Comment Ransomware prend-il le contrôle des données sur votre PC Windows?
Ransomware est une sorte de malware qui empêche les utilisateurs ordinateurs infectés accéder aux données. Les assaillants se déplacent alors pour demander une rançon à leurs victimes. Les promesses de rétablir accès aux données une fois le paiement effectué sont également la norme. Dans de nombreux cas, cet accès est jamais fourni. Les utilisateurs ne doivent donc pas prendre ces promesses au pied de la lettre.
Les utilisateurs reçoivent des instructions pour payer les frais requis afin de pouvoir recevoir une clé de déchiffrement. Le coût peut aller de plusieurs centaines à des milliers de dollars, payables aux cybercriminels sous forme de crypto-monnaie. La devise la plus souvent utilisée est le Bitcoin.
Table des matières
Comment fonctionne Ransomware?
Il existe divers vecteurs infection qu un ransomware peut prendre lorsqu il trouve accès à un ordinateur. La méthode infection la plus couramment utilisée comprend le spam par hameçonnage. Ce sont le plus souvent des pièces jointes à des courriels qui prétendent être un fichier de confiance. Une fois les fichiers téléchargés, puis ouverts, ils peuvent être librement contrôlés sur la machine de la victime. Dans certains cas, ils intègrent également des outils ingénierie sociale dans le logiciel de ransomware, ce qui incite les utilisateurs à lui donner un accès administrateur. Dans autres cas, les types de ransomwares les plus agressifs ont tendance à exploiter les failles de sécurité. Celles-ci leur permettent infecter les ordinateurs sans avoir recours à une ingénierie sociale.
Il existe différentes actions que les logiciels malveillants peuvent effectuer une fois qu’ils prennent le contrôle d’un ordinateur victime. une des tactiques les plus couramment utilisées aujour hui est le cryptage des fichiers un utilisateur. Il est important de se rappeler que ces fichiers sont impossibles à déchiffrer sans la clé de déchiffrement correcte connue des attaquants. Le ransomware présente à utilisateur un message, une note de rançon les avertissant que leurs fichiers sont inaccessibles. La note affirme que le déchiffrement ne peut être effectué que si la victime paie avec des paiements de crypto-monnaie introuvables.
Dans certains cas, l’agresseur peut même prétendre représenter les forces de l’ordre. Arrêter ordinateur à cause un logiciel piraté, de la pornographie enfantine et réclamer une rançon est une amende sont toutes des tactiques valables.
Il existe des variantes de ransomware qui menacent de publier des données personnelles sensibles que les utilisateurs peuvent avoir. est un geste appelé doxing.
Qui devient la cible la plus commune de Ransomware
Les attaquants utilisent différentes méthodes pour leurs campagnes de ransomware. Parfois, les attaques visent des cibles potentielles avec une cybersécurité plus faible. Les universités ou les petites entreprises font souvent partie de ces campagnes.
Dans autres cas, les grandes entreprises dotées une meilleure sécurité peuvent constituer une cible plus tentante. Ils auraient la possibilité de payer leur rançon plus rapidement, ce qui en fait un choix privilégié. Les installations médicales sont également visées par les ransomwares, leurs supports de données pouvant être vendus sur le Web sombre. Dans de nombreuses situations, les organisations qui possèdent des données sensibles peuvent être disposées à payer, au lieu de risquer que leurs données se retrouvent au grand jour.
Certains ransomwares peuvent se répandre sans cible spécifique et de manière totalement automatique sur Internet.
Comment Ransomware infecte-t-il un système?
Infections de courrier électronique
Pour les cybercriminels, le courrier électronique est un vecteur d’attaque ouvert. Les e-mails envoyés, déguisés en messages apparemment légitimes, permettent aux auteurs de logiciels ransomware de duper les utilisateurs. Ouverture de pièces jointes infectées ou la sélection un lien menant à des sites Web infectés aboutissent au même résultat.
Cette approche est connue sous le nom de phishing, incitant les utilisateurs à prendre l’appât pour infecter leur système. Bien que les spams puissent être évidents, le phishing adopte généralement une approche plus furtive, en particulier avec des cibles spécifiques.. Aujourd hui, de nombreux emails de phishing sont plus sophistiqués que prévu.
Le phishing a tendance à être davantage ciblé. Les attaquants prennent donc le temps de rechercher les victimes ils ont choisies. Le domaine public contient assez informations dans la plupart des cas pour aider à ingénierie sociale. Un courrier électronique envoyé par un ami ou un associé crée souvent moins de suspicion que celui envoyé par un étranger. Est ce que on appelle le harponnage, lorsque les assaillants choisissent une personne ou un groupe spécifique. Les pièces jointes infectées peuvent être déguisées en tout, qu’il s’agisse de contrats, de formulaires réglementaires, de factures, etc., le mieux ce sera.
Sites compromis
La différence la plus significative entre exemple précédent réside dans les kits exploitation. Ceux-ci sont utilisés pour compromettre des sites Web sans pièces jointes. Une visite sur le site compromis et les cybercriminels peuvent infecter sans aucun clic. Les kits d’exploitation permettent aux attaquants de télécharger du code malveillant directement sur toute page Web vulnérable. Ce code est spécialement conçu pour exploiter les vulnérabilités des logiciels ou des navigateurs que les visiteurs peuvent utiliser.
Si une vulnérabilité est présente dans le système, le kit d’exploitation peut télécharger et installer automatiquement Windows ransomware. Malheureusement, éviter les visites sur des sites Web dont la réputation est douteuse peut ne pas résoudre le problème. Parfois, même les visites sur des sites traditionnels et légitimes peuvent présenter un risque lorsque leur sécurité est compromise, comme ce fut le cas avec les attaques du kit d’exploitation Angler en 2016, utilisées pour propager des programmes malveillants dans une campagne 2016.