Ransomware Solara

Solara est une souche de rançongiciel récemment observée qui, selon les chercheurs, s'appuie sur le code de la famille Chaos, diffusé publiquement. Un rançongiciel comme Solara chiffre les fichiers des utilisateurs, exige un paiement et peut perturber définitivement l'accès aux données importantes. La protection des appareils et des sauvegardes est donc essentielle.

CE QUE FAIT SOLARA

Lors de l'analyse, Solara a été observé en train de chiffrer des fichiers et d'ajouter la chaîne de texte « .solara » à leurs noms (par exemple, « 1.png » → « 1.png.solara »). Le malware envoie également une demande de rançon intitulée « read_it.txt » indiquant que la victime a déclenché une protection anti-crack et lui demandant d'obtenir un outil de déchiffrement auprès d'un pirate en ligne. Plusieurs articles et analyses d'échantillons relient Solara à la famille de rançongiciels Chaos et décrivent un comportement similaire (chiffrement, substitution d'extension et demande de rançon en clair).

NOTE DE RANÇON ET DEMANDES DE PAIEMENT

Le message de rançon examiné par les analystes affirme que la récupération du fichier est « quasiment impossible » sans l'outil de déchiffrement de l'attaquant. La note invite les victimes à contacter un utilisateur de Discord (xenqxd) et suggère des options de paiement telles que Paysafecard (en Pologne) ou une petite somme en Bitcoin. Il est à noter que certains échantillons omettent des canaux de contact pertinents, ce qui peut indiquer une campagne immature ou de type canular, ou des opérateurs qui ne prévoient tout simplement pas de négocier. Soyez extrêmement méfiant face à de telles demandes.

POUVEZ-VOUS RÉCUPÉRER DES FICHIERS SANS PAYER ?

En général, les fichiers chiffrés par les menaces de la famille Chaos ne sont pas récupérables sans la clé de déchiffrement appropriée. Si vous disposez de sauvegardes hors ligne saines datant d'avant l'infection, leur restauration est la solution la plus sûre. Il est déconseillé de payer, car les criminels ne fournissent souvent pas de déchiffreurs utilisables, et verser des fonds favorise les activités criminelles.

VECTEURS D’INFECTION COURANTS

• Logiciels piratés, générateurs de clés et utilitaires « crackés » déguisés en logiciels malveillants.
• Pièces jointes et liens malveillants (macros Office, scripts, EXE).
• Publicités infectées, sites de téléchargement compromis ou non officiels, réseaux P2P/torrent, clés USB et téléchargeurs tiers.

ACTIONS IMMÉDIATES SI VOUS SUSPECTEZ UNE INFECTION

Isolez immédiatement la machine : déconnectez-la des réseaux (filaires/wifi) et démontez tous les lecteurs partagés/réseau pour arrêter la propagation latérale.

Préservez les preuves : ne redémarrez pas l'ordinateur si vous collectez des artefacts de mémoire ou d'analyse médico-légale, capturez plutôt des images de mémoire et de disque si vous en avez la capacité, ou appelez le service de réponse aux incidents.

Utiliser des sauvegardes : Restaurez à partir de sauvegardes fiables une fois le logiciel malveillant supprimé et les systèmes reconstruits ; ne restaurez pas les sauvegardes qui auraient pu être connectées au moment de l'infection.

Ne payez pas à moins qu’une équipe d’intervention en cas d’incident n’ait évalué toutes les options et conséquences ; le paiement n’est pas garanti et peut encourager de futures attaques.

MEILLEURES PRATIQUES DE SÉCURITÉ

Maintenez une défense à jour et à plusieurs niveaux qui comprend les pratiques suivantes dans les opérations quotidiennes :

Gestion des correctifs : appliquez rapidement les mises à jour de sécurité du système d'exploitation et des applications ; de nombreuses souches de ransomware exploitent des vulnérabilités connues et corrigées.

Privilège minimum et hygiène des comptes : exécutez les utilisateurs avec des comptes non administrateurs, appliquez une authentification multifacteur forte pour l'accès à distance et les comptes privilégiés, et surveillez les comportements de connexion inhabituels.

Stratégie de sauvegarde : Créez régulièrement des sauvegardes et conservez-les séparément du réseau. Après tout, les sauvegardes constituent le moyen de récupération le plus efficace contre les attaques de chiffrement.

Protection des terminaux et EDR : déployez des solutions fiables de détection et de réponse aux terminaux, capables de détecter les anomalies d'exécution, de bloquer les charges malveillantes et de permettre un confinement rapide. Activez les signatures et la télémétrie.

Éducation des utilisateurs et résistance au phishing : apprenez-leur à éviter d'utiliser des cracks/keygens, à vérifier les expéditeurs et les liens des e-mails, et à traiter les pièces jointes inattendues avec suspicion. Les simulations de phishing et les campagnes de sensibilisation réduisent le facteur de risque humain.

Contrôles d'application et restrictions de macros : désactivez les macros Office par défaut, bloquez l'exécution à partir d'emplacements d'abus courants (par exemple, %AppData%, dossiers temporaires) et utilisez la liste verte des applications lorsque cela est possible.

NOTES DE CLÔTURE

Solara illustre les risques courants liés aux développeurs de rançongiciels accessibles au public : les forks et leurs variantes prolifèrent, et les attaquants adaptent continuellement leurs méthodes de distribution pour cibler des communautés spécifiques (des rapports soulignent que les forums de jeux et les plateformes de logiciels piratés sont des appâts potentiels). Les meilleures défenses sont la prévention, des sauvegardes robustes, un confinement rapide et la collaboration avec des équipes d'intervention formées, sans payer de rançon. Si vous suspectez une compromission et avez besoin d'une aide pour un nettoyage étape par étape, collectez des échantillons d'indicateurs (noms de fichiers, hachages, texte de la demande de rançon) et consultez un prestataire de confiance en matière de réponse aux incidents ou votre fournisseur de sécurité pour obtenir des conseils sur le confinement et la récupération.