiffrement prend du temps. Alors arretez tout, redémarrer en safe mode, se débarrasser du truc d’une façon ou d’une autre, puis passez un bon soft de data recovery. On peut retrouver pas mal de trucs comme ça. Faut juste éviter de faire travailler son disque dur entre temps ;)





J’ai déjà vu ce truc agir sur le pc d’une connaissance proche, ça fait de sacré dégats!



edit: le datarecovery, trouvez en un sans install qui vous mettrez sur une clé usb. Et les fichiers récupérés, évidemment sur la clé elle aussi ^^

edit2: tant que le virus est présent, ne pas mettre de clés dessus, car elles risquent d’être elles meme cryptées!

votre avatar

C’est très con alors les antivirus pourrait facilement se baser sur les entête pour se rendre compte qu’un logiciel est en train d’encrypter des fichiers, le bloquer et demander l’approbation à l’utilisateur.

Mais bon si ils font ça j’image que ces ransomwares seront vite modifié pour laisser le début du fichier intact…

votre avatar

Vous pensez que c’est comme ça que le FBI finance ses opérations hors cadres?

votre avatar







SFX-ZeuS a écrit :



C’est très con alors les antivirus pourrait facilement se baser sur les entête pour se rendre compte qu’un logiciel est en train d’encrypter des fichiers, le bloquer et demander l’approbation à l’utilisateur.

Mais bon si ils font ça j’image que ces ransomwares seront vite modifié pour laisser le début du fichier intact…







Sur mon poste au taff, j’ai des centaines de milliers de fichiers encryptés (contraintes projet). Déjà que l’AV me bouffe de la ressource tout le temps, il ne vas pas en plus me demander pour chaque fichier si c’est légitime ou non.



Et puis encore une fois, chiffrer un fichier n’est pas un problème en soit.


votre avatar

non y’a les saisies sur SilkRoad pour ça <img data-src=" />

votre avatar







Dr.Wily a écrit :



Yep j’ai un amis qui a été confronté à ça. Toute ses recherches y sont passées (médecine). Bon il a ça dans la tête, mais ce sont des milliers d’heures de travail foutues en l’air.



En cherchant pour lui, sans pour autant trouver de solution, je suis tombé sur des “devkit” de serveur de ransomware. Sur TOR on trouve ce genre de site qui propose de payer une licence pour un serveur de ransomware clefs en main.



Par contre pour décrypter c’est aléatoire. SI le ransomware utilise un ancien algo ça peut passer, mais si il est récent c’est mort pour plusieurs années. Le mieux est de “cryogéniser” ses données pour qu’elles soient décryptable dans le futur <img data-src=" /> (ce qui sera surement très probable).





Comment ses gens font pour avoir se genre de virus ?

jai 22ans&nbsp; et je suis sur internet depuis mes 12ans , j’ai tous fait, le porn, les fichier louche des 4 coin du web , bon je me suis&nbsp; choppé quelque petit truc&nbsp;&nbsp; de temp en temp mais alors&nbsp; ransonware, jamais choppé

&nbsp;!&nbsp; pourtant j’en&nbsp; installe des fichier&nbsp; douteux sur mon pc


votre avatar







Plouk a écrit :



Une bonne technique pour éviter ça c’est d’activer le versioning des fichiers NTFS.

après avoir nettoyé le PC convenablement, vous pourrez récupérer l’ancienne version.







Oui c’est la shadow copy mais ça ne fonctionne pas à tout les coups.


votre avatar

L’approbation c’est pas pour le fichier mais pour le processus.

votre avatar

C’est normal shadow copy a un espace alloué quand il n’as plus d’espace il supprime les plus anciennes sauvegarde, donc dans le cas d’une encryption de tous les fichiers sur un disque avec un espace disque faible, il y’a de grande chance que peu de fichiers soient récupérables.

votre avatar

je l’ai vu chez des collègues, un truc lié à une faille dans Flash, suffisait de lancer une vidéo à la con (même pas du pron <img data-src=" />) et paf ! écran gendarmerie, pc bloqué (bon ça se nettoie mais c’est lourd)

votre avatar







lain a écrit :



Comment ses gens font pour avoir se genre de virus ?

jai 22ans  et je suis sur internet depuis mes 12ans , j’ai tous fait, le porn, les fichier louche des 4 coin du web , bon je me suis  choppé quelque petit truc   de temp en temp mais alors  ransonware, jamais choppé

 !  pourtant j’en  installe des fichier  douteux sur mon pc







Là il s’est fait avoir par une vraie/fausse box Windows lui invitant de mettre a jour son antivirus. Je pense que l’un dans l’autre (travail, fatigue, marre des messages de confirmation…) il a cliqué et ce fut le drame.



Ce qu’il y a de “bien” dans l’informatique c’est le coté systématique. L’humain finit toujours par faiblir.







SFX-ZeuS a écrit :



C’est normal shadow copy à un espace allouer quand il n’as plus d’espace il supprime les plus anciennes sauvegarde, donc dans le cas d’une encryption de tous les fichiers sur un disque avec un espace disque faible, il y’a de grande chance que peu de fichiers soient récupérables.







Je sais bien c’était juste une précision <img data-src=" />


votre avatar

Effectivement mon message aurait plutôt du être à destination de @Plouk <img data-src=" />

votre avatar







SFX-ZeuS a écrit :



Effectivement mon message aurait plutôt du être à destination de @Plouk <img data-src=" />





Le message est néanmoins passé, merci pour l’info&nbsp;<img data-src=" />


votre avatar

Dupliquer les données dans un zip (ou autre)

Crypter ce zip

Remplir les fichiers de garbage sauf en-têtes

Remplir tout l’espace disque restant avec des fichiers bidons plein de garbage

Supprimer tous les fichiers sauf le zip

Demander des sous&nbsp;

&nbsp;&nbsp;

&nbsp;

votre avatar

comment le logiciel trouve et crypte les données importantes ?

en utilisant les emplacements prédefinis et les ressources systèmes disponibles.

dans mes documents, images, videos, musique, il y a que des fichiers “D.T.C” ;-)

&nbsp;Et sur ma becane win7, j’ai fait plus drastique encore, genre la recherche est désactivée bas niveau comme pas mal de “services”.

un ransomware est un programme. Suffit de glisser un grain de sable dans son fonctionnement.

Apres, je comprends que cela ne soit pas très utilisé, car on perds un peu en coté pratique, puisque les OS sont désormais entièrement construit sur ces dossiers imposés, et qu’au jour le jour tu te rends compte deslimitations que tu viens d’introduire.

Après, j’en ai eu un de vrai, une fois, (sa variante fausse existe et on la trouve de temps en temps dans les pubs , mais il suffit de fermer la fenetre ce qui n’est pas possible avec le vrai, de nettoyer les cookies et de redémarrer firefox)

donc, fin de taches, redémarrage sans extension, vidage à la main du cache firefox. et aucun soucis.

(J’ai désactivé aussi les services de&nbsp; cryptage sur mon Win, peut-être que cela a aidé ? )

votre avatar

Après, un risque de demander à l’utilisateur le choix de l’antivirus, c’est que ceux qui n’y connaissent pas grand chose vont peut-être cliquer sur “Laisser faire” le ransomware pour ne pas avoir à s’en occuper, non ?



Pour ceux qui chiffrent, je m’inquiète moins par contre.

votre avatar







PatBe a écrit :



puisque les OS sont désormais entièrement construit sur ces dossiers imposés







Désormais ? C’est standardisé depuis 1994 pour les systèmes Unix. Et je suppose que ça entérine des années de pratique. ‘fin bon sous Linux, pas de problèmes de ce type à ma connaissance <img data-src=" />


votre avatar



un rançongiciel&nbsp;

&nbsp;<img data-src=" />

votre avatar







Orphee a écrit :



Personnellement, ça n’engage que moi biensur, j’utilise Kaspersky Anti-virus (pas l’usine internet security).

J’en suis vraiment très satisfait, il fait bien le distinguo entre les vrais virus et les “cracks” faux positifs (reste à faire ton choix après la notification) et je n’ai rencontré qu’un seul incident depuis les années où je l’utilise…

Une mise à jour foireuse avait généré un BSOD… J’en avais testé pas mal avant lui, et je le trouve vraiment performant… Et sur un site d’e-commerce s’affichant ‘discount’, il y a souvent des versions boite au rabais, sachant que les clés de licence, même vielles de 2012 sont valides quelque soit la version de Kaspersky… Donc j’achète une vielle boite 3pc/1an à 20€, je DL la dernière version du soft sur le site de Kaspersky, et rouler jeunesse…





Je regarderai ça merci.&nbsp;<img data-src=" />


votre avatar

En général quand tu prends un coup de bâton tu fais en sorte que cela n’arrive plus. Les boîtes qui ont ce genre de problèmes doivent revoir leur manière de sauvegarder leurs données au plus vite…

votre avatar

Détrompe-toi. Pour les pirate, l’intérêt est justement de redonner accès aux données, car si on apprend que payer ne sert à rien, c’est une source de revenue qui disparaît pour eux. Le conseil du FBI leur donne de la crédibilité, et c’est ça qui est énorme !

votre avatar

J’ai été confronté au problème il y a quelques temps au bureau. Une collègue a ouvert une pièce jointe depuis chez elle (un fichier Word censé être une facture de quelques choses).

Tous ses fichiers ont été chiffrés et quand elle s’est connectée au réseau le lendemain matin, tous les dossiers réseaux auxquels elle avait accès ont été chiffrés à leur tour, et c’est seulement à ce moment qu’elle a pensé à m’appeler pour me dire qu’il y avait “un truc bizarre”…

Après avoir désinfecté sa machine, j’ai pu restaurer la sauvegarde des fichiers réseaux de la nuit précédente, mais elle n’avait aucune sauvegarde de ses données personnelles (je répète souvent pourtant qu’il faut toujours avoir une copie des fichiers importants sur un support amovible ou sur un espace de stockage en ligne non synchronisé !)… j’ai cherché un peu mais impossible de déchiffrer ses données…

Donc je comprends que le seul conseil qu’on peut donner en cas d’attaque pour récupérer les données hyper importantes, c’est de payer car c’est la seule façon de pouvoir les déchiffrer malheureusement. (et dans la plupart des cas, les pirates sont “réglo” et redonnent bien accès aux données après paiement)

votre avatar

La rançon elle est payé comment ?

Ce n’est pas traçable ?

votre avatar







mr-fox a écrit :



Après avoir désinfecté sa machine, j’ai pu restaurer la sauvegarde des fichiers réseaux de la nuit précédente, mais elle n’avait aucune sauvegarde de ses données personnelles (je répète souvent pourtant qu’il faut toujours avoir une copie des fichiers importants sur un support amovible ou sur un espace de stockage en ligne non synchronisé !)… j’ai cherché un peu mais impossible de déchiffrer ses données…

Donc je comprends que le seul conseil qu’on peut donner en cas d’attaque pour récupérer les données hyper importantes, c’est de payer car c’est la seule façon de pouvoir les déchiffrer malheureusement. (et dans la plupart des cas, les pirates sont “réglo” et redonnent bien accès aux données après paiement)





Et chez nous, on nous demande de stocker nos documents sur nos profils synchronisés et de ne plus les mettre sur un autre espace en ligne <img data-src=" />



Et vu les mails avec PJ douteuses qui circulent, ça va bien finir par arriver…


votre avatar







jb18v a écrit :



ça apprendra aux gens à sauvegarder et à plus faire n’importe quoi <img data-src=" />





Tu veux dire sur un NAS, via un lecteur réseau tout à fait accessible au rançongiciel? <img data-src=" />


votre avatar







lain a écrit :



Comment ses gens font pour avoir se genre de virus ?

jai 22ans  et je suis sur internet depuis mes 12ans , j’ai tous fait, le porn, les fichier louche des 4 coin du web , bon je me suis  choppé quelque petit truc   de temp en temp mais alors  ransonware, jamais choppé

 !  pourtant j’en  installe des fichier  douteux sur mon pc



Un simple courrier de ton frère/ta soeur?

Moi c’est ce qui m’est arrivé. Juste un lien dans le mail, quand ça vient d’une personne qui n’a pas pour habitude de balancer des bêtises…



J’ai été idiot (pas tant que ça mais un peu), mais quand ils jouent en finesse l’usurpation d’identité en plus, c’est plus dur à éviter.

Dans mon cas une restauration a été possible, mais sinon c’était irrécupérable (rançon basée sur un modèle “antivirus” bloquant tous les exe)


votre avatar







blackdream a écrit :



Dans l’article il est dit que généralement les données sont libérés…



ça c’est pour les mp3 de la Reine des neiges.


votre avatar

Tu as un antivirus ? Tu ne peux donc pas affirmer non plus que tu n’as pas de virus que l’antivirus ne connait pas. Bienvenue dans le monde réel.

votre avatar

En lisant les solutions évoquées contre les ransomwares, il y a pas mal de contre-vérités, quand même.




  1. ne pas cliquer sur n’importe quoi ou lancer n’importe quoi, dans la mesure du possible. Et je peux vous le dire, le clic par erreur, ça peut toujours arriver un matin, la tête dans le brouillard.

  2. les sauvegardes offline, ou au moins rendre les anciennes versions assez difficiles d’accès (login/pass non sauvegardé). Et le ’s’ est important. Si vous n’avez qu’une seule sauvegarde, c’est comme si vous n’aviez pas de sauvegarde. J’ai souvenir d’un crash disque à un moment où je faisais régulièrement des sauvegardes sur des DVD réinscriptibles. Le DVD avec les fichiers dont j’avais besoin était illisible .

    Avouez, vous n’avez pas de sauvegarde, hein. <img data-src=" />

  3. Le cloud, c’est le lieu rêvé pour un ransomware sur vos sauvegardes.

votre avatar







damaki a écrit :



Tu as un antivirus ? Tu ne peux donc pas affirmer non plus que tu n’as pas de virus que l’antivirus ne connait pas. Bienvenue dans le monde réel.





Ai-je écrit que je n’en avais forcément pas ? Je suis tout à fait d’accord avec toi, on est jamais à l’abri, mais on ne peut pas écrire “j’ai pas d’antivirus, j’ai jamais eu de virus”, la nuance se trouve en effet sur virus “connus”.


votre avatar

Pour la qualité je n’ai pas les compétences pour juger, mais l’antivirus de microsoft n’est vraiment pas dérangeant.

votre avatar

<img data-src=" />

votre avatar







blackdream a écrit :



<img data-src=" />





libérééééééé délivréééééé je ne me ferai plus rançonneeeeeeeeeer <img data-src=" />


votre avatar

<img data-src=" />

&nbsp;merci pour l’explication ! <img data-src=" />

Ransomwares : pour le FBI, il est parfois nécessaire de payer

  • Des attaques qui se répandent

  • « Nous conseillons souvent aux gens de payer simplement la rançon »

Fermer