Cibler directement les données des utilisateurs dans le but de voler d'importantes sommes d'argent, l'une des formes de fraude les plus dangereuses. malware, Site de rançongiciel présente des défis majeurs pour les producteurs antivirus, obligé de recourir à des procédures méthodologiques agressives pour garantir que les utilisateurs ne soient pas affectés. Malheureusement, quelle que soit la qualité du programme antivirus utilisé, la récupération de tous les fichiers compromis reste possible. infection par ransomware elle n'est absolument pas garantie, la prévention étant le seul moyen de protection véritablement efficace.
Type de malware capable de supprimer l'ensemble des photos et des documents de la mémoire de l'appareil, laissant derrière eux des versions cryptées qui ne peuvent être ouvertes qu'au moyen d'une clé d'accès, le ransomware est la version numérique des vols avec prise d'otages.
Si les premières formes de ransomware utilisaient des méthodes relativement rudimentaires, chiffrant les fichiers des utilisateurs à l'aide de clés de chiffrement uniques, relativement faciles à récupérer pour les fabricants d'antivirus, qui fournissaient des utilitaires de désinfection, capables de récupérer entièrement les fichiers bloqués, on ne peut pas en dire autant des variantes beaucoup plus sophistiquées (par ex. Cryptowall), qui génèrent des clés de chiffrement uniques pour chaque appareil infecté, qu'ils transmettent à un serveur de collecte appartenant aux attaquants. La plupart du temps, les fichiers ainsi cryptés ne peuvent pas être récupérés, les dommages causés aux utilisateurs et aux entreprises concernés étant considérables.
In functie de versiune, aceasta forma de malware poate fi raspandita exploatand vulnerabilitati ale browser-ului web, activate la vizitarea unui website compromis, sau prin instalarea din greseala a unei extensii sau componenta plugin propusa la vizitarea unui website. O alta modalitate mai putin cunoscuta de executare automata a virusilor pe computerele victimelor si de criptare a continutului acestora este atasarea fisierelor infectate la mesaje email formulate convingator, uneori chiar personalizate pentru tinta aleasa. Aceasta este metoda preferata de Cryptowall, o versiune avansata a Cryptolocker, care cripteaza documentele din computerele infectate si, apoi, cere bani de la utilizator, in schimbul cheii de decriptare. Fisierul infectat, atasat la mesajul email, utilizeaza extensia .chm, associé Format HTML compilé, un type de fichier apparemment inoffensif normalement utilisé pour fournir des manuels d'utilisation et applications logicielles. En fait, ces fichiers sont interactifs et exécutent une série de technologies qui incluent Javascrip, ayant la possibilité de rediriger l'utilisateur vers une adresse externe. Après avoir simplement ouvert un le fichier .chm, il effectue diverses actions de manière indépendante, l’objectif final étant la production d’une infection.
relativement nouveau, Cheval de Troie.DownLoad3.35539 (variante CTB-Locker) est distribué par courrier électronique, en pièce jointe dans Archives ZIP, contenant un fichier avec Extension .SCR. Si le fichier est ouvert, le programme infecté l'extrait sur le disque dur un document RTF qu'il affiche sur l'écran. Pendant ce temps, en arrière-plan, le programme de cryptage est téléchargé depuis un serveur sous le contrôle des attaquants. Une fois décompressé et activé, il procède à l'analyse des dispositifs de stockage à la recherche des documents personnels de l'utilisateur, qu'il saisit, en remplaçant l'original par des versions cryptées. Une fois la mission terminée, l'utilisateur est averti par un message qu'il doit payer pour le rachat des données personnelles.
Comment prévenir l’infection par Cryptowall et d’autres formes similaires de ransomware ?
Suivant les indications des experts Bitdefender, utilizatorii obisnuiti si administratorii de sistem pot diminua considerabil riscul de infectare, cat si pagubele provocate de aceasta, tinand cont de cateva reguli de baza:
- Utilizeaza o solutie de securitate informatica actualizata in mod constant si capabila de scanare activa.
- Programeaza back-up-ul fisierelor pe unul sau mai multe hard disk-uri externe ce nu raman conectate permanent la PC sau in reteaua locala sau folosind un serviciu de stocare cloud.
- Evita vizitarea site-urilor necunoscute, nu accesa link-uri sau fisiere incluse ca atasament la mesaje email cu origine nesigura si nu furniza informatii personale pe chat-uri publice sau forum-uri. Cateodata, este posibil ca mesaje cu atasamente infectate sa fie primite inclusiv de la adrese cunoscute, daca PC-ul aflat la celalalt capat a fost compromis, sau adresa email a fost adaugata abuziv la campul Expeditor.
- Implementeaza/activeaza o solutie de blocare a reclamelor, precum si filtre antispam.
- Foloseste un web browser cu suport pentru virtualizares sau dezactiveaza complet suportul pentru redarea de continut Éclair.
- Angajatorii ar trebui sa isi instruiasca angajatii in ceea ce priveste identificarea tentativelor de inginerie sociala si phishing, folosind mesaje email.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Totodata, administratorii de sistem trebuie sa consolideze politicile de grup pentru a bloca executia virusului din locatii specifice. Acest lucru poate fi realizat pe Windows Professional ou Windows Server Edition. Optiunea Software Restriction Policies poate fi intalnita in editorul Politique de sécurité locale. Dupa accesarea butonului New Software Restriction Policies d'en bas Additional Rules, vor fi folosite urmatoarele Path Rules cu nivel de securitate “Dissallowed”:
Utilizarea acestor mecanisme ar trebui sa limiteze sau sa blocheze Cryptowall, dar pentru o mai multa protectie, Bitdefender ne propune Cryptowall Immunizer. Actionand ca mecanism suplimentar de protectie, ce functioneaza in paralel cu solutia antivirus activata in mod permanent, utilitarul permite utilizatorilor sa isi imunizeze computerele si sa blocheze orice incercare de criptare a fisierelor, inainte ca aceasta sa aiba loc.
