Les rançongiciels ont le vent en poupe… Non seulement ils sont de plus en plus présents, mais aussi de plus en plus agressifs. La guerre est ouverte entre les éditeurs de logiciels anti-virus, qui tentent de trouver des failles afin de permettre le décryptage des données et d’offrir des protections efficaces et les créateurs de ces rançongiciels, qui modifient sans cesse leurs outils. Nous allons faire un point sur quelques nouveautés qu’il est bon de connaitre.
Les rançongiciels gagnent en puissance de « nocivité ». CryptXXX, par exemple, dans sa dernière version (3.1), ce rançongiciel évolue à une vitesse affolante, faisant de lui un danger redoutable pour nos parcs informatiques. Preuve en est, la liste de ses versions.
En moins d’un mois et demi, sept mises à jour majeures du code ont été découvertes. Dans sa dernière version, 3.100, le module StillerX a fait son apparition. Ce module a pour but de subtiliser, sur les ordinateurs infectés, les identifiants et mots de passes des utilisateurs. Il a été codé pour récupérer un nombre impressionnant de mots de passe, des identifiants enregistrés dans les navigateurs, aux équipements réseaux (routeurs), en passant par les identifiants de FTP, logiciels de messageries, applications de jeu, outils d’administration à distance, Microsoft Credential Manager, etc…
Dans cette dernière version, ce n’est pas la seule nouveauté. Le cryptage ayant été déchiffré, l’éditeur Kaspersky proposait un outil de décryptage des données. Le rançongiel a été modifié, rendant cet outil inopérant.
Il a aussi été ajouté un module de recherche sur le port 445, afin de trouver sur le LAN les partages réseaux accessibles. Ainsi, le chiffrement de fichiers accessibles à travers le réseau est possible. C’est donc un fléau sur un réseau d’entreprise.
Microsoft a identifié une nouvelle souche de rançongiciel qui mérite d’être présenté : ZCryptor.
L’originalité de ce rançongiciel tient dans son comportement, inspiré des vers. Il peut en effet se déplacer de machine en machine, via des supports externes (usb) ou des stockages réseaux.
Un chercheur chez Trend Micro (Michael Jay Villanueva) déclare :
« Ce ransomware est un des rares à être en mesure de se diffuser par lui-même. Il laisse une copie de lui-même sur les disques amovibles, rendant l’emploi des supports USB risqué »
ZCryptor se diffuse selon des méthodes classiques (par des spams, des macros Office ou via de faux logiciels d’installation de Flash Player). Une fois en place, ZCryptor s’assure d’être lancé au démarrage. Il va alors crypter un grand nombre de formats de fichiers (.doc, .docx, .txt, .xls, .xlsx, .xml, .jpeg, jpg, .png, .eps…), qui prennent alors l’extension .zcrypt.
On le voit donc, le rançongiciel a encore de quoi faire peur ! Les risques sont augmentés, car ils se renouvellent. Le rançongiciel est devenu très lucratif, et donc très répandu. Afin de maximiser les gains, les développeurs de ces « cochonneries » ont donc vite compris qu’en ajoutant quelques fonctionnalités, leurs créations seraient redoutables.
Pour votre réparation, La Souris Verte trouvera la solution pour vous rendre votre matériel dans le meilleur délais !
Changement d’un composant, remplacement d’un élément, mise à niveau de votre configuration, réinstallation complète de votre ordinateur, sauvegarde de vos données importantes, offre de changement en cas de devis trop important, etc…