Une histoire de ransomware: où il a commencé et où il va

Ransomware est un type de logiciel malveillant qui empêche l`accès normal à un système ou des fichiers, à moins que la victime paie une rançon. La plupart des gens sont familiers avec les variantes de crypto-ransomware, où les fichiers sont enfermés dans le cryptage uncrackable, mais le paradigme est en réalité beaucoup plus que cela.

En fait, ransomware remonte à près de dix ans. Comme beaucoup de menaces de sécurité informatique, il est originaire de la Russie et dans les pays limitrophes. Depuis sa première découverte, Ransomware a évolué pour devenir une menace de plus en plus puissante, capable d`extraire des rançons toujours plus grandes.

Au début Ransomware: De la Russie avec la haine

Les premiers spécimens ont été découverts ransomware en Russie entre 2005 et 2006. Ils ont été créés par des criminels organisés russes et visant essentiellement les victimes russes, ainsi que ceux qui vivent dans les pays nominalement voisins comme russophone Biélorussie, l`Ukraine et le Kazakhstan.

RussianRansomware

L`une de ces variantes ransomware a été appelé TROJ_CRYZIP.A. Ceci a été découvert en 2006, bien avant que le terme a été inventé. Il en grande partie des machines affectées sous Windows 98, ME, NT, 2000, XP et Server 2003. Une fois téléchargé et exécuté, il identifierait les fichiers avec un certain type de fichier, et les déplacer vers un mot de passe protégé par dossier ZIP, ayant supprimé la originaux. Pour la victime de récupérer leurs fichiers, ils devraient transférer 300 $ à un compte E-Gold.

E-Gold peut être décrit comme un prédécesseur spirituel BitCoin. Une monnaie anonyme, numérique à base d`or qui a été géré par une société basée en Floride, mais enregistré à Saint-Kitts-et-Nevis, il a offert l`anonymat relatif, mais est rapidement devenu favorisé par des criminels organisés comme une méthode pour blanchir de l`argent sale. Cela a conduit le gouvernement américain à suspendre en 2009, et l`entreprise plié peu de temps après.

Plus tard, les variantes de ransomware utiliseraient des crypto-monnaies anonymes comme Bitcoin, cartes de débit prépayées, et même les numéros de téléphone surtaxés comme mode de paiement.

TROJ_RANSOM.AQB est une autre variante ransomware identifiée par Trend Micro en 2012. Sa méthode d`infection était de remplacer le Master Boot Record (MBR) de Windows avec son propre code malveillant. Lorsque l`ordinateur démarré, l`utilisateur un message de rançon écrit en russe, ce qui a exigé que la victime paie 920 Hryvnia ukrainien via QIWI - une base Chypre, système de paiement russe appartenant. Lorsque payé, la victime obtiendrait un code, ce qui leur permettrait de restaurer leur ordinateur à la normale.

MBR_Ransomware

Avec un grand nombre des opérateurs de ransomware identifiés étant identifiés comme de la Russie, on pourrait faire valoir que l`expérience acquise en ciblant le marché intérieur les a fait mieux en mesure de cibler les utilisateurs internationaux.

Arrêtez, police!

Vers la fin des années 2000 et le début des années 2010, ransomware est de plus en plus reconnu comme une menace pour les utilisateurs internationaux. Mais il y avait encore un long chemin à parcourir avant homogénéisée dans la puissante variante de crypto-ransomware que nous voyons aujourd`hui.

À cette époque, il est devenu commun pour ransomware à usurper l`identité d`application de la loi afin d`en extraire des rançons. Ils accusaient la victime d`être impliqué dans un crime - allant de simple infraction au droit d`auteur, à la pornographie illicite - et dire que leur ordinateur est sous enquête, et a été verrouillé.

Ensuite, ils donner à la victime un choix. La victime pourrait choisir de payer une « amende ». Cela baisserait les charges, et le retour (accès inexistant) à l`ordinateur. Si la victime a retardé, l`amende double. Si la victime a refusé de payer entièrement, le ransomware serait les menacer d`arrestation, le procès et l`emprisonnement potentiel.

La variante la plus largement reconnue de ransomware de police était Reveton. Ce qui a fait Reveton si efficace est que la localisation utilisée pour paraître plus légitime. Il travaillerait où l`utilisateur est basée, et usurper l`identité puis l`application de la loi locale pertinente.

RevetonFrance

Donc, si la victime a été fondée aux États-Unis, la demande de rançon semble provenir du ministère de la Justice. Si l`utilisateur était italien, il adopte le style de la Guardia di Finanza. les utilisateurs britanniques verraient un message de la police métropolitaine ou police de Strathclyde Londres.

Les fabricants de Reveton ont couvert toutes leurs bases. Il a été localisé pour pratiquement tous les pays européens, ainsi que l`Australie, le Canada, la Nouvelle-Zélande et les États-Unis. Mais il y avait une faille. Comme il n`a pas les fichiers encrypter de l`utilisateur, il pourrait être supprimé sans aucun effet indésirable. Cela pourrait se faire avec un antivirus live-CD, ou en démarrant en mode sans échec.

Cryptolocker: Le premier grand Crypto-Ransomware

Crypto-ransomware n`a pas de faille. Il utilise le cryptage quasi-incassable pour ensevelir les fichiers de l`utilisateur. Même si le fichier a été supprimé, les fichiers restent verrouillés. Cela met une pression immense sur la victime de payer.

Cryptolocker a été le premier crypto-ransomware largement reconnaissable, et est apparu vers la fin de 2013. Il est difficile d`estimer l`ampleur des utilisateurs infectés avec un degré de précision. ZDNet, une revue technologique très respecté, a retracé quatre adresses Bitcoin utilisées par les logiciels malveillants, et a découvert qu`ils ont reçu environ 27 millions $ en paiements.Cryptolocker est le Nastiest Malware jamais & Voici ce que vous pouvez faireCryptolocker est le Nastiest Malware jamais & Voici ce que vous pouvez faireCryptolocker est un type de logiciel malveillant qui rend votre ordinateur entièrement inutilisable en chiffrant tous vos fichiers. Il demande alors le paiement monétaire avant que l`accès à votre ordinateur est retourné.Lire la suite

cryptolocker-exemple

Video: LE PIRE VIRUS DU DARKNET - InToDeep (ransomware)

Il a été distribué par les pièces jointes infectées, qui ont été propagées par de vastes réseaux de spam, ainsi que par le botnet Gameover ZeuS. Une fois qu`il avait compromis un système, il serait alors chiffrer systématiquement des documents et des fichiers médias avec une forte cryptographie à clé publique RSA.

La victime aurait alors un court laps de temps pour payer une rançon de 400 $ US ou 400 € EUR, soit par Bitcoin, soit par GreenDot MoneyPak - un système bon prépayé favorisé par les cyber-criminels. Si la victime a omis de payer dans les 72 heures, les opérateurs ont menacé de supprimer la clé privée, ce qui rend impossible le décryptage.

En Juin 2014, les serveurs de distribution cryptolocker ont été pris une coalition d`universitaires, les éditeurs de sécurité, et les organismes d`application de la loi dans l`opération Tovar. Deux fournisseurs - FireEye et Fox-IT - ont pu accéder à une base de données de clés privées utilisées par cryptolocker. Ils ont ensuite libéré un service ce qui a permis aux victimes de décrypter leurs fichiers gratuitement.Cryptolocker Is Dead: Voici comment vous pouvez obtenir vos fichiers!Cryptolocker Is Dead: Voici comment vous pouvez obtenir vos fichiers!Lire la suite

Video: Comment opère le ransomware, rançongiciel ou logiciel de rançon

Bien que cryptolocker était de courte durée, il a prouvé avec certitude que le modèle crypto-ransomware pourrait être lucratif, et a donné lieu à une course aux armements quasi numériques. Alors que les fournisseurs de sécurité ont établi l`atténuation, les criminels libérés toujours sophistiqués variantes de ransomware.

TorrentLocker et CryptoWall: Ransomware devient plus intelligent

L`une de ces variantes de ransomware améliorés ont été TorrentLocker, qui a émergé peu après la chute de cryptolocker.

C`est une forme plutôt piéton de crypto-ransomware. Comme la plupart des formes de-ransomware Crypto, son vecteur d`attaque est des pièces jointes malveillantes, en particulier les documents Word avec macros malveillants. Une fois qu`une machine est infectée, il va chiffrer l`assortiment habituel des médias et des fichiers de bureau en utilisant le cryptage AES.Comment Protégez-vous contre les logiciels malveillants Microsoft WordComment Protégez-vous contre les logiciels malveillants Microsoft WordSaviez-vous que votre ordinateur peut être infecté par des documents Microsoft Office malveillants, ou que vous pourriez être dupés en permettant aux paramètres dont ils ont besoin d`infecter votre ordinateur?Lire la suite

La plus grande différence est dans les notes de rançon affichée. TorrentLocker afficherait la rançon nécessaire en monnaie locale de la victime. Donc, si la machine infectée était basée en Australie, TorrentLocker afficherait le prix en dollars australiens, payable en BitCoin. Il liste même des échanges de Bitcoin locaux.

torrentlocker-buydecryption

Il y a même eu des innovations dans le processus d`infection et faux-fuyants. Prenez 4,0 CryptoWall, par exemple, la dernière souche dans la famille craint de Crypto-ransomware.

Cela a changé la façon dont il infecte les systèmes et renomme maintenant tous les fichiers infectés, empêchant ainsi l`utilisateur de déterminer ce qui a été crypté, et rend plus difficile à restaurer à partir d`une sauvegarde.

Ransomware Cibles Maintenant plates-formes de niche

La très grande majorité, les cibles ransomware ordinateurs fonctionnant sous Windows, et dans une moindre mesure les smartphones fonctionnant sous Android. La raison pour laquelle la plupart du temps peut être attribué à des parts de marché. Beaucoup plus de personnes utilisent Windows que Linux. Cela rend Windows une cible plus attrayante pour les développeurs de logiciels malveillants.

Mais au cours de l`année écoulée, cette tendance a commencé à inverser - quoique lentement - et nous commençons à voir ciblé Crypto-ransomware vers les utilisateurs de Mac et Linux.

Linux.Encoder.1 a été découvert en Novembre 2015 par Dr.Web - une importante société cyber-sécurité russe. Il est à distance exécuté par un défaut dans le CMS Magento, et chiffrer un certain nombre de types de fichiers (fichiers de bureau et des médias, ainsi que des types de fichiers associés aux applications Web) en utilisant la cryptographie à clé publique RSA et AES. Afin de décrypter les fichiers, la victime devra payer une rançon d`un Bitcoin.

LinuxEncoder

Plus tôt cette année, nous avons vu l`arrivée du ransomware KeRanger, qui visait les utilisateurs de Mac. Cela a eu un vecteur d`attaque inhabituelle, comme il est entré dans les systèmes en infiltrant les mises à jour logicielles de transmission - un client BitTorrent populaire et légitime.Quelles sont les menaces de sécurité des utilisateurs face Mac en 2016?Quelles sont les menaces de sécurité des utilisateurs face Mac en 2016?Méritais ou non, Mac OS X a la réputation d`être plus sûr que Windows. Mais est-ce que la réputation encore mérité? Quelles sont les menaces de sécurité existent pour la plate-forme Apple, et comment sont-ils affecter les utilisateurs?Lire la suite

Video: Ransomware - Rançongiciel

Alors que la menace de ransomware à ces plates-formes est faible, il est de plus en plus indéniable et ne peut être ignorée.

L`avenir de Ransomware: Destruction en tant que service

Alors, qu`est-ce que l`avenir de ransomware ressembler? Si je devais le mettre en mots: marques et franchises.

Tout d`abord, nous allons parler de franchises. Une tendance intéressante a émergé au cours des dernières années, dans le respect que le développement de ransomware est devenu incroyablement banalisées. Aujourd`hui, si vous êtes infecté par ransomware, il est tout à fait plausible que la personne qui a distribué, est pas la personne qui l`a créé.

Ensuite, il y a l`image de marque. Alors que de nombreuses souches ransomware ont gagné le nom de reconnaissance pour le pouvoir destructeur qu`ils possèdent, certains fabricants ont pour objectif de rendre leurs produits de manière anonyme et générique que possible.

La valeur d`une ransomware marque blanche est qu`il peut être remarquées. D`une principale souche ransomware, des centaines d`autres peuvent émerger. Il est peut-être cette raison pour laquelle au cours du premier trimestre de 2015, plus de 725 000 échantillons de ransomware ont été recueillies par McAfee Labs. Cela représente une augmentation trimestrielle de près de 165%.

Il semble très peu probable que l`application de la loi et l`industrie de la sécurité seront en mesure de retenir cette marée montante.

Avez-vous été touché par ransomware? Est-ce que vous payez, perdre vos données ou parviennent à surmonter le problème d`une autre façon (peut-être une sauvegarde)? Parle-nous-en dans les commentaires!

Articles connexes