Gmail bloque les pièces jointes JavaScript, vecteur courant de malwares. En février, l'extension de fichier .JS sera ajoutée à une liste de 31 formats de fichiers déjà bloqués par Gmail. À partir du 13 février, Google n'autorisera plus les pièces jointes JavaScript sur son service Gmail. Le service de messagerie compte ainsi fermer l’un des principaux canaux utilisés au cours de ces deux dernières années pour distribuer des logiciels malveillants. Les utilisateurs ne pourront plus joindre de fichiers .JS aux courriels Gmail, directement ou sous forme d’archives du type .gz, .bz2, .zip ou .tgz.
Néanmoins, s’ils doivent impérativement partager ces fichiers par courrier électronique, ils pourront les télécharger sur un service de stockage, Google Drive éventuellement, puis partager le lien. L'extension de fichier .JS sera ajoutée à la liste des fichiers déjà interdits par le service de messagerie. Le malware Killdisk évolue en ransomware. L'outil de cyber-sabotage Killdisk se transforme en ransomware exigeant une rançon astronomique. (crédit : D.R.) Le malware Killdisk est maintenant capable de crypter des fichiers sur les systèmes Windows et Linux et demande 216 000 dollars pour les restaurer. Le programme malveillant Killdisk qui a été très actif ces dernières années avec des attaques informatiques conduisant à l’effacement de données sur des ordinateurs, connaît une seconde jeunesse en devenant un ransomware.
Principale particularité, la demande de rançon est inhabituellement élevée. Le malware a depuis évolué pour devenir redoutable. . « Les cybercriminels derrière cette variante Killdisk ne peuvent pas fournir à leurs victimes les clefs de décryptage pour récupérer leurs fichiers, et ce même si les victimes paient la très grosse somme exigée par ce ransomware », ont souligné les chercheurs d’Eset. On ne sait pas pourquoi les créateurs de Killdisk ont ajouté cette fonctionnalité de cryptage. RansomWhere?, un outil capable de bloquer les ransomwares sur Mac. L’outil RansomWhere? Peut, pour l’instant, bloquer l’action des ransomwares sur les Mac. Petite parade pour Mac OSX, l'outil RansomWhere? Détecte le moment précis où les programmes de ransomware commencent le chiffrement des fichiers, puis les bloque. Les ransomwares sont devenus la nouvelle plaie qui touche aussi bien les particuliers que les entreprises. Une PME du Béarn vient ainsi de régler une somme à quatre chiffres à des cyberpirates pour retrouver ses fichiers chiffrés sur les quinze ordinateurs de l’entreprise.
Rien à faire malgré toutes les mises en garde répétées sur toutes les ondes web, papier, tv et radio, les ransomwares progressent avec comme dernière variante (avec Jigsaw) un compte à rebours pour détruire les fichiers cryptés si les clients ne cèdent pas au chantage. L'outil surveille les répertoires personnels des utilisateurs et détecte si des fichiers chiffrés sont rapidement créés à l'intérieur - un signe révélateur de l'activité d’un ransomware. RansowmWhere? Cybereason dévoile Ransomfree, un outil gratuit pour bloquer les ransomwares. Cybereason, une start-up d'origine israélienne, propose Ransomfree, un outil gratuit capable de bloquer les principaux ransomwares sur les postes de travail Windows. La guerre contre les ransomwares se poursuit sur plusieurs fronts avec des solutions pour les entreprises – une attaque toutes les 40 secondes - mais également pour les postes de travail. Nous vous avons déjà parlé de la coalition anti-ransomware emmenée par le Centre Européen de lutte contre la cybercriminalité d'Europol en partenariat avec la National High Tech Crime Uni et plusieurs éditeurs spécialisés dans la sécurité comme Kaspersky et Intel Security.
Aujourd’hui nous allons mettre en avant un outil gratuit destiné aux particuliers et aux petites entreprises : Ransomfree. Une fois installé, Ransomfree travaille en tâche de fonds pour détecter les activités suspectes et alerter l’administrateur qui pourra décider de bloquer ou pas le process suspicieux. Kaspersky débloque les fichiers chiffrés par le dernier CryptXXX.
Téléchargeable sur Nomoreransom.org, l'outil de déchiffrage RannohDecryptor de Kaspersky permet de déchiffrer les fichiers bloqués par CryptXXX et terminés par crypt, cryp1 ou crypz. Selon les statistiques de Kaspersky, près de 80 000 internautes dans le monde auraient déjà été touchés par le ransomware CryptXXX parmi la base d'utilisateurs qu'il suit, soit en réalité beaucoup plus si l'on extrapole aux autres utilisateurs. L'éditeur de logiciels de sécurité livre un nouvel outil de déchiffrage des fichiers pour réparer les dégâts d'une autre variante du rançongiciel. Les variantes du ransomware CryptXXX ont déjà infecté des milliers de PC dans le monde. Selon les statistiques recueillies par Kaspersky Lab sur sa base installée, le logiciel malveillant aurait touché au moins 80 000 de ses utilisateurs, plus de la moitié étant concentrés dans six pays (Etats-Unis, Russie, Allemagne, Japon, Inde et Canada).
Des Trojans Android bancaires dotés de fonctions de ransomware. Faketoken a réussi à infecter plus de 16 000 appareils dans 27 pays, ici en imitant Yandex.Navigator pour demander des droits d'administrateur. En plus de voler des informations financières et des identifiants de connexion, deux chevaux de Troie Android se sont dotés de fonctions de cryptage spécifiques des ransomwares. Les cybercriminels ont ajouté des fonctions de cryptage de fichiers aux chevaux de Troie qui sévissent traditionnellement dans les services bancaires mobiles. En plus des menaces courantes, en particulier le vol d’informations sensibles, ces malwares peuvent désormais verrouiller les fichiers de l’utilisateur.
La principale fonction de l’un de ces deux chevaux de Troie, dénommé Faketoken, est de générer de faux écrans de connexion sur plus de 2 000 applications financières afin de voler les identifiants de connexion. L'Allemagne et la Russie touchés Mais cela n’empêche pas, semble-t-il, les développeurs de malware d'expérimenter ces techniques. Eviter les apps fantaisistes. Ransomware : une attaque toutes les 40 secondes contre les PME. On assiste à un triplement des attaques de ransomware contre les PME en 2016. (Crédit D.R.) Entre janvier et septembre 2016, le nombre d'attaques de ransomware contre les entreprises a triplé.
En septembre, Kaspersky Lab enregistrait une attaque de ce type toutes les 40 secondes contre une toutes les 2 minutes en début d'année. Une entreprise sur cinq dans le monde est concernée. Selon un rapport de l’entreprise de sécurité Kaspersky Lab, entre janvier et septembre 2016, la fréquence des attaques de ransomware contre les entreprises est passée de deux minutes à 40 secondes. L’enquête réalisée par Kaspersky Lab montre aussi que les petites et moyennes entreprises ont été les plus touchées : au cours des 12 derniers mois, 42 % d'entre elles ont été victimes d'une attaque par un ransomware. Aujourd’hui, la formation du personnel IT pour prévenir les attaques de ransomware est importante. Les cibles de ransomware arrivent à déjouer les attaques. 900 PC cryptés par un ransomware à la régie des transports de SF. Si les rames du Muni de SF n'ont pas été bloquées par HDDCryptor, la mairie a du réinstaller près de 900 PC touchés par le ransomware. Grâce aux sauvegardes, aucune donnée touchée n'aurait été touchée dans l'attaque de la régie des transports de San Francisco par le ransomware HDDCryptor.
La Municipal Transportation Agency de San Francisco (SFMTA), la régie municipale chargée de l'exploitation des transports collectifs de la ville californienne, a déclaré lundi soir qu’aucune donnée n’avait été compromise dans l’attaque de ses systèmes par un ransomware et qu’elle n’a jamais envisagé de payer la rançon demandée par l'attaquant qui menaçait de publier les données volées. Des transports gratuits pendant 3 jours L'attaque du réseau du système de transport urbain, qui exploite notamment le Muni Metro de San Francisco, a permis de mettre en évidence le risque de cyberattaque encouru par les infrastructures publiques critiques.
Une menace pour les entreprises et les particuliers. Hausse de 113% des attaques par ransomware en 2014. En 2014, 24 vulnérabilités zero-day ont été détectées par Symantec. (crédit : D.R.) La dernière édition de l'Internet Security Threat Report de Symantec montre une recrudescence des attaques de pirates par le biais de ransomware mais également de sa variante, crypto locker, qui a fait 45 fois plus de victimes qu'en 2013.
Symantec estime qu'à l'heure actuelle, la question n'est plus de savoir si vous allez être attaqué, mais quand. La dernière version de son Internet Security Threat Report met en avant les nouvelles techniques des cyberpirates, comme le précise Kevin Haley, Directeur de Symantec Security Response: « Les attaquants n'ont pas besoin de forcer la porte du réseau d'une entreprise si la clé est déjà à portée de main. Ils piègent les entreprises en les faisant s'auto-infecter via des chevaux de Troie lors de mises à jour de logiciels standard. Les pirates utilisent de plus en plus les médias sociaux pour atteindre plus de personnes. ICT Journal.CH. Face aux ransomware, la sécurité embarquée dans Office 365 ne suffit plus.
Lorsqu’on choisi de basculer sa messagerie sur Office 365, donc dans le Cloud pour des raisons d’efficacité opérationnelle, pour des raisons de coût, impossible de sécuriser le serveur de messagerie comme on savait le faire en mode on-premise. Tout ce qu’un fournisseur de serveur Cloud tel que Microsoft avec sa messagerie Office 365, c’est une case à cocher afin de bénéficier de la sécurité embarquée proposée par l’éditeur. Or, d’un strict point de vue technique, cette protection basée sur la détection des seules signatures de malware, est notoirement insuffisante.
La liste des entreprises qui ont jugé la protection proposée par Microsoft avec Office 365 comme suffisante et qui ont été frappées ces derniers mois par un ransomware s’allonge de manière alarmante. Après « Locky », la vague de ransomware ne faiblit pas En dépit du battage médiatique autour du chantage réalisé envers cet hôpital de Los Angeles, son DSI peut s’estimer satisfait du dénouement relativement heureux de l’affaire.
Une vague massive de spams JavaScript distribue le ransomware Locky. La France est moins touchée que le Luxembourg ou l'Angleterre par cette vague de spams portant Locky. (cliquer sur l'image pour l'agrandir) Les pays européens sont aujourd'hui victimes d'une vague de spams essayant d'exécuter un code JavaScript installant le redoutable ransomware Locky. Au cours de la semaine écoulée, un grand nombre d’ordinateurs à travers l'Europe - et d'autres endroits dans le monde dont les Etats-Unis et le Canada - ont été touchés par une campagne massive de spams transportant des pièces jointes JavaScript malveillantes qui installent le ransomware Locky.
Les pièces jointes sont généralement des fichiers d'archives .zip qui contiennent .js ou fichiers .jse intérieur. Ces fichiers s'exécutent directement sous Windows sans avoir besoin d'applications supplémentaires. De nombreux pays en Europe ont été touchés. Le ransomware Satana chiffre les fichiers et le boot de Windows. Les programmes de type ransomware sont de plus en plus agressifs et destructeurs. (Crédit : IDGNS) Le dernier ransomware du moment baptisé Satana sait à la fois crypter les fichiers des machines Windows, mais aussi le secteur d'amorçage maître ou Master Boot Record (MBR), empêchant les ordinateurs de charger le système d'exploitation.
C'est le second ransomware après Petya capable d'empêcher un ordinateur de booter sur son OS. Selon les chercheurs de l’entreprise de sécurité Malwarebytes, le programme surnommé Satana - « Satan » en italien et en roumain - est fonctionnel, mais toujours en développement. Satana est le second ransomware affectant le MBR. Il semble inspiré par un autre programme appelé Petya, qui a fait son apparition en mars. Le code MBR, stocké dans les premiers secteurs du disque dur, contient des informations sur les partitions du disque et lance le chargeur d’amorçage (le bootloader) du système d'exploitation.
Une rançon de 340$ Réparation possible. Des pièces jointes JavaScript diffusent le ransomware RAA. Le rançongiciel RAA est distribué à travers des fichiers .JS envoyés par spam. (crédit photo : Peter Sayer/IDG News Service) Sous le nom de RAA, un nouveau programme malveillant réclame des rançons à ses victimes. Ecrit en JavaScript, il se diffuse à travers des pièces jointes d'e-mails envoyés par spam. Il n'y a pas de raison de trouver des fichiers .JS côté client. Il ne faut pas les lancer. Des cybercriminels sont en train d’infecter des ordinateurs avec un nouveau ransomware appelé RAA, entièrement écrit en JavaScript. Les attaquants se sont récemment servis de cette technique et en avril dernier, Microsoft a même averti d’une recrudescence de pièces jointes malveillantes contenant des fichiers JavaScript.
Selon des experts du forum de support technique BleepingComputer, RAA s’appuie sur CryptoJS, une bibliothèque JavaScript légitime, pour mettre en oeuvre la routine de chiffrement. Il est très inhabituel d’envoyer des applications légitimes écrites en JavaScript par e-mail. Le ransomware Locky propagé par des macros Word fait des ravages. Le ransomware Locky permet à des pirates de chiffrer des données qui ne délivrent une clé de chiffrement qu'une fois la rançon versée. (crédit : D.R.) Utilisant la même technique de vol de données que le cheval de Troie Dridex, de sinistre mémoire, le ransomware Locky est actuellement massivement poussé sur des ordinateurs cibles. Une rançon de 17 000 dollars a été demandée à un centre hospitalier américain pour remettre en marche son système d'information. Un nouveau type de ransomware utilisant les mêmes modalités d'attaque que le fameux malware bancaire Dridex, fait des ravages sur les machines de certains utilisateurs.
En général, les victimes reçoivent par courrier électronique une facture incluant une macro sous forme de document Microsoft Word, ou une petite application, qu’elles ouvrent sans trop de méfiance. Un seul conseil : attention aux documents Microsoft Word contenant des macros ! En raison des dangers pour la sécurité, les macros sont désactivées par défaut par Microsoft. Des clés pour débloquer des milliers d'ordinateurs victimes d'un ransomware. Le responsable du ransomware Locker a publié son mea culpa sur Pastebin. L'auteur présumé du ransomware Locker présente ses excuses pour les actions commises et affiche les clefs pour déchiffrer les fichiers verrouillés avec son outil. Dans une sortie particulièrement étonnante sur Pastebin, l'auteur présumé du ransomware Locker, également connu sous le nom CryptoLocker V, a publiquement présenté ses excuses aux milliers de victimes du malware.
Dans la foulée, il a publié une base de données avec les clés capables de déverrouiller les machines et les fichiers infectés. Ce geste est particulièrement rare dans le petit monde des développeurs de ransomwares qui sont parmi les plus impitoyables sur Internet. Le nombre de victimes de Locker n’est pas très clair (le fichier .csv de clés / adresses Bitcoin semble avoir 62 000 entrées), mais les machines bloquées pourraient être beaucoup plus nombreuses. Un déverrouillage complexe Des intentions inconnues Il y a un point indiscutable. Un ransomware sous Android modifie le code PIN. Un outil pour décrypter des fichiers verrouillés par le ransomware CoinVault. 1ère attaque ransomware pour Mac bloquée par Apple. Sanctuariser ses données avant le cryptage par un ransomware.