Qu'est-ce qu'un Ransomware (WannaCry entre autres) et comment se protéger

Qu'est-ce qu'un Ransomware (WannaCry entre autres) et comment se protéger

Dans un monde où nous nous trouvons de plus en plus en ligne (chaque jour avec plus de force) où beaucoup d'entre nous se sentent très à l'aise avec la façon dont nous pouvons effectuer nos tâches quotidiennes de manière numérique. Nous devons comprendre que tout cela change la vie de chacun d'entre nous car nous dépendons complètement de ce monde numérique à tous les niveaux tels que les entreprises, les systèmes publics de base nécessaires à tout pays et même personnel depuis chez nous.

Pour le meilleur ou pour le pire, nous devons être conscients des dangers qui nous menacent, car par exemple de nos jours il n'est pas nécessaire de se rendre dans un guichet bancaire pour effectuer des mouvements, mais tout se fait via la plateforme de l'entité, Nous n'utilisons plus la correspondance services puisque nous utilisons les réseaux sociaux, les messages de chat et les e-mails, étant connectés 24 heures sur 24 via les téléphones portables et les ordinateurs.

Tout est interconnecté à un clic d'être mis à jour, afin que les gens sachent quoi, comment ou où nous sommes, entre autres fonctions et tâches. Ce que nous ne nous demandons pas, c'est Sommes-nous en sécurité dans ce monde en ligne ?, la réponse est simple, très peu certaine.

La raison en est qu'au fur et à mesure que les options pour tout faire en ligne augmentent, y compris nos tâches quotidiennes, les intrus, les attaques, les virus informatiques, etc. Tous sont reçus de différentes manières et sur de multiples plateformes, où même si nous n'avons pas des millions d'euros ou de dollars sur nos comptes bancaires ou si nous sommes reconnus dans le monde entier, nous sommes susceptibles d'être attaqués de différentes manières.

C'est pourquoi aujourd'hui, chez Solvetic, nous nous concentrons sur l'explication de l'une des menaces qui est sur toutes les lèvres en raison de ses attaques dans le monde entier, qui bien que ce ne soit pas nouveau comme beaucoup le pensent, prend un essor à pas de géant et auquel nous devons être attentif à tous les soins nécessaires.

Cette menace s'appelle Ransomware et nous espérons que le moment de lire cet article de votre part n'est pas parce que vous y êtes déjà tombé, surtout pour que vous puissiez vous protéger un peu plus, que vous soyez une entreprise ou une personne normale qui veut éviter autant que possible ceci et d'autres types de menaces similaires.

Notre objectif est que chaque utilisateur ou entreprise prenne les mesures nécessaires pour éviter d'être victime de cette attaque et soit toujours responsable de tout ce que nous faisons sur le réseau.

Qu'est-ce qu'un ransomwareDe la même manière qu'il y a l'enlèvement de personnes à des fins économiques, dans le monde informatique, le ransomware est devenu une attaque de pirate de données Étant donné que cette attaque accède essentiellement à notre ordinateur, crypte toutes les informations et demande une certaine somme d'argent pour sa récupération, c'est aussi simple que cela.

L'origine du nom « Ransomware » vient de la combinaison de deux mots :

  • Rançon (enlèvement)
  • ware (Logiciel)

Cette attaque, également appelée rogueware ou scareware, affecte les utilisateurs depuis 2005. Bien qu'elle ait évolué, différents types apparaissent, se perfectionnant et trouvant des faiblesses où elle peut se propager facilement. Nous vous laissons une vidéo qui vous l'explique de manière exceptionnelle pour le comprendre à tous les niveaux.

Comment fonctionne le ransomwareRansomware utilise une série d'étapes où malheureusement la première est donnée par la victime lors de son exécution, ces étapes sont :

  • Analyse du système via des clés USB, des e-mails frauduleux, etc.
  • Installation sur le système lorsque le fichier infecté est en cours d'exécution.
  • Sélection des fichiers à crypter.
  • Cryptage des données sélectionnées utilisant actuellement RSA 2048 bits.
  • Messages à la victime utilisant diverses alternatives allant des e-mails aux messages vocaux
  • En attente de paiement à l'aide de moyens tels que les bitcoins, MoneyPak, Ukash et cashU, entre autres.
  • Envoi des clés de chiffrement à la victime, mais ce n'est pas sûr à 100 %. (Nous pouvons dire qu'ils ne vous l'enverront PAS, nous vous déconseillons de payer).

Comme nous pouvons le voir, c'est une chaîne que nous pouvons nous-mêmes briser dès le début. Dans le monde d'Internet et du numérique, il faut apprendre aux gens qu'il vaut mieux toujours mal penser et que vous aurez raison. Méfiez-vous et ne faites pas partie de ceux qui ouvrent joyeusement toute pièce jointe reçue, ou qui entrent sur un site Web et installent un programme sans hésitation.

1. Types d'attaque de ransomware


Il existe certains types de cette attaque connus dans le monde entier tels que:

Logiciel de rançon WannaCryC'est lui Dernièrement plus connu ransomware car il a mené des attaques contre de nombreuses équipes d'entreprises et de personnes dans le monde entier. Il s'agit d'un ransomware cryptographique, mais il vaut la peine de le cataloguer en marge, car il est apparu, comme vous le savez, dans l'actualité mondiale, en raison d'attaques menées dans de nombreux pays différents. Il est important de noter que ce n'est pas nouveau comme beaucoup de gens le pensent, car il cuisine depuis longtemps dans de nombreuses équipes. Vous pouvez voir dans l'image suivante où ils sont effectués.

Il existe de nombreux virus et attaques dangereux sur Internet, mais Logiciel de rançon WannaCry est l'un des pires.

Fondamentalement, nous pouvons dire que nous le considérons comme l'un des pires car il effectue un cryptage propre de plusieurs fichiers très importants avec un algorithme et une clé puissants, ce qui rend très difficile de les avoir à nouveau. Il est également important de souligner la facilité d'exécution dont il dispose pour le transmettre et l'exécuter sur tous les lecteurs réseau.

Vouloir pleurer Decryptor pénètre dans votre ordinateur, notamment par e-mail, et lorsque vous l'exécutez sans vous en rendre compte, il crypte les informations. Le plus grave, c'est qu'une fois que tous les fichiers de l'ordinateur sont cryptés, ils sont répliqués sur le réseau vers d'autres serveurs, ordinateurs, etc. Tout ce que vous avez connecté aux lecteurs réseau peut également être crypté. Il est donc normal qu'une fois qu'un ordinateur est infecté, il se propage à pratiquement tout le monde sur le réseau.

Pour sa réplication, il profite des lacunes des systèmes, notamment sous Windows. Il est donc recommandé de toujours les tenir à jour avec tous les correctifs, pour éviter qu'il ne soit si facile de les répliquer d'un côté à l'autre.

Ce comportement explique pourquoi il est recommandé de déconnecter les ordinateurs afin qu'il ne continue pas à crypter et à se propager. Pour cette raison, en cas d'infection interne, la première chose que les entreprises demandent généralement est d'éteindre et de déconnecter tous les ordinateurs, le tout afin qu'ils ne continuent pas à crypter les fichiers et aggravent le problème. Ils devront trouver la source et restaurer tous les ordinateurs et serveurs concernés.

Le cryptage de vos fichiers est une technique très demandée pour protéger la confidentialité de vos fichiers les plus confidentiels. Cette attaque utilise des algorithmes de cryptage très puissants, qui ne peuvent être brisés si vous n'avez pas la clé. Maintenant, plus tard, nous approfondissons ce type de Ransomware.

Logiciel de rançon cryptographiqueCe type d'attaque utilise des algorithmes de niveau avancé et sa fonction principale est de bloquer les fichiers système où pour y accéder, nous devons payer une somme d'argent, parfois élevée.

Dans ce type, nous trouvons CryptoLocker, Locky, TorrentLocker, également WannaCry, etc.

ransomware MBROn sait que le MBR (Master Boot Record) gère le démarrage du système d'exploitation et ce type d'attaque se charge de modifier les valeurs des secteurs de démarrage afin d'empêcher l'utilisateur de démarrer normalement son système d'exploitation.

WinlockerCette attaque est basée sur des SMS, des messages texte, par lesquels elle nécessite l'envoi d'un message texte à un site de paiement avec un code attribué afin de déverrouiller les fichiers.

Scie sauteuseCette attaque est responsable de la suppression périodique des fichiers afin que la victime ressente la pression de payer la rançon afin de ne pas perdre d'informations plus précieuses.

Avec cette attaque toutes les heures, un fichier est éliminé de l'ordinateur jusqu'à ce que le paiement soit effectué et, détail supplémentaire mais non encourageant, jigsaw supprime jusqu'à un millier de fichiers du système chaque fois que l'ordinateur redémarre et accède au système d'exploitation.

KimcilwareAvec cette attaque, nous sommes victimes du cryptage des données sur nos serveurs Web et pour cela, il utilise les vulnérabilités du serveur et crypte ainsi les bases de données et les fichiers qui y sont hébergés, établissant la non-activité du site Web.

MaktubIl s'agit d'une attaque qui se propage via des e-mails frauduleux et compresse les fichiers concernés avant de les chiffrer.

Son apparence est celle d'un fichier PDF ou texte, mais lorsqu'il est exécuté, en arrière-plan à notre insu il est installé sur l'ordinateur et de grosses sommes d'argent sont généralement nécessaires pour la récupération de données.

SimpleLocker, Linux.Encoder.1 et KeRangerCes attaques remplissent essentiellement leur rôle sur les appareils mobiles et PC afin de bloquer leur contenu. SimpleLocker affecte la carte SD des appareils Android en cryptant les fichiers. Linux.Encoder.1 et KeRanger gèrent le chiffrement des données sur les systèmes d'exploitation Linux et Mac OS.

CerbèreIl peut s'agir de l'un des utilisateurs les plus craintifs, en particulier des systèmes Windows, car cette attaque accède à l'audio du système d'exploitation pour émettre des messages, et non pas correctement motivants ou les dernières nouvelles de Microsoft.

Cette attaque génère un fichier VBS appelé "#DECRYPT MY FILES #.vbs" qui est en 12 langues différentes et émet des messages menaçants et demandant un paiement pour la récupération de données.

Comme vous pouvez le voir, nous trouvons divers types d'attaques de ransomware (Gardez à l'esprit qu'il y a et qu'il y aura beaucoup plus de types) qui en font une menace latente et si on n'y croit toujours pas, regardons ces données, elle va continuer à augmenter très rapidement :

  • Il y a environ 500 000 victimes de l'attaque Cryptolocker dans le monde.
  • Une organisation en Amérique du Sud a payé environ 2 500 USD pour récupérer ses données.
  • 1,44 % des utilisateurs victimes de TorrentLocker ont payé la rançon.
  • Des attaques ont lieu dans le monde entier avec le type WannaCry où le montant collecté jusqu'à présent se situerait entre environ 7 500 et 25 000 USD. (Ne payez pas).

Comment nous avons dit au début, nous vous déconseillons de payer cette rançon pour la clé de cryptage utilisée. Il n'est pas vérifié à 100 % qu'ils vont vous le donner et, ce faisant, gardez à l'esprit que vous encouragerez davantage de cybercriminels à apparaître lorsque vous verrez qu'il existe une « entreprise » succulente pour eux. Gardez également à l'esprit qu'il peut y avoir certaines solutions plus pratiques que nous expliquons dans les sections suivantes.

Nous avons parlé de l'avancement de la technologie, mais le ransomware a également évolué, car aujourd'hui il y a l'attaque PHP Ransomware ou WannaCry Ransomware, qui cryptent toutes les données importantes et dans certains cas sans demander de rançon ni de paiement pour les données cryptées, parmi lesquelles se trouvent des fichiers avec les extensions suivantes :

zip, rar, r00, r01, r02, r03, 7z, goudron, gz, xlsx, doc, docx, pdf, pptx, mp3, iso entre autres que nous détaillons dans les sections suivantes.

Gardez à l'esprit qu'ils vont augmenter ou varier, et donc il n'est pas bon de penser qu'un certain type de fichier est libre d'être "piraté".

2. Cible de ransomware


Bien que de nombreuses attaques de ransomware se produisent au niveau organisationnel où les informations sont beaucoup plus sensibles et confidentielles, les attaquants qui créent ces virus ne fixent pas de limites, les utilisateurs à domicile sont également un point faible pour des raisons telles que :
  • Peu ou pas de connaissances en sécurité informatique.
  • Ne pas avoir d'applications antivirus sur leurs systèmes d'exploitation.
  • Avoir des réseaux ouverts et non sécurisés.
  • Ne créez pas de sauvegardes constantes des informations.
  • Ne mettez pas à jour régulièrement le système d'exploitation et les applications de sécurité.
  • Pour une mauvaise utilisation des services Internet.

Nous n'avons peut-être pas d'informations précieuses, mais si nous sommes victimes du cryptage de nos informations Sans aucun doute, nous serons des victimes là où cela nous affectera de pouvoir continuer nos opérations quotidiennes de manière normale, comme à un niveau éducatif, personnel ou professionnel.

Les créateurs de ransomware ne sont pas non plus oubliés, en fait, ils sont l'objectif numéro 1, puisqu'ils obtiennent avec eux les avantages suivants :

  • C'est là qu'ils peuvent faire le plus de dégâts, avec un potentiel économique juteux pour qu'ils paient une rançon.
  • Instabilité accrue lors du cryptage de la paie, des finances, des RH, etc.
  • Possibilité d'affecter un plus grand nombre d'équipements et de services.
  • Vulnérabilités présentées dans les serveurs ou les ordinateurs clients.
  • Pour déstabiliser des points importants des pays, et si vous ne le croyez pas, regardez les dernières nouvelles où les hôpitaux de Londres, des entreprises comme Telefónica en Espagne, etc. ont été touchés.

Nous pouvons certifier qu'il s'agit de la nouveau format de guerre mondialeIl ne s'agit pas de tirer des bombes mais cela peut être le même ou plus douloureux qu'on ne l'imagine.

Techniques de propagation des ransomwaresComme nous l'avons vu précédemment, il existe différents types d'attaques de ransomware et certaines des techniques utilisées pour les diffuser sont :

  • Envoi de courriels frauduleux.
  • Web dirigeant vers de faux sites.
  • Messages texte.
  • Vulnérabilités trouvées au niveau de la sécurité sur les serveurs ou les postes clients.
  • Campagnes publicitaires malveillantes.
  • Sites Web légaux qui ont un code malveillant dans leur contenu.
  • Propagation automatique entre les appareils.

3. Recommandations pour nous protéger contre les logiciels malveillants Ransomware


Étant donné que le ransomware prend tellement de force et qu'il est très facile d'être victime, il existe une série d'options qui nous aideront à être attentifs à ce type d'attaque et à éviter d'être une autre victime. Voici quelques conseils :

Faire une copie de sécuritéNous pouvons vous dire que c'est la chose la plus importante à faire à la fois dans les organisations et au niveau personnel. Disposer d'une sauvegarde nous évite non seulement les problèmes liés aux logiciels malveillants, aux virus et aux attaques, mais nous protège également des erreurs matérielles physiques pouvant survenir sur les disques, les ordinateurs, les serveurs, etc. Pour ce que la sauvegarde est nécessaire et vitale.

C'est une solution à mettre en œuvre en permanence et si possible sur des disques et des lecteurs externes, ou vous avez la possibilité (à titre personnel) de le faire dans des emplacements tels que le cloud, Dropbox, OneDrive, etc., mais ce que nous recommandons le la plupart sont également des serveurs ou des disques externes nous aurons toujours la disponibilité et l'intégrité des fichiers.

Il est important de vous dire qu'il faut tenir compte du fait que ce malware (ver) Ransomware attaque parfaitement et crypte également dans les unités que vous avez connectées à ce moment-là, y compris celles dans le cloud, alors n'oubliez pas de déconnecter cette connexion et non ayez-le toujours connecté sinon vous l'utilisez.

Nous avons vu comment cette attaque de Logiciel de rançon WannaCry (et d'autres versions précédentes) effectuera un cryptage des connexions dans le cloud des ordinateurs infectés. Ils ont été répliqués dans les comptes Dropbox, Google Drive ou OneDrive, car étant connecté en tant que lecteur réseau, ils pouvaient parfaitement voir également ces fichiers et donc être cryptés et supprimés également. La bonne partie est que dans ces systèmes, vous avez également la possibilité de récupérer les données, car une fois que vos données ont été cryptées dans le cloud, elles ont également supprimé les fichiers d'origine, donc si vous avez été infecté dans le cloud, ne vous inquiétez pas, il est possible de les récupérer en suivant ce tutoriel.

Nous vous laissons ici les meilleures façons de faire des sauvegardes, des copies de sauvegarde dans les différents systèmes que nous pouvons avoir. Vos informations passent en premier, imaginez ce qui se passerait en cas de perte, si c'est important, n'hésitez pas et faites des sauvegardes fréquentes.

Nous vous laissons plus d'alternatives gratuites pour les programmes de sauvegarde sur Windows, Linux ou Mac.

Afficher les extensions de fichierC'est un aspect fondamental car les fichiers infectés sont exécutables, .exe, et sont camouflés en fichiers PDF, DOC, XLS, etc., de sorte qu'en activant l'option pour voir les extensions, nous saurons si un fichier est Solvetic.pdf ou Solvetic.pdf.exe (infecté).

N'ouvrez pas les e-mails suspects ou inconnusMalheureusement, nous nous laissons emporter par les apparences et ouvrons de faux emails de notre banque, réseau social, factures avec pièces jointes PDF ou Excel avec macros, etc. et derrière cela vient le fichier infecté.

Plusieurs fois, nous recevons des messages d'entités officielles indiquant que nous avons des problèmes juridiques, ou de la banque demandant la saisie des informations, d'autres indiquant que nous avons des messages vocaux, etc., mais tous ont une pièce jointe sur laquelle ils s'attendent à ce que nous cliquions allumé, en arrière-plan, infecte l'ordinateur.

Nous le répétons, très prudent dans les pièces jointes que nous ouvrons, par défaut, vous devez toujours vous méfier. Au moindre doute, nous vous déconseillons de l'ouvrir ou de vérifier ceci avant de le faire :

  • Voyez bien l'adresse e-mail d'expédition de l'expéditeur dans son intégralité (pas seulement le faux nom qu'il a mis).
  • Affichez le type et l'extension de la pièce jointe. Même si l'expéditeur est connu, il peut avoir été infecté et transmet automatiquement le malware ou le virus avec son compte à toute sa liste de contacts. (vous êtes une victime possible).
  • Voyez bien le texte et l'objet du message avant de l'ouvrir.
  • Vérifiez l'adresse IP de l'expéditeur et vérifiez le pays d'origine de cette adresse, en saisissant l'adresse IP à partir d'un site Web qui se géolocalise rapidement et confortablement.

Si vous vous en méfiez le moins, ne l'ouvrez pas, mieux vaut ne pas être prudent et l'effacer que de s'infecter. Faites attention aux notifications de spam que votre gestionnaire de messagerie peut vous donner.

AGRANDIR

Filtrer les extensions .exe dans les e-mailsDans le cas d'avoir des serveurs de messagerie qui permettent de filtrer les types de fichiers, il est idéal que Filtrons tous les e-mails contenant l'extension .exe car il peut s'agir de fichiers infectés pour voler nos informations personnelles.

Désactiver les fichiers exécutés à partir du chemin AppData ou LocalAppDataSi nous utilisons des systèmes d'exploitation Windows, nous pouvons créer des règles dans le pare-feu et ouvrir ou fermer des ports qui empêchent l'exécution de programmes à partir du chemin AppData ou LocalAppData car à partir de là, c'est l'un des sites où Cryptolocker, entre autres types de Ransomware, installe votre infections. Si vous êtes un administrateur système Windows Server, vous pouvez appliquer des objets de stratégie de groupe sur les pare-feu de toutes les machines du réseau.

Mise à jour constante du systèmeLes développeurs de systèmes d'exploitation et de programmes antivirus, antimalware et de sécurité en général publient périodiquement de nouvelles mises à jour qui incluent des améliorations des failles de sécurité, ce qui peut nous aider à éviter d'être victimes de ransomware.

Rappelez-vous qu'il est nécessaire et important mettre à jour le système d'exploitation ainsi que les applications de sécurité.

Si vous êtes administrateur système et que vous gérez des entreprises avec des serveurs Windows Server entre autres. N'oubliez pas que vous pouvez contrôler les mises à jour de tous les ordinateurs de votre entreprise via le serveur avec WSUS et les forcer à décider en définissant des horaires qui vous intéressent pour être toujours à jour.

Utiliser les programmes de blocage des modules complémentairesDe nombreux sites Web malveillants créent des fenêtres contextuelles qui nécessitent de cliquer dessus pour pouvoir les fermer et, dans ce processus, nous pouvons nous retrouver avant le téléchargement et l'installation d'une menace de ransomware latente. Ils sont déjà intégrés dans la plupart des navigateurs et il est possible de les activer dans les options de sécurité.

L'utilisation de ces programmes empêche l'affichage de ces fenêtres et nous acquérons ainsi un niveau de sécurité dans nos systèmes.

Désactiver RDPRDP (Remote Desktop Protocol) permet une connectivité à distance à d'autres ordinateurs afin de fournir une assistance ou un support, mais Ransomware peut utiliser ce protocole, plus précisément Cryptolocker, WannaCry, etc. d'accéder aux ordinateurs et de les infecter, d'où l'importance d'empêcher ce protocole d'être activé s'il n'est pas utilisé.

Ce didacticiel montre comment activer RDP (Remote Desktop) dans Windows 10, 8, 7. Suivez simplement les étapes qui y sont expliquées, mais dans la partie de vérification ou de désactivation, laissez-le désactivé.

Se déconnecter du réseauEn cas d'exécution d'un fichier suspect, nous ne devons pas attendre la fin du processus d'installation car nous ne savons pas à quoi il servira, dans ce cas la chose la plus prudente et responsable est de se déconnecter immédiatement du réseau, Wi-Fi ou Ethernet, avec le C'est pour empêcher la communication avec le serveur qui peut introduire le virus.

Nous pouvons directement désactiver le WiFi ou retirer le câble RJ45 que nous avons connecté à l'équipement.

Désactiver l'exécution des macros dans OfficeC'est l'un des moyens les plus courants pour les ransomwares d'infecter et de s'exécuter. Si vous n'êtes pas un niveau avancé où vous utilisez des macros dans Microsoft Excel, Word, PowerPoint ou Outlook (Dans les équipes commerciales il est préférable de les désactiver par défaut), nous vous recommandons de les désactiver.

Ces macros sont insérées dans un simple fichier .docx ou .xlsx ou dans des e-mails où, simplement en l'ouvrant, vous pouvez exécuter ce type de ransomware ou un autre type de malware ou de virus.

Suivez ces étapes pour les désactiver :

  • Désactiver les macros Outlook
  • Désactiver les macros Word, Excel et PowerPoint

Nous vous laissons ici des informations Microsoft plus officielles sur ce problème et la gestion des paramètres de sécurité d'Office.

Blocage de portsOn sait que les ports d'un système d'exploitation permettent ou non la communication entre l'ordinateur local et le réseau externe.

C'est une bonne pratique, si nous gérons notamment des serveurs, de bloquer les ports :

  • UDP 137, 138
  • TCP 139, 445 ou désactivez SMBv1.

Dans le lien Microsoft suivant, nous trouvons comment effectuer ce processus en toute sécurité :

Utiliser ShadowExplorerL'objectif de Wanna Decryptor 2.0 est de supprimer tous les instantanés du système dès qu'un fichier .exe est exécuté après l'infection.

ShadowExplorer nous permet de masquer ces instantanés de l'attaque Wanna Decryptor et ainsi d'avoir une sauvegarde fiable en cas d'attaque.

Cet outil est téléchargeable sur le lien suivant :

4. Outils pour protéger ou récupérer les fichiers cryptés de Ransomware

Microsoft a publié une déclaration sur Rançon : Win32.WannaCrypt où il commente que tous les utilisateurs qui utilisent un logiciel antivirus Windows gratuit ou qui ont le système Windows Update actif et mis à jour vers la dernière version, sont protégés.

Ils recommandent à ceux qui disposent d'un logiciel anti-malware de tout autre fournisseur de les contacter pour confirmer l'état de leur protection.

Une bonne chose est que Microsoft a également mis une mise à jour de sécurité avant WannaCrypt ransomware disponible pour tous ceux qui ont des versions non prises en charge de Windows, telles que Windows XP, Windows 8 et Windows Server 2003. Téléchargez et installez maintenant pour vous protéger !

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8x64
Windows 8x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embarqué SP3 x86

Si vous voulez voir pour d'autres systèmes tels que Windows Vista ou Windows Server 2008, consultez ce lien du moteur de recherche de mise à jour de sécurité Microsoft Windows. Vous verrez que ce patch est référencé (KB4012598).

Voici un guide officiel de Microsoft sur l'attaque du ransomware WannaCrypt.

En plus de tout cela, les développeurs d'applications de sécurité nous offrent la possibilité de télécharger gratuitement plusieurs outils qui seront vitaux pour détecter ou décrypter les fichiers cryptés, évidemment pas valables pour tous les types de Ransomware, mais ils continueront de croître puisque ceux qui protègent dans Sécurité informatique, ils font également progresser et proposent des solutions. N'oubliez pas que le moyen le plus efficace est de restaurer les fichiers qui nous ont chiffrés à partir de la sauvegarde que nous avons effectuée, mais nous vous laissons quelques outils publiés pour pouvoir les déchiffrer :

  • Alcatraz Ransomware Solution: Télécharger
  • Solution Apocalypse Ransomware: Télécharger
  • BadBlock Ransomware Solution: Télécharger
  • Solution de ransomware Crypt888 : Télécharger
  • Solution Legion Ransomware: Télécharger
  • Téléchargement de la solution Cryptolocker Ransomware

Ici, vous pouvez voir quelques options de solution pour décrypter plus de types de Ransomware afin de récupérer vos informations.

  • Outils de ransomware Karspersky
  • Outils de ransomware Avast
  • Wanakiwi (Outil qui aide à décrypter WannaCry, pensez à ne pas redémarrer une fois que vous avez été infecté et lancez cet outil. Vous pourrez récupérer des informations sous Windows XP, Windows 7 et Windows Server 2003, 2008).

Comme protection, nous devons tenir compte du fait que anti-malware sont une base que tous les ordinateurs devraient avoir à part un bon antivirus. En tant que recommandation d'outils anti-malware, nous recommandons :

  • Kaspersky WindowsUnlocker : Télécharger
  • Malwarebytes 3.0 : Télécharger
  • Défenseur OSHI : Télécharger
  • Hitman Pro : Télécharger
  • BitDefender Anti-Crypto. Télécharger
  • Trendmicro Ransomware Screen Unlocker : Télécharger
  • Kit d'outils d'atténuation et d'expérience améliorés Microsoft (EMET) : Télécharger

Nous vous laissons également un anti-malware pour Linux et Mac :

  • LMD/Clamav (Linux)
  • Le meilleur anti-malware (Mac)

En tant qu'outil supplémentaire axé sur protection contre WannaCry Ransomware, nous recommandons Outil NoMoreCry par l'outil de CCN-CERT car il permet empêcher l'exécution de WannaCry Ransomware.

Nous devons les remercier pour cette belle contribution du CCN-CERT (CNI).

Cet outil fonctionne sur toutes les versions de Windows et est disponible pour être utilisé par toutes les entreprises. Il crée un mutex (algorithme d'exclusion mutuelle) sur l'ordinateur sur lequel vous l'installez et empêche l'exécution du code malveillant WannaCry 2.0.

Outil NoMoreCry du CCN-CERT est situé dans le cloud CCN-CERT, LORETO. Vous trouverez un script complémentaire qui empêche l'exécution de logiciels malveillants sur les ordinateurs Windows (toutes les versions, en anglais et en espagnol).

Nous téléchargeons simplement le fichier NoMoreCry_mutex Oui NoMoreCry-v0.4.exe (les versions seront mises à jour). Et les deux fichiers doivent être dans le même dossier.

Lors de son exécution, le message suivant apparaîtra :

N'oubliez pas qu'à chaque fois que vous vous connectez, vous devez l'exécuter à nouveau. CCN-CERT indique que l'outil doit être exécuté après chaque redémarrage. Nous vous recommandons donc de l'inclure au démarrage de Windows (si c'est pour quelqu'un avec un ordinateur personnel). Il s'agirait simplement d'ajouter cet outil avec son raccourci exécutable dans le dossier des programmes de démarrage :

  • + R
  • Écrit : shell : démarrage et appuyez sur Entrée.
  • Collez le raccourci de cet outil ici.

Vous l'avez également en .MSI pour le mettre en GPO. (Ceci pour les administrateurs système). Ce processus peut également être automatisé en modifiant le registre Windows ou en implémentant des stratégies GPO dans le domaine.

En tant que recommandation finale d'outils de protection. Bien sûr, n'oublions pas d'avoir un antivirus installé dans les différents systèmes d'exploitation que nous avons, dans ces liens nous mettons le meilleur de cette année et surtout gratuit, si vous ne vous protégez pas c'est parce que vous n'en avez pas envie.

  • Windows antivirus gratuit
  • Antivirus Linux gratuit
  • Antivirus Mac gratuit

Les outils de sécurité ont pour objectif de protéger nos informations contre les ransomwares mais fondamentalement le premier pas de la protection est en nous car de nouveaux virus, chevaux de Troie, logiciels malveillants, attaques, etc. continueront toujours à apparaître.

N'oubliez pas et nous le mentionnons à nouveau, que dans la plupart de ces ransomwares, après avoir crypté vos fichiers, supprimer également l'original, donc dans le cas où une technique ne fonctionne pas et que vous avez été peu responsable lorsque vous n'avez pas de copies de sauvegarde de vos données, il est possible d'essayer de récupérer les fichiers supprimés de votre ordinateur (une fois le ransomware éliminé comme expliqué dans ce qui suit chapitre ci-dessous).

Pour cela, nous vous recommandons d'avoir à portée de main cet autre tutoriel avec une collection de programmes gratuits pour récupérer les fichiers supprimés.

5. Comment supprimer et protéger l'attaque du ransomware WannaCry

WannaCry est l'un des derniers ransomwares qui s'est répandu dans le monde et affecte à la fois les organisations et les utilisateurs ordinaires en cryptant leurs données et en exigeant de grosses sommes d'argent. Nous avons beaucoup parlé dans ce didacticiel de ce type de ransomware, mais dans cette section, nous nous concentrons sur la façon de l'éliminer une fois que nous en avons été infectés.

Si vous faites partie de ceux qui apparaissent soudainement la fenêtre avec le message ci-dessus, vous êtes infecté :

Message du ransomware WannaCry (anglais)
Oups vos fichiers ont été cryptés !

Qu'est-il arrivé à mon ordinateur ?

Vos fichiers importants sont cryptés.

Beaucoup de vos documents, photos, vidéos, bases de données et autres fichiers ne sont plus accessibles car ils ont été cryptés. Peut-être êtes-vous occupé à chercher un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut récupérer vos fichiers sans service de décryptage.

Puis-je récupérer mes fichiers ?

Sûr. Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. (Mais vous n'avez pas assez de temps). Vous pouvez essayer de décrypter certains de vos fichiers gratuitement. Essayez maintenant en cliquant. Si vous voulez décrypter tous vos fichiers, vous devez payer.

Vous ne disposez que de 3 jours pour effectuer le paiement. Après cela, le prix sera doublé. De plus, si vous ne payez pas dans les 7 jours, vous ne pourrez pas récupérer vos fichiers pour toujours.

Message du ransomware WannaCry (espagnol)
Oups vos fichiers ont été cryptés !

Qu'est-il arrivé à mon PC ?

Vos fichiers importants sont cryptés.

Beaucoup de vos documents, photos, vidéos, bases de données et autres fichiers ne sont plus accessibles car ils ont été cryptés. Vous êtes peut-être occupé à chercher un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut récupérer vos fichiers sans le service de décryptage.

Puis-je récupérer mes fichiers ?

Bien sûr. Nous vous garantissons que vous pouvez récupérer tous vos fichiers en toute sécurité et facilement. (Mais vous n'avez pas assez de temps). Vous pouvez essayer de décrypter certains de vos fichiers gratuitement. Essayez maintenant en cliquant. Si vous voulez décrypter tous vos fichiers, vous devrez payer.

Vous n'avez que 3 jours pour envoyer le paiement. Après cela, le prix doublera. De plus, si vous ne payez pas dans les 7 jours, vous ne pourrez pas récupérer vos fichiers pour toujours.

Si vous voyez que votre entreprise ou vos ordinateurs ont ce ransomware, ce que vous devrez faire est d'arrêter tous les ordinateurs afin qu'il ne soit pas répliqué, et qu'il ne continue pas à crypter plus de fichiers. Déconnectez les ordinateurs du réseau et touchez-les pour en détecter l'origine.

Pour éliminer ce malware dans un environnement Windows 10, nous allons effectuer le processus suivant.

AttentionSi vous n'êtes pas à un niveau avancé, il est préférable de réinstaller le système et de restaurer vos données à partir d'une copie de sauvegarde pour vous assurer que vous n'êtes pas toujours infecté.

Étape 1
Tout d'abord, nous devons accéder en mode sans échec pour éviter le démarrage de certains services et processus, pour voir comment accéder en mode sans échec, nous pouvons aller sur le lien suivant :

Étape 2
Deuxièmement, nous devons accéder au gestionnaire de tâches en faisant un clic droit sur la barre des tâches et en sélectionnant l'option correspondante "Gestionnaire de tâches".

Une fois là-bas, nous allons dans l'onglet Processus et nous devons examiner les processus qui ne nous semblent pas normaux, une fois vus, nous ferons un clic droit dessus et sélectionnerons l'option "Ouvrir l'emplacement du fichier".

Ce fichier peut être scanné avec notre logiciel antivirus et/ou antimalware car nous connaissons déjà le chemin et donc nous avons des doutes. Jusqu'à ce point, nous pouvons déterminer l'intégrité et la fiabilité du fichier.

En cas de non-obtention de résultats, nous pouvons accéder au fichier hosts du système et y vérifier si nous sommes victimes.

Pour cela nous ouvrons le menu Exécuter : (+ R) et saisissez la ligne suivante : 

 notepad% windir% / system32 / Drivers / etc / hosts
Cela affichera le fichier hosts. Si vous remarquez que de nouvelles entrées apparaissent en bas des adresses IP externes autres que 127.0.0.1 et que vous ne les connaissez pas, elles auront l'air d'avoir été ajoutées par le ver ransomware.

Étape 3
En plus de cela, nous pouvons consulter que des programmes ou des applications se connectent au démarrage du système, comme certains fichiers infectés peuvent être infectés depuis le début, pour vérifier cela, nous allons dans l'onglet Démarrage du Gestionnaire des tâches et vérifions en détail quelles applications démarrent avec Windows 10 :

Si vous voyez quelque chose d'anormal, sélectionnez-le et cliquez sur le bouton Désactiver. Nous vous recommandons de voir le tutoriel que nous avons mis pour vous car il vous apprend à le gérer.

Étape 4
Plus tard, nous accédons à l'éditeur de registre de Windows 10 en utilisant la combinaison de touches + R et en entrant la commande regedit.

Là on va dans Edit / Search ou on utilise les touches Ctrl + F et dans la fenêtre affichée nous chercherons le nom du ransomware:

AGRANDIR

Il est important de garder à l'esprit de ne pas supprimer les registres non-virus car cela affecterait la stabilité du système. Nous devons supprimer tous les enregistrements de virus aux emplacements suivants :

  • % Données d'application%
  • % LocalAppData%
  • % Données de programme%
  • % WinDir%
  • % Temp%

A cette époque, il serait intéressant de pouvoir exécuter des applications pour analyser nos équipements. Nous vous recommandons de consulter le quatrième chapitre de ce didacticiel "Outils pour protéger ou récupérer des fichiers cryptés à partir de ransomware " car nous pouvons trouver des outils qui peuvent aider à trouver et à résoudre cette attaque. Il faut toujours prendre en compte les recommandations commentées pour éviter de tomber dans le piège d'un Ransomware.

Si vous faites partie de ceux qui n'ont pas effectué de sauvegarde, gardez à l'esprit qu'il peut être possible de récupérer les données supprimées, car ce malware crypte d'abord vos fichiers puis les supprime. Après avoir supprimé ce ransomware, nous vous recommandons d'utiliser des outils de récupération de fichiers supprimés. Certains, vous pouvez récupérer.

6. Comment supprimer et protéger l'attaque Wanna Decryptor 2.0 Ransomware


En date du 16/05/2017, nous continuons à voir beaucoup de nouvelles sur la propagation de l'attaque massive de Ransomware avec un virus appelé Je veux décrypter0r 2.0 qui est hébergé sur les ordinateurs et crypte également les informations en utilisant une combinaison d'algorithmes RSA et AES-128-CBC où les fichiers infectés, qui sont cryptés, ont automatiquement le extension .WNCRY.

Ainsi, lorsque nous essayons d'accéder à l'ordinateur ou à l'un de ces fichiers, nous recevons un message pas si gratifiant :

L'objectif de cette attaque massive est d'atteindre le plus grand nombre de victimes et pour l'instant nous avons ces chiffres :

  • Plus de 150 pays touchés.
  • Plus de 200 000 personnes attaquées dans leurs fichiers.
  • Jusqu'à présent, plus de 55 000 USD ont été perdus en payant une « rançon » pour vos fichiers.

Le pire dans tout cela, c'est qu'on craint que la menace ne continue de croître. Lorsque le virus affecte nos fichiers, nous pouvons voir que ceux-ci, comme nous l'avons mentionné, ont l'extension .WNCRY :

On peut voir qu'un fichier texte nommé @ Please_Read_Me @ est créé où l'on verra les instructions données par l'attaquant :

AGRANDIR

Nous pouvons voir ce qui suit :

Tout vise à ce que nous payions le montant minimum, qui est de 300 USD pour récupérer nos informations puisque la clé qui nous permet de déchiffrer les données n'est pas hébergée localement mais se trouve sur les serveurs de l'attaquant.

Ce virus attaque les ordinateurs avec les systèmes d'exploitation Windows dans toutes ses versions :

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Serveur Windows 2008/2012/2016

Solvetic veut analyser en profondeur ce problème pour éviter que chacun ne soit une victime de plus de cette attaque massive dans le monde entier et c'est pourquoi nous essayons de continuer à détailler les variables qui apparaissent et quelques moyens sur la façon dont il sera possible d'éliminer cette menace de notre ordinateur . . .

Les recommandations ont déjà été données en détail dans d'autres sections au-dessus de ce manuel, mais nous indiquons les plus fondamentales.

  • Gardez nos systèmes d'exploitation à jour.
  • N'ouvrez pas les e-mails suspects.
  • Évitez de télécharger des éléments à partir de sites P2P.
  • Installez des outils antivirus.
  • Si nous suspectons une activité inhabituelle, nous devons immédiatement déconnecter l'équipement du réseau.

Comment Wanna Decryptor 2.0 se propage
C'est la question fondamentale que se posent de nombreux utilisateurs puisque de manière générale nous sommes attentifs aux informations que nous traitons ou aux sites que nous visitons. Eh bien, ce virus se propage massivement, et comme référence, en utilisant les e-mails.

Bien que nous ayons beaucoup parlé du sujet, il est courant et peu variable de pouvoir être infecté en voyant diverses notifications dans notre bac à spam telles que :

  • Notifications légales par toute autorité indiquant que nous trouverons le motif de la convocation ci-joint.
  • Messages de nos réseaux sociaux indiquant que nous avons de nouveaux messages.
  • Demande des entités financières de mise à jour des informations, etc.

Comment savoir si Wanna Decryptor 2.0 est un ransomware
La raison est très simple, tout virus qui empêche l'accès normal à nos informations ou à notre équipement et demande une somme d'argent pour y accéder est classé comme Ransomware.

Wanna Decryptor 2.0 attaque les extensions suivantes en les modifiant en extension .WNCRY. L'objectif fondamental de Wanna Decryptor est de crypter des fichiers importants qui sont très utiles pour chaque utilisateur ou entreprise, tels que les suivants :

  • Extensions d'applications Office : .ppt, .doc, .docx, .xlsx, .sx
  • Extensions d'applications : .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Extensions de base de données : .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Extensions de messagerie : .eml, .msg, .ost, .pst, .edb
  • Extensions développeur : .php, .java, .cpp, .pas, .asm
  • Clés de chiffrement et extensions de certificat : .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Extensions de conception graphique : vsd, .odg, .raw, .nef, .svg, .psd
  • Extensions de machine virtuelle : .vmx, .vmdk, .vdi

Comme on le voit, la menace est latente et large. Nous sommes particulièrement préoccupés par ceux qui affectent les serveurs principaux tels que les extensions de bases de données, les machines virtuelles, les fichiers de serveurs vitaux tels que .php, .java, etc. Cela peut provoquer un arrêt peut-être encore plus étendu que les fichiers les plus simples à restaurer tels que xlsx, pdf, docx etc.

Nous répétons que cela continuera d'évoluer et de s'améliorer. Ne sous-estimons donc jamais votre avancement.

Nous expliquerons en détail quel processus Wanna Decryptor 2.0 exécute pour prendre le contrôle de nos fichiers.

  • Tout d'abord, le virus écrit un dossier avec des caractères aléatoires dans le chemin C:\ProgramData avec le nom taskche.exe ou dans le chemin C:\Windows avec le nom de mssecsvc.exe et vousasksche.exe.
  • Une fois ces dossiers écrits, le virus donnera un contrôle total à ces fichiers en exécutant les opérations suivantes :
 Icacls. / subvention Tout le monde : F / T / C / Q
  • Utilisez ensuite le script suivant pour son exécution : XXXXXXXXXXXXXX.bat (Changez X pour des chiffres et/ou des lettres)
  • Il utilisera ses hachages, ou algorithmes cryptographiques, de Wanna Decryptor 2.0. À ce stade, nous pouvons utiliser des outils tels qu'un antivirus ou un antimalware pour localiser ces hachages et procéder à leur suppression du système.
  • Pour prendre le contrôle total, Wanna Decryptor 2.0 utilise des services TOR cachés avec l'extension .onion comme suit :
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
De cette façon, nous verrons comment il analyse toutes nos unités disponibles jusqu'à ce que nous trouvions les extensions de fichiers susmentionnées et procédions à leur cryptage et à leur paiement respectif. Comme nous l'avons dit dans d'autres versions pour savoir s'il est possible de décrypter les fichiers cryptés par Wanna Decryptor 2.0 … nous vous le répétons La réponse est non en raison du niveau de cryptage utilisé dans le processus de AES-265 avec une méthode de cryptage RSA ce qui est complet et il n'y a aucun outil, y compris la force brute, capable de déchiffrer les données.

Par conséquent, comme nous l'avons déjà dit dans d'autres sections, nous sommes obligés de récupérer les informations d'autres manières telles que:

  • Récupérez les informations qui ont été cryptées à partir de copies de sauvegarde précédemment effectuées.
  • Récupérez les informations d'origine qui ont été supprimées après leur cryptage par wanna decryptor 2.0. Lorsque nous avons été attaqués par Wanna Decryptor 2.0, il crée d'abord une copie des fichiers, puis les crypte et supprime ensuite les originaux, en prenant le contrôle total. (Voir la section sur les outils de protection et de récupération des données)
  • Utilisez Shadow Explorer auparavant et nous aurons la possibilité de sauver les fichiers supprimés des volumes protégés (Vous avez le lien de téléchargement dans la section recommandations pour vous protéger des ransomwares).

En tant que processus d'élimination, suivez le modèle expliqué précédemment dans la section WannaCry, en entrant dans le mode sans échec, en vérifiant certains dossiers où il est hébergé, en éliminant l'exécution de services et de programmes au démarrage de Windows et en analysant avec l'outil le plus antimalware que vous aimez (MalwareBytes , Hitman Pro, Windows Defender Offline sont quelques-uns des nombreux disponibles pour cette analyse).

Enfin, si vous voulez savoir en temps réel quel est l'état actuel de Wanna Decryptor 2.0 et être au courant de la progression de cette attaque avec des détails tels que les ordinateurs et utilisateurs infectés, les pays où le virus a été hébergé, entre autres, nous pouvons allez sur le lien suivant :

Ce sera ce que nous observons :

AGRANDIR

Là, nous verrons le graphique avec les sites concernés respectifs, le nombre total d'ordinateurs concernés, etc. En bas, nous verrons les graphiques de l'augmentation de cette attaque dans le monde :

AGRANDIR

Nous vous recommandons de suivre ces conseils et de conserver à jour des copies de sauvegarde des informations les plus pertinentes.

Nous avons vu à quel point nous sommes dans un monde d'insécurité qui peut affecter nos vies à tout moment, mais si nous sommes prudents et prudents, nous ne serons certainement pas une autre victime du ransomware puisque toute notre sécurité dépend de nous.

Voici d'autres tutoriels et articles sur la sécurité. Nous vous demandons seulement de partager ce tutoriel afin que nous puissions tous être sur le qui-vive et un peu plus en sécurité face aux menaces auxquelles nous sommes quotidiennement exposés dans l'utilisation d'Internet. Nous continuerons les tutoriels quotidiens pour vous tous. Soyez attentif chez Solvetic aux solutions informatiques et technologiques, non seulement pour la sécurité, mais pour tous les domaines et niveaux.

Vous contribuerez au développement du site, partager la page avec vos amis

wave wave wave wave wave

Articles Populaires

wave
1
post-title
Oculus Rift contre PlayStation VR
2
post-title
▷ Comment modifier et ajouter des signets et des favoris dans Safari
3
post-title
Ajouter une commande d'exécution dans le menu Démarrer de Windows 10
4
post-title
Comment afficher ou modifier une extension de fichier dans Windows 8
5
post-title
Œil! Ils peuvent voler vos données si vous entrez dans des groupes WhatsApp publics

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -