AVG identifie une nouvelle variante de CryptoLocker
Le ransomware signe son retour avec un algorithme encore plus fort

Le , par Stéphane le calme, Chroniqueur Actualités
Cela faisait un moment déjà que CryptoLocker, le ransomware qui chiffre systématiquement tous les documents qui sont stockés en local ainsi que ceux qui sont stockés sur les lecteurs réseau mappés ou sur des stockages amovibles connectés, n’avait pas fait parler de lui. La menace, qui semblait relativement s’être essoufflée, revient sous une nouvelle forme présentant un niveau de sophistication bien plus important que celui de son prédécesseur.

La variante de ce virus a été découverte par AVG qui avance que « les variantes précédentes de ce ransomware avaient des faiblesses ou des failles au niveau de leur chiffrement, ce qui signifie que les fichiers pouvaient être restaurés. Cette nouvelle variante possède un algorithme plus fort et il est quasiment impossible de restaurer les fichiers chiffrés sans la clé de chiffrement détenue uniquement par l’attaquant ». En clair, la restauration qui était dans le domaine du réalisable avec un outil comme Shadow Copy, un outil qui permet aux utilisateurs d’effectuer des sauvegardes de leur système, n’est désormais plus possible depuis que la faille a été colmatée.

Carbonite, une entreprise basée à Boston qui propose un service de sauvegarde et de récupération de données en ligne, s’est familiarisée avec la vitesse à laquelle les infections provoquées par le ransomware peuvent se propager, l’année dernière lorsque ses équipes d’opération ont enregistré un pic d’activité de leurs clients lié à CryptoLocker. Selon Jim Flynn, Vice-Président des opérations et Directeur de la sécurité au sein de l’entreprise, les clients victimes du ransomware ont téléchargé leurs sauvegardes après avoir vu leurs données chiffrées par CrytoLocker et le data center de l’entreprise s’est vite rempli.


« Pendant que les disques se remplissaient des sauvegardes de nos clients, peu après les appels téléphoniques ont débuté et c’était un indicateur qui montrait que quelque chose se tramait », a-t-il dit. La société a alors décidé de réagir en formant une force opérationnelle CryptoLocker avant que les appels ne se fassent encore plus insistants. L’équipe a gardé un œil sur les profils des comptes afin de retirer les sauvegardes avant que le ransomware ne chiffre les fichiers de la victime. Flynn a avancé que les clients qui ont créé de nouveaux fichiers et ont continué à travailler ont pu perdre jusqu’à deux semaines de données, mais il a confirmé que ce n’était pas une perte totale.

« Nous en sommes arrivés à un point où nous devenions comme des automates. Si vous aviez une sauvegarde en ligne avec un versioning nous pouvions vous faire retourner directement à l’état où vous étiez avant d’avoir été infectés, » a déclaré Flynn.

La montée en puissance des ransomware comme CryptoLocker oblige les fournisseurs de solutions de sauvegarde en ligne à se focaliser sur le renforcement des mesures de sécurité tandis qu’ils développent leurs portefeuilles clients. Les infections par des logiciels malveillants peuvent coûter cher aux entreprises. « Avec le fait que les ransomware deviennent encore plus sophistiqués et avec un nombre de victimes qui ne cesse de croître, implémenter un système de sauvegarde hors site capable de restaurer vos données à un moment donné est désormais pratiquement une nécessité », a déclaré Ken Colburn, PDG de Data Doctors Computer Services.

Pour Brad Taylor, PDG de Proficio, un fournisseur de services de sécurité basé en Californie, les entreprises doivent acquérir une meilleure visibilité de leur environnement et avoir une plus grande conscience des risques ou menaces potentiels pour leur entreprise. Selon lui, la surveillance système devient de plus en plus vitale et certaines entreprises ont besoin d’une expertise externe.

« De nombreuses personnes, surtout dans les petites entreprises, pensent qu’elles vont avoir à faire de gros investissements dans la technologie, mais le maillon le plus faible reste toujours les gens », avance Flynn. « Concentrez-vous sur l’éducation du personnel, alertez les et faites leur prendre conscience des menaces les plus récentes », a-t-il exhorté.

C’est d’ailleurs le même son de cloche chez AVG qui donne quelques recommandations sur la façon dont vous pouvez rester protégés : toujours effectuer des sauvegardes, penser avant de cliquer, avoir un logiciel qui vous protège et enfin avoir des outils de protection d’identité.

Source : AVG

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 13/02/2015 à 16:06
Les ransomwares Cryptowall et Simplocker refont surface
et gagnent en complexité sur Windows et Android

Un ransomware est un logiciel malveillant qui chiffre les données et demande à son propriétaire de payer une rançon en échange du décryptage de ces données.

Après les versions un et deux, le ransomware CryptoWall fait à nouveau parler de lui. Il a été identifié sur la toile et arbore pour cette nouvelle version des propriétés plus élaborées. Pour rappel, Cryptowall a été détecté depuis l’année 2014 selon les informations fournies par la firme Dell sur sa page consacrée à la sécurité, mais a commencé à agir depuis l’année 2013.

Cette année encore, la division en charge de la sécurité de l’entreprise Cisco s’est penchée sur cette nouvelle version afin de comprendre son fonctionnement. Il ressort que pour cette nouvelle mouture, certains aspects ont été remaniés. Par exemple, le basculement entre les 32-bit et 64-bit n’est plus supporté. La fonctionnalité Anti-VM pour empêcher son fonctionnement dans un environnement virtuel n’est plus prise en charge de même que l’utilisation de plusieurs exploitations dans le binaire.

Toutefois, il affiche certaines caractéristiques beaucoup plus sophistiquées. En effet, l’absence d’exploitations internes indique que le malware utilise des kits d’exploitation pour augmenter les privilèges afin de désactiver toutes les mesures de protection et infecter le PC sans difficulté. Cela permet de ne pas être dépendant du type de compte utilisé par le propriétaire du terminal, car peu importe les droits d’administration, l’infection peut se réaliser. Et une fois les privilèges acquis, le processus est le même que celui de la version précédente. Du code malicieux est injecté dans l’explorer qui répand l’infection dans la base des registres et le menu démarrer. Finalement, toute la protection du système est désactivée et l’infection atteint le svchost.

À côté de ce ransomware, nous avons également Simplocker qui s’est récemment manifesté. Simplocker est un logiciel malveillant qui s’attaque uniquement aux téléphones Android. Dans la précédente version, chaque clé de chiffrement générée après une infection était codée en dur sur le téléphone. Cela a grandement facilité l’éradication de l’infection. Pour cette version, les clés de chiffrement générées sont uniques. Le déchiffrement des données du téléphone s’avère difficile dans ces conditions, puisqu’une clé générique serait inappropriée pour cela. Toutefois Avast rassure de pouvoir fournir des outils pour lutter contre toutes les versions de Simplocker.

Chaque ramsomware ayant son taux de dégâts, il est recommandé de faire une sauvegarde des données, car même lorsque le téléphone ou le PC est désinfecté, rien ne garantit que les données chiffrées soient retrouvées à moins que les ravisseurs soient de « bonne foi » pour restituer les données chiffrées en cas de paiement de la rançon.

Source : Blog Cisco, Blog Avast

Et vous ?

Que pensez-vous de cette recrudescence des ransomwares ?
Avatar de bytecode bytecode - Membre habitué https://www.developpez.com
le 13/02/2015 à 18:41
Salut à tous,

Un simple XP avec un compte non admin et "quelques" réglages et un pare feu comme comodo

dans ce genre de cas un dump de la mémoire vive est la première chose à faire et si c'est pas dedans alors il va falloir essayer de reproduire l'infection en utilisant cuckoo sandbox et mettre les mains dans le cambouis
Avatar de frssi frssi - Nouveau Candidat au Club https://www.developpez.com
le 15/02/2015 à 17:42
Maudit malware...
Avatar de niuxe niuxe - Membre du Club https://www.developpez.com
le 20/02/2015 à 1:38
Offres d'emploi IT
Développeur Front-End F/H
Zenika - Bretagne - Rennes (35000)
DEVELOPPEUR JUNIOR FULL STACK
ADLOOX - Ile de France - Paris (75002)
DEVELOPPEUR OPEN-SOURCE BACK-END
confidentiel - Ile de France - 75011

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil