IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les ransomwares Cryptowall et Simplocker refont surface
Et gagnent en complexité sur Windows et Android

Le , par Olivier Famien

5PARTAGES

1  0 
Un ransomware est un logiciel malveillant qui chiffre les données et demande à son propriétaire de payer une rançon en échange du décryptage de ces données.

Après les versions un et deux, le ransomware CryptoWall fait à nouveau parler de lui. Il a été identifié sur la toile et arbore pour cette nouvelle version des propriétés plus élaborées. Pour rappel, Cryptowall a été détecté depuis l’année 2014 selon les informations fournies par la firme Dell sur sa page consacrée à la sécurité, mais a commencé à agir depuis l’année 2013.

Cette année encore, la division en charge de la sécurité de l’entreprise Cisco s’est penchée sur cette nouvelle version afin de comprendre son fonctionnement. Il ressort que pour cette nouvelle mouture, certains aspects ont été remaniés. Par exemple, le basculement entre les 32-bit et 64-bit n’est plus supporté. La fonctionnalité Anti-VM pour empêcher son fonctionnement dans un environnement virtuel n’est plus prise en charge de même que l’utilisation de plusieurs exploitations dans le binaire.

Toutefois, il affiche certaines caractéristiques beaucoup plus sophistiquées. En effet, l’absence d’exploitations internes indique que le malware utilise des kits d’exploitation pour augmenter les privilèges afin de désactiver toutes les mesures de protection et infecter le PC sans difficulté. Cela permet de ne pas être dépendant du type de compte utilisé par le propriétaire du terminal, car peu importe les droits d’administration, l’infection peut se réaliser. Et une fois les privilèges acquis, le processus est le même que celui de la version précédente. Du code malicieux est injecté dans l’explorer qui répand l’infection dans la base des registres et le menu démarrer. Finalement, toute la protection du système est désactivée et l’infection atteint le svchost.

À côté de ce ransomware, nous avons également Simplocker qui s’est récemment manifesté. Simplocker est un logiciel malveillant qui s’attaque uniquement aux téléphones Android. Dans la précédente version, chaque clé de chiffrement générée après une infection était codée en dur sur le téléphone. Cela a grandement facilité l’éradication de l’infection. Pour cette version, les clés de chiffrement générées sont uniques. Le déchiffrement des données du téléphone s’avère difficile dans ces conditions, puisqu’une clé générique serait inappropriée pour cela. Toutefois Avast rassure de pouvoir fournir des outils pour lutter contre toutes les versions de Simplocker.

Chaque ramsomware ayant son taux de dégâts, il est recommandé de faire une sauvegarde des données, car même lorsque le téléphone ou le PC est désinfecté, rien ne garantit que les données chiffrées soient retrouvées à moins que les ravisseurs soient de « bonne foi » pour restituer les données chiffrées en cas de paiement de la rançon.

Source : Blog Cisco, Blog Avast

Et vous ?

Que pensez-vous de cette recrudescence des ransomwares ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de bytecode
Membre actif https://www.developpez.com
Le 13/02/2015 à 18:41
Salut à tous,

Un simple XP avec un compte non admin et "quelques" réglages et un pare feu comme comodo

dans ce genre de cas un dump de la mémoire vive est la première chose à faire et si c'est pas dedans alors il va falloir essayer de reproduire l'infection en utilisant cuckoo sandbox et mettre les mains dans le cambouis
0  0 
Avatar de frssi
Nouveau Candidat au Club https://www.developpez.com
Le 15/02/2015 à 17:42
Maudit malware...
0  0 
Avatar de niuxe
Membre régulier https://www.developpez.com
Le 20/02/2015 à 1:38
0  0