Ransomware Amis

Protéger ses appareils contre les logiciels malveillants est plus important que jamais, car les cybermenaces modernes peuvent chiffrer des données précieuses, perturber les activités commerciales et exposer des informations sensibles. Les rançongiciels, en particulier, demeurent parmi les formes de logiciels malveillants les plus destructrices, car ils combinent le chiffrement des données à des techniques d'extorsion visant à contraindre les victimes à verser d'importantes sommes d'argent. Un exemple notable est le rançongiciel Friends, une menace sophistiquée qui cible un large éventail de types de fichiers tout en exploitant le vol de données pour accroître la probabilité de paiement.

Le ransomware Friends : une cybermenace à double extorsion

Le ransomware Friends est un programme malveillant découvert par des chercheurs en cybersécurité. Il chiffre les fichiers sur les systèmes infectés et exige une rançon en échange de la clé de déchiffrement. Outre le chiffrement des fichiers, les auteurs de cette menace affirment voler des informations confidentielles aux victimes avant de verrouiller leurs données. Cette tactique, communément appelée double extorsion, permet aux attaquants de menacer à la fois de perte de données et de divulgation publique d'informations sensibles.

Une fois exécuté sur un système, le ransomware Friends analyse de nombreux types de fichiers et les chiffre. Durant ce processus, il ajoute l'extension « .friends124 » aux fichiers infectés. Par exemple, un fichier nommé « 1.png » devient « 1.png.friends124 », tandis que « 2.pdf » devient « 2.pdf.friends124 ». Cette extension indique clairement que les fichiers ont été traités par le logiciel malveillant et ne sont plus accessibles par les moyens habituels.

Processus de chiffrement et demandes de rançon

Une fois le chiffrement terminé, le ransomware crée un fichier nommé « RANSOM_NOTE.html » contenant des instructions pour la victime. Ce message informe l'utilisateur que ses fichiers ont été chiffrés et fournit les coordonnées pour entamer des négociations de rançon. Les victimes sont invitées à communiquer avec les attaquants via les adresses électroniques « recovery1@salamati.vip » et « recovery1@amniyat.xyz ». Une méthode de contact alternative via le réseau Tor est également mentionnée.

La demande de rançon affirme que des données confidentielles et personnelles ont été collectées et stockées sur un serveur privé contrôlé par les pirates. Selon le message, ces informations seront publiées ou vendues à des tiers si la victime refuse de payer la rançon. Pour convaincre les victimes que la récupération des fichiers est possible, les criminels proposent de déchiffrer gratuitement deux ou trois fichiers non essentiels. La demande prévient également que le montant de la rançon augmentera si aucun contact n'est établi dans les 72 heures et conseille aux victimes de créer un compte ProtonMail avant de communiquer.

Pourquoi payer la rançon est une décision risquée

Les victimes envisagent souvent de payer une rançon lorsque des fichiers essentiels deviennent inaccessibles. Cependant, payer les cybercriminels ne garantit pas la récupération des données. De nombreuses attaques par rançongiciel ont extorqué des paiements sans fournir d'outils de déchiffrement fonctionnels, ou ont distribué des utilitaires incapables de restaurer l'intégralité des données compromises.

Même lorsque les attaquants fournissent un outil de déchiffrement, le paiement encourage l'activité criminelle et incite à de futures attaques contre d'autres personnes et organisations. C'est pourquoi les professionnels de la cybersécurité déconseillent fortement de payer les rançons. Dans la plupart des cas, les fichiers chiffrés ne peuvent être restaurés sans la clé de déchiffrement des attaquants, sauf si le rançongiciel présente des failles importantes que les chercheurs peuvent exploiter pour développer un outil de déchiffrement gratuit.

Réponse aux incidents et à la reprise d’activité

Après une infection, la priorité absolue est de supprimer le ransomware Friends du système affecté. L'élimination du logiciel malveillant empêche le chiffrement d'autres fichiers et réduit le risque d'activités malveillantes ultérieures. Cependant, la suppression du logiciel malveillant à elle seule ne permet pas de restaurer les données déjà chiffrées.

La méthode de récupération la plus fiable consiste à restaurer les fichiers à partir de sauvegardes créées avant l'infection. Ces sauvegardes doivent être stockées séparément du système principal afin de rester intactes pendant une attaque. Si elles sont connectées au même réseau ou restent accessibles en permanence, le ransomware peut tenter de les chiffrer également, privant ainsi les victimes de toute possibilité de récupération.

Comment le ransomware Friends se propage

Comme de nombreuses familles de rançongiciels, Friends Ransomware utilise plusieurs canaux de diffusion pour atteindre ses victimes potentielles. Les courriels d'hameçonnage restent parmi les méthodes de diffusion les plus efficaces. Ces messages contiennent souvent des pièces jointes ou des liens malveillants qui déclenchent le téléchargement de logiciels malveillants lorsqu'ils sont ouverts. Les attaquants utilisent fréquemment des documents contenant des macros malveillantes, des archives compressées, des fichiers exécutables, des PDF et des charges utiles JavaScript.

D'autres vecteurs d'infection incluent les chevaux de Troie qui installent silencieusement des rançongiciels, les faux mécanismes de mise à jour logicielle, les publicités malveillantes, les sites web compromis et les téléchargements provenant de sources non fiables. Les portails de logiciels gratuits, les réseaux de partage de fichiers peer-to-peer et autres plateformes de distribution non officielles hébergent fréquemment des fichiers malveillants déguisés en logiciels légitimes. Les clés USB infectées peuvent également faciliter la propagation des rançongiciels entre systèmes.

Un scénario d'infection particulièrement fréquent implique des logiciels piratés et des outils d'activation piratés. Les cybercriminels dissimulent souvent des logiciels malveillants sous forme d'alternatives gratuites à des logiciels payants, exploitant ainsi les utilisateurs prêts à contourner les circuits de distribution officiels. Une fois exécutés, ces programmes apparemment inoffensifs peuvent installer un rançongiciel sans avertissement.

Renforcer les défenses contre les ransomwares

Une protection efficace contre les rançongiciels exige une stratégie de sécurité multicouche combinant des mesures techniques de protection et des comportements responsables de la part des utilisateurs. Les organisations et les particuliers doivent maintenir à jour leurs logiciels de sécurité, veiller à ce que leurs systèmes d'exploitation et applications soient régulièrement mis à jour et désactiver les fonctionnalités inutiles susceptibles d'être exploitées par des attaquants. Il convient de toujours faire preuve de prudence face aux pièces jointes et aux liens provenant de sources inconnues ou inattendues, même s'ils semblent légitimes.

La sauvegarde régulière des données compte parmi les mesures de protection les plus importantes. Conserver plusieurs copies de sauvegarde dans des emplacements distincts, tels que des disques durs externes hors ligne et des solutions de stockage distant sécurisées, améliore considérablement les chances de récupération après une attaque. Des tests de sauvegarde doivent également être effectués périodiquement afin de confirmer que les données peuvent être restaurées avec succès en cas de besoin.

Les principales pratiques de sécurité comprennent :

• Maintenez vos systèmes d'exploitation, navigateurs et applications à jour avec les derniers correctifs de sécurité.
• Utilisez un logiciel de protection des terminaux réputé, doté de capacités de détection des menaces en temps réel.
• Conservez plusieurs sauvegardes, dont au moins une copie hors ligne ou isolée.
• Évitez d'ouvrir les pièces jointes des courriels non sollicités ou de cliquer sur les liens suspects.
• Téléchargez les logiciels uniquement à partir de sources officielles et fiables.
• Abstenez-vous d'utiliser des logiciels piratés, des cracks ou des outils d'activation non autorisés.
• Limitez les privilèges d'administrateur autant que possible.
• Sensibiliser les utilisateurs aux tactiques d'hameçonnage et aux attaques d'ingénierie sociale.

Évaluation finale

Le ransomware Friends représente une grave menace pour la cybersécurité, combinant le chiffrement de fichiers, le vol de données et l'extorsion. En ajoutant l'extension « .friends124 » aux fichiers, en déposant une note de rançon intitulée « RANSOM_NOTE.html » et en menaçant de divulguer les informations volées, ses auteurs cherchent à exercer une pression maximale sur leurs victimes. Bien que les options de récupération soient souvent limitées sans sauvegardes fiables, de bonnes pratiques de cybersécurité, des sauvegardes régulières, des mises à jour logicielles effectuées en temps opportun et une conduite prudente en ligne peuvent réduire considérablement le risque de réussite d'une attaque par ransomware et minimiser son impact en cas d'infection.