Cibler directement les données des utilisateurs dans le but de voler d'importantes sommes d'argent, l'une des formes de fraude les plus dangereuses. malware, Site de rançongiciel présente des défis majeurs pour les producteurs antivirus, obligé de recourir à des procédures méthodologiques agressives pour garantir que les utilisateurs ne soient pas affectés. Malheureusement, quelle que soit la qualité du programme antivirus utilisé, la récupération de tous les fichiers compromis reste possible. infection par ransomware elle n'est absolument pas garantie, la prévention étant le seul moyen de protection véritablement efficace.

Type de malware capable de supprimer l'ensemble des photos et des documents de la mémoire de l'appareil, laissant derrière eux des versions cryptées qui ne peuvent être ouvertes qu'au moyen d'une clé d'accès, le ransomware est la version numérique des vols avec prise d'otages.

Si les premières formes de ransomware utilisaient des méthodes relativement rudimentaires, chiffrant les fichiers des utilisateurs à l'aide de clés de chiffrement uniques, relativement faciles à récupérer pour les fabricants d'antivirus, qui fournissaient des utilitaires de désinfection, capables de récupérer entièrement les fichiers bloqués, on ne peut pas en dire autant des variantes beaucoup plus sophistiquées (par ex. Cryptowall), qui génèrent des clés de chiffrement uniques pour chaque appareil infecté, qu'ils transmettent à un serveur de collecte appartenant aux attaquants. La plupart du temps, les fichiers ainsi cryptés ne peuvent pas être récupérés, les dommages causés aux utilisateurs et aux entreprises concernés étant considérables.

Selon la version, cette forme de malware peut se propager en exploitant les vulnérabilités de navigateur Internet, activé lors de la visite d'un site Web compromis, ou en installant par erreur une extension ou un composant plugin proposé lors de la visite d'un site Web. Un autre moyen moins connu d'exécuter automatiquement des virus sur les ordinateurs des victimes et de chiffrer leur contenu consiste à joindre des fichiers infectés à des messages électroniques rédigés de manière convaincante, parfois même personnalisés pour la cible choisie. C'est la méthode préférée de Cryptowall, une version avancée de Cryptolocker, care cripteaza documentele din computerele infectate si, apoi, cere bani de la utilizator, in schimbul cheii de decriptare. Fisierul infectat, atasat la mesajul email, utilizeaza extensia .chm, associé Format HTML compilé, un type de fichier apparemment inoffensif normalement utilisé pour fournir des manuels d'utilisation et applications logicielles. En fait, ces fichiers sont interactifs et exécutent une série de technologies qui incluent Javascrip, ayant la possibilité de rediriger l'utilisateur vers une adresse externe. Après avoir simplement ouvert un le fichier .chm, il effectue diverses actions de manière indépendante, l’objectif final étant la production d’une infection.

Relativ nou, Cheval de Troie.DownLoad3.35539 (variante CTB-Locker) est distribué par courrier électronique, en pièce jointe dans Archives ZIP, contenant un fichier avec Extension .SCR. Si le fichier est ouvert, le programme infecté l'extrait sur le disque dur un document RTF qu'il affiche sur l'écran. Pendant ce temps, en arrière-plan, le programme de cryptage est téléchargé depuis un serveur sous le contrôle des attaquants. Une fois décompressé et activé, il procède à l'analyse des dispositifs de stockage à la recherche des documents personnels de l'utilisateur, qu'il saisit, en remplaçant l'original par des versions cryptées. Une fois la mission terminée, l'utilisateur est averti par un message qu'il doit payer pour le rachat des données personnelles.

Comment prévenir l’infection par Cryptowall et d’autres formes similaires de ransomware ?

Suivant les indications des experts Bitdefender, utilizatorii obisnuiti si administratorii de sistem pot diminua considerabil riscul de infectare, cat si pagubele provocate de aceasta, tinand cont de cateva reguli de baza:

• Utilizeaza o solutie de securitate informatica actualizata in mod constant si capabila de scanare activa.
• Programeaza back-up-ul fisierelor pe unul sau mai multe hard disk-uri externe ce nu raman conectate permanent la PC sau in reteaua locala sau folosind un serviciu de stocare cloud.
• Évitez de visiter des sites inconnus, n'accédez pas aux liens ou aux fichiers inclus en pièce jointe aux messages électroniques d'origine incertaine et ne fournissez pas d'informations personnelles sur les discussions ou forums publics. Parfois, il est possible que des messages contenant des pièces jointes infectées soient reçus, y compris à partir d'adresses connues, si le PC à l'autre bout du fil a été compromis ou si l'adresse e-mail a été ajoutée de manière incorrecte dans le champ Expéditeur.
• Implémentez/activez également une solution de blocage des publicités filtre anti-spam.
• Utilisez un navigateur Web prenant en charge la virtualisation ou désactivez complètement la prise en charge de la lecture de contenu Éclair.
• Les employeurs devraient former leurs employés à l’identification des tentatives d’ingénierie sociale et phishing, en utilisant des messages électroniques.

"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"

Totodata, administratorii de sistem trebuie sa consolideze politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional ou Édition Windows Serveur. Optiunea Software Restriction Policies poate fi intalnita in editorul Politique de sécurité locale. Dupa accesarea butonului New Software Restriction Policies d'en bas Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate “Dissallowed”:

Utilizarea acestor mecanisme ar trebui sa limiteze sau sa blocheze Cryptowall, dar pentru o mai multa protectie, Bitdefender ne propune Cryptowall Immunizer. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu solutia antivirus activata in mod permanent, utilitarul permite utilizatorilor sa isi imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor, inainte ca aceasta sa aiba loc.