background preloader

Ransomwares

Facebook Twitter

Gmail bloque les pièces jointes JavaScript, vecteur courant de malwares. En février, l'extension de fichier .JS sera ajoutée à une liste de 31 formats de fichiers déjà bloqués par Gmail.

Gmail bloque les pièces jointes JavaScript, vecteur courant de malwares

À partir du 13 février, Google n'autorisera plus les pièces jointes JavaScript sur son service Gmail. Le service de messagerie compte ainsi fermer l’un des principaux canaux utilisés au cours de ces deux dernières années pour distribuer des logiciels malveillants. Les utilisateurs ne pourront plus joindre de fichiers .JS aux courriels Gmail, directement ou sous forme d’archives du type .gz, .bz2, .zip ou .tgz. Néanmoins, s’ils doivent impérativement partager ces fichiers par courrier électronique, ils pourront les télécharger sur un service de stockage, Google Drive éventuellement, puis partager le lien. Le malware Killdisk évolue en ransomware. L'outil de cyber-sabotage Killdisk se transforme en ransomware exigeant une rançon astronomique.

Le malware Killdisk évolue en ransomware

(crédit : D.R.) Le malware Killdisk est maintenant capable de crypter des fichiers sur les systèmes Windows et Linux et demande 216 000 dollars pour les restaurer. Le programme malveillant Killdisk qui a été très actif ces dernières années avec des attaques informatiques conduisant à l’effacement de données sur des ordinateurs, connaît une seconde jeunesse en devenant un ransomware. Principale particularité, la demande de rançon est inhabituellement élevée. Killdisk est l’un des composants qui a été utilisé avec le malware Black Energy pour attaquer plusieurs centrales électriques ukrainiennes en décembre 2015. RansomWhere?, un outil capable de bloquer les ransomwares sur Mac. L’outil RansomWhere?

RansomWhere?, un outil capable de bloquer les ransomwares sur Mac

Peut, pour l’instant, bloquer l’action des ransomwares sur les Mac. Petite parade pour Mac OSX, l'outil RansomWhere? Détecte le moment précis où les programmes de ransomware commencent le chiffrement des fichiers, puis les bloque. Les ransomwares sont devenus la nouvelle plaie qui touche aussi bien les particuliers que les entreprises. Une PME du Béarn vient ainsi de régler une somme à quatre chiffres à des cyberpirates pour retrouver ses fichiers chiffrés sur les quinze ordinateurs de l’entreprise. Si BitDefender propose depuis quelques semaines un agent pour bloquer gratuitement le tristement célèbre ransomware Locky mais également CTB-Locker, TeslaCrypt et Petya, rien n’était encore disponible pour la plate-forme Mac OSX.

L'outil surveille les répertoires personnels des utilisateurs et détecte si des fichiers chiffrés sont rapidement créés à l'intérieur - un signe révélateur de l'activité d’un ransomware. Cybereason dévoile Ransomfree, un outil gratuit pour bloquer les ransomwares. Une fenêtre de Ransomfree alerte l'administrateur quand un processus malicieux est détectée.

Cybereason dévoile Ransomfree, un outil gratuit pour bloquer les ransomwares

(crédit : D.R.) Cybereason, une start-up d'origine israélienne, propose Ransomfree, un outil gratuit capable de bloquer les principaux ransomwares sur les postes de travail Windows. Kaspersky débloque les fichiers chiffrés par le dernier CryptXXX. Téléchargeable sur Nomoreransom.org, l'outil de déchiffrage RannohDecryptor de Kaspersky permet de déchiffrer les fichiers bloqués par CryptXXX et terminés par crypt, cryp1 ou crypz.

Kaspersky débloque les fichiers chiffrés par le dernier CryptXXX

Selon les statistiques de Kaspersky, près de 80 000 internautes dans le monde auraient déjà été touchés par le ransomware CryptXXX parmi la base d'utilisateurs qu'il suit, soit en réalité beaucoup plus si l'on extrapole aux autres utilisateurs. L'éditeur de logiciels de sécurité livre un nouvel outil de déchiffrage des fichiers pour réparer les dégâts d'une autre variante du rançongiciel. Les variantes du ransomware CryptXXX ont déjà infecté des milliers de PC dans le monde. Selon les statistiques recueillies par Kaspersky Lab sur sa base installée, le logiciel malveillant aurait touché au moins 80 000 de ses utilisateurs, plus de la moitié étant concentrés dans six pays (Etats-Unis, Russie, Allemagne, Japon, Inde et Canada).

Des Trojans Android bancaires dotés de fonctions de ransomware. Faketoken a réussi à infecter plus de 16 000 appareils dans 27 pays, ici en imitant Yandex.Navigator pour demander des droits d'administrateur.

Des Trojans Android bancaires dotés de fonctions de ransomware

En plus de voler des informations financières et des identifiants de connexion, deux chevaux de Troie Android se sont dotés de fonctions de cryptage spécifiques des ransomwares. Les cybercriminels ont ajouté des fonctions de cryptage de fichiers aux chevaux de Troie qui sévissent traditionnellement dans les services bancaires mobiles. En plus des menaces courantes, en particulier le vol d’informations sensibles, ces malwares peuvent désormais verrouiller les fichiers de l’utilisateur. La principale fonction de l’un de ces deux chevaux de Troie, dénommé Faketoken, est de générer de faux écrans de connexion sur plus de 2 000 applications financières afin de voler les identifiants de connexion. L'Allemagne et la Russie touchés Mais cela n’empêche pas, semble-t-il, les développeurs de malware d'expérimenter ces techniques. Ransomware : une attaque toutes les 40 secondes contre les PME. On assiste à un triplement des attaques de ransomware contre les PME en 2016.

Ransomware : une attaque toutes les 40 secondes contre les PME

(Crédit D.R.) Entre janvier et septembre 2016, le nombre d'attaques de ransomware contre les entreprises a triplé. En septembre, Kaspersky Lab enregistrait une attaque de ce type toutes les 40 secondes contre une toutes les 2 minutes en début d'année. Les cibles de ransomware arrivent à déjouer les attaques. 900 PC cryptés par un ransomware à la régie des transports de SF. Si les rames du Muni de SF n'ont pas été bloquées par HDDCryptor, la mairie a du réinstaller près de 900 PC touchés par le ransomware.

900 PC cryptés par un ransomware à la régie des transports de SF

Grâce aux sauvegardes, aucune donnée touchée n'aurait été touchée dans l'attaque de la régie des transports de San Francisco par le ransomware HDDCryptor. La Municipal Transportation Agency de San Francisco (SFMTA), la régie municipale chargée de l'exploitation des transports collectifs de la ville californienne, a déclaré lundi soir qu’aucune donnée n’avait été compromise dans l’attaque de ses systèmes par un ransomware et qu’elle n’a jamais envisagé de payer la rançon demandée par l'attaquant qui menaçait de publier les données volées.

Des transports gratuits pendant 3 jours. Hausse de 113% des attaques par ransomware en 2014. En 2014, 24 vulnérabilités zero-day ont été détectées par Symantec.

Hausse de 113% des attaques par ransomware en 2014

(crédit : D.R.) La dernière édition de l'Internet Security Threat Report de Symantec montre une recrudescence des attaques de pirates par le biais de ransomware mais également de sa variante, crypto locker, qui a fait 45 fois plus de victimes qu'en 2013. Symantec estime qu'à l'heure actuelle, la question n'est plus de savoir si vous allez être attaqué, mais quand.

La dernière version de son Internet Security Threat Report met en avant les nouvelles techniques des cyberpirates, comme le précise Kevin Haley, Directeur de Symantec Security Response: « Les attaquants n'ont pas besoin de forcer la porte du réseau d'une entreprise si la clé est déjà à portée de main. Face aux ransomware, la sécurité embarquée dans Office 365 ne suffit plus.

Lorsqu’on choisi de basculer sa messagerie sur Office 365, donc dans le Cloud pour des raisons d’efficacité opérationnelle, pour des raisons de coût, impossible de sécuriser le serveur de messagerie comme on savait le faire en mode on-premise.

Face aux ransomware, la sécurité embarquée dans Office 365 ne suffit plus

Tout ce qu’un fournisseur de serveur Cloud tel que Microsoft avec sa messagerie Office 365, c’est une case à cocher afin de bénéficier de la sécurité embarquée proposée par l’éditeur. Or, d’un strict point de vue technique, cette protection basée sur la détection des seules signatures de malware, est notoirement insuffisante. La liste des entreprises qui ont jugé la protection proposée par Microsoft avec Office 365 comme suffisante et qui ont été frappées ces derniers mois par un ransomware s’allonge de manière alarmante.

Une vague massive de spams JavaScript distribue le ransomware Locky. La France est moins touchée que le Luxembourg ou l'Angleterre par cette vague de spams portant Locky. (cliquer sur l'image pour l'agrandir) Les pays européens sont aujourd'hui victimes d'une vague de spams essayant d'exécuter un code JavaScript installant le redoutable ransomware Locky. Au cours de la semaine écoulée, un grand nombre d’ordinateurs à travers l'Europe - et d'autres endroits dans le monde dont les Etats-Unis et le Canada - ont été touchés par une campagne massive de spams transportant des pièces jointes JavaScript malveillantes qui installent le ransomware Locky.

Les pièces jointes sont généralement des fichiers d'archives .zip qui contiennent .js ou fichiers .jse intérieur. Ces fichiers s'exécutent directement sous Windows sans avoir besoin d'applications supplémentaires. Le ransomware Satana chiffre les fichiers et le boot de Windows. Les programmes de type ransomware sont de plus en plus agressifs et destructeurs. (Crédit : IDGNS) Le dernier ransomware du moment baptisé Satana sait à la fois crypter les fichiers des machines Windows, mais aussi le secteur d'amorçage maître ou Master Boot Record (MBR), empêchant les ordinateurs de charger le système d'exploitation.

C'est le second ransomware après Petya capable d'empêcher un ordinateur de booter sur son OS. Selon les chercheurs de l’entreprise de sécurité Malwarebytes, le programme surnommé Satana - « Satan » en italien et en roumain - est fonctionnel, mais toujours en développement. Des pièces jointes JavaScript diffusent le ransomware RAA. Le rançongiciel RAA est distribué à travers des fichiers .JS envoyés par spam. (crédit photo : Peter Sayer/IDG News Service) Sous le nom de RAA, un nouveau programme malveillant réclame des rançons à ses victimes. Ecrit en JavaScript, il se diffuse à travers des pièces jointes d'e-mails envoyés par spam. Le ransomware Locky propagé par des macros Word fait des ravages. Le ransomware Locky permet à des pirates de chiffrer des données qui ne délivrent une clé de chiffrement qu'une fois la rançon versée. (crédit : D.R.) Utilisant la même technique de vol de données que le cheval de Troie Dridex, de sinistre mémoire, le ransomware Locky est actuellement massivement poussé sur des ordinateurs cibles.

Une rançon de 17 000 dollars a été demandée à un centre hospitalier américain pour remettre en marche son système d'information. Un nouveau type de ransomware utilisant les mêmes modalités d'attaque que le fameux malware bancaire Dridex, fait des ravages sur les machines de certains utilisateurs. En général, les victimes reçoivent par courrier électronique une facture incluant une macro sous forme de document Microsoft Word, ou une petite application, qu’elles ouvrent sans trop de méfiance. Des clés pour débloquer des milliers d'ordinateurs victimes d'un ransomware. Le responsable du ransomware Locker a publié son mea culpa sur Pastebin. L'auteur présumé du ransomware Locker présente ses excuses pour les actions commises et affiche les clefs pour déchiffrer les fichiers verrouillés avec son outil.

Dans une sortie particulièrement étonnante sur Pastebin, l'auteur présumé du ransomware Locker, également connu sous le nom CryptoLocker V, a publiquement présenté ses excuses aux milliers de victimes du malware. Un ransomware sous Android modifie le code PIN. Une fois le code PIN modifié par le malware, l'utilisateur ne peut plus accéder à son terminal. Dernière menace en date pour la plate-forme Android, un ransomware particulièrement sournois qui peut changer le code PIN d'un mobile. Un outil pour décrypter des fichiers verrouillés par le ransomware CoinVault. 1ère attaque ransomware pour Mac bloquée par Apple. Après Windows et Linux, les ramsomwares s'attaquent au monde Mac en infectant le populaire logiciel bitorrent Transmission. Pour éviter une réaction en chaîne, Apple a contré la toute première attaque d'un ransomware ciblant les utilisateurs Mac En l’espace d’un week-end, et avec l'aide de chercheurs en sécurité, Apple a rapidement bloqué une cyberattaque visant à infecter les utilisateurs de Mac avec des logiciels de cryptage de fichiers malveillants autrement appelés ransomware.

Ce dernier avait été intégré dans une application BitTorrent légitime appelée Transmission. Sanctuariser ses données avant le cryptage par un ransomware.