Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé ransomwares. Afficher tous les messages
Aucun message portant le libellé ransomwares. Afficher tous les messages

mardi 22 novembre 2022

Ransomware en tant que service (RaaS) expliqué


Ransomware en tant que service (RaaS) expliqué

Kurt Baker - 7 février 2022
Qu'est-ce qu'un ransomware en tant que service (RaaS) ?

Le ransomware en tant que service (RaaS) est un modèle commercial entre les opérateurs de ransomware et les affiliés dans lequel les affiliés paient pour lancer des attaques de ransomware développées par les opérateurs. Considérez le ransomware en tant que service comme une variante du modèle commercial de logiciel en tant que service (SaaS).

Les kits RaaS permettent aux affiliés qui n'ont pas les compétences ou le temps de développer leur propre variante de ransomware d'être opérationnels rapidement et à moindre coût. Ils sont faciles à trouver sur le dark web, où ils sont annoncés de la même manière que les biens sont annoncés sur le web légitime.

Un kit RaaS peut inclure une assistance 24h/24 et 7j/7, des offres groupées, des avis d'utilisateurs, des forums et d'autres fonctionnalités identiques à celles proposées par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 $ par mois à plusieurs milliers de dollars – des montants insignifiants, étant donné que la demande de rançon moyenne en 2021 était de 6 millions de dollars. Un acteur menaçant n'a pas besoin que chaque attaque réussisse pour devenir riche.
Comment fonctionne le modèle RaaS

Le tableau ci-dessous décrit les rôles que jouent les opérateurs et les affiliés dans le modèle RaaS :
Opérateurs RaaS Affiliés RaaS
Recrute des affiliés sur les forums Paye pour utiliser le rançongiciel

Accepte des frais de service par rançon collectée
Donne aux affiliés l'accès à un "créez votre propre
panneau du package de ransomware »

Crée un "Command and Control" dédié
tableau de bord permettant à l'affilié de suivre le colis Cibles victimes

Définit les demandes de rançon

Configure les messages utilisateur post-compromis
Compromet les biens de la victime

Maximise l'infection en utilisant "vivre de la terre"
techniques

Exécute les rançongiciels
Met en place un portail de paiement des victimes

« Assiste » les affiliés dans les négociations avec les victimes Communique avec la victime via des portails de chat ou
autres canaux de communication
Gère un site dédié aux fuites Gère les clés de déchiffrement

Il existe quatre modèles de revenus RaaS courants :

    Abonnement mensuel pour un forfait
    Les programmes d'affiliation, qui sont identiques à un modèle de frais mensuels, mais avec un pourcentage des bénéfices (généralement 20 à 30 %) revenant au développeur du rançongiciel
    Frais de licence uniques sans partage des bénéfices
    Intéressement pur aux bénéfices

Les opérateurs RaaS les plus sophistiqués proposent des portails qui permettent à leurs abonnés de voir l'état des infections, le total des paiements, le total des fichiers cryptés et d'autres informations sur leurs cibles. Un affilié peut simplement se connecter au portail RaaS, créer un compte, payer avec Bitcoin, entrer des détails sur le type de malware qu'il souhaite créer et cliquer sur le bouton Soumettre. Les abonnés peuvent avoir accès à l'assistance, aux communautés, à la documentation, aux mises à jour de fonctionnalités et à d'autres avantages identiques à ceux dont bénéficient les abonnés aux produits SaaS légitimes.

Le marché du RaaS est concurrentiel. En plus des portails RaaS, les opérateurs RaaS mènent des campagnes marketing et ont des sites Web qui ressemblent exactement aux campagnes et sites Web de votre propre entreprise. Ils ont des vidéos, des livres blancs et sont actifs sur Twitter. RaaS est une entreprise, et c'est une grande entreprise : les revenus totaux des ransomwares en 2020 étaient d'environ 20 milliards de dollars, contre 11,5 milliards de dollars l'année précédente.

Certains exemples bien connus de kits RaaS incluent Locky, Goliath, Shark, Stampado, Encryptor et Jokeroo, mais il y en a beaucoup d'autres et les opérateurs RaaS disparaissent, se réorganisent et réapparaissent régulièrement avec des variantes de ransomware plus récentes et meilleures.
Rapport CrowdStrike sur les menaces mondiales 2022

Téléchargez le rapport 2022 sur les menaces mondiales pour découvrir comment les équipes de sécurité peuvent mieux protéger les personnes, les processus et les technologies d'une entreprise moderne dans un paysage de menaces de plus en plus inquiétant.
Télécharger maintenant
Exemples de RaaS
Côté obscur

DarkSide est une opération RaaS associée à un groupe eCrime suivi par CrowdStrike sous le nom de CARBON SPIDER. Les opérateurs DarkSide se concentraient traditionnellement sur les machines Windows et se sont récemment étendus à Linux, ciblant les environnements d'entreprise exécutant des hyperviseurs VMware ESXi non corrigés ou volant les informations d'identification de vCenter. Le 10 mai, le FBI a publiquement indiqué que l'incident du Colonial Pipeline impliquait le rançongiciel DarkSide. Il a été rapporté plus tard que Colonial Pipeline avait volé environ 100 Go de données sur son réseau et que l'organisation aurait payé près de 5 millions de dollars américains à une filiale de DarkSide.
REvil

REvil, également connu sous le nom de Sodinokibi, a été identifié comme le logiciel de rançon à l'origine de l'une des demandes de rançon les plus importantes jamais enregistrées : 10 millions de dollars. Il est vendu par le groupe criminel PINCHY SPIDER, qui vend du RaaS sous le modèle d'affiliation et prend généralement 40 % des bénéfices.

Semblable aux fuites initiales de TWISTED SPIDER, PINCHY SPIDER avertit les victimes de la fuite de données prévue, généralement via un article de blog sur leur DLS contenant des exemples de données comme preuve (voir ci-dessous), avant de publier l'essentiel des données après un certain temps. REvil fournira également un lien vers le blog dans la note de rançon. Le lien affiche la fuite à la victime affectée avant d'être exposée au public. Lors de la visite du lien, un compte à rebours commencera, ce qui entraînera la publication de la fuite une fois la quantité donnée de temps s'est écoulé.

exemple de reevil ransomware dls
Dharma

Les attaques du rançongiciel Dharma ont été attribuées à un groupe de menaces iranien à motivation financière. Ce RaaS est disponible sur le dark web depuis 2016 et est principalement associé aux attaques RDP (Remote Desktop Protocol). Les attaquants exigent généralement 1 à 5 bitcoins de cibles dans un large éventail d'industries.
Dharma n'est pas contrôlé de manière centralisée, contrairement à REvil et aux autres kits RaaS.

Les variantes du Dharma proviennent de nombreuses sources, et la plupart des incidents dans lesquels CrowdStrike a identifié le Dharma ont révélé une correspondance de près de 100 % entre les exemples de fichiers. Les seules différences étaient les clés de chiffrement, l'e-mail de contact et quelques autres éléments pouvant être personnalisés via un portail RaaS. Parce que les attaques Dharma sont presque identiques, les chasseurs de menaces ne sont pas en mesure d'utiliser un incident pour en savoir plus sur qui est derrière une attaque Dharma et comment ils fonctionnent.
LockBit

En développement depuis au moins septembre 2019, LockBit est disponible en tant que RaaS, annoncé aux utilisateurs russophones ou anglophones avec un garant russophone. En mai 2020, une filiale exploitant LockBit a publié une menace de fuite de données sur un forum criminel populaire en langue russe :

exemple de message de rançongiciel lockbit

En plus de la menace, l'affilié fournit une preuve, telle qu'une capture d'écran d'un exemple de document contenu dans les données de la victime. Une fois la date limite passée, l'affilié est connu pour publier un lien mega[.]nz pour télécharger les données de la victime volée. Cette filiale a menacé de publier les données d'au moins neuf victimes.
Voir Crowdstrike Falcon en action

Découvrez comment fonctionne le portail de rançon mis en place par CIRCUS SPIDER et pourquoi NetWalker s'est avéré être un logiciel de rançon en tant que service (RaaS) si efficace.
Télécharger maintenant
Prévenir les attaques RaaS

La récupération après une attaque de ransomware est difficile et coûteuse, et par conséquent, il est préférable de les empêcher complètement. Les étapes pour empêcher une attaque RaaS sont les mêmes que pour empêcher toute attaque de ransomware, car RaaS n'est qu'un ransomware conçu pour être facilement utilisé par toute personne mal intentionnée :

    Implémentez une protection des points de terminaison fiable et moderne qui peut fonctionner sur des algorithmes avancés et fonctionne automatiquement en arrière-plan 24 heures sur 24.
    Effectuez des sauvegardes régulières et fréquentes. Si une sauvegarde n'est effectuée que tous les week-ends, une attaque de ransomware pourrait coûter une semaine entière de travail.
    Effectuez plusieurs sauvegardes et stockez-les sur des appareils distincts à différents endroits.
    Testez régulièrement les sauvegardes pour vous assurer qu'elles peuvent être récupérées.
    Maintenez un programme de correctifs rigoureux pour vous protéger des vulnérabilités connues et inconnues.
    Segmentez le réseau pour empêcher la prolifération dans l'environnement.
    Mettez en place une protection anti-hameçonnage avancée.
    Investissez dans la formation des utilisateurs et construisez une culture de la sécurité.


REF.:  https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/

jeudi 14 juillet 2022

Cybercriminalité : Europol coupe le câble de VPNLab.net

 

 

Cybercriminalité : Europol coupe le câble de VPNLab.net

Alexandre Boero
19 janvier 2022 à 17h05

 
Capture d'écran de la plateforme VPNLab.net, le 19 janvier

L'agence Europol a annoncé ce mardi avoir démantelé le réseau privé VPNLab.net, très prisé des cybercriminels.

L'affaire aura nécessité la coopération d'une douzaine d'agences et de pays. Europol, l'agence européenne spécialisée dans la répression de la criminalité internationale et du terrorisme, a officialisé la fin de VPNLab.net. Elle indique avoir démantelé ce réseau privé virtuel qui était utilisé par des hackers et des criminels du monde entier pour commettre, entre autres, des attaques par ransomwares.

Une coopération entre l'Europe et l'Amérique du Nord

Pour mettre hors d'état de nuire VPNLab.net, il a fallu que plusieurs structures et États se coordonnent pour saisir ou interrompre le trafic de 15 serveurs qui hébergeaient le fameux réseau virtuel privé et ses utilisateurs. VPNLab.net permettait à divers hackers et groupes cybercriminels de se livrer à des actions illégales, dont le déploiement de rançongiciels.

L'Allemagne, à l'origine de l'opération, mais aussi les Pays-Bas, le Canada, la République tchèque, la France, la Hongrie, la Lettonie, l'Ukraine, le Royaume-Uni et les États-Unis sont les pays qui ont permis le démantèlement du VPN. Le FBI pour les USA, la Sous-direction de lutte contre la cybercriminalité (SDLC) et la Direction centrale de la Police judiciaire (DCPJ) pour la France ont notamment apporté leur contribution
à l'agence européenne de coopération judiciaire (Eurojust), à Europol et à la police allemande de Hanovre pour faire tomber les infrastructures de VPNLab.net.

Actif depuis 2008, VPNLab.net était fondé sur le logiciel open source OpenVPN avec un chiffrement de 2 048 bits (censé renforcer l'anonymat). Il était accessible contre un abonnement de 60 dollars par an, soit un peu plus de 50 euros à l'année. De nombreux hackers transitaient par le VPN pour diffuser des malwares et perturber certains réseaux, sans être menacés par les autorités.

Les VPN ne sont plus à l'épreuve des balles

Si la plateforme ne causera plus de dégâts, l'enquête révèle tout de même que plus de 100 entreprises ont été identifiées comme étant exposées à des cyberattaques. Europol indique que les forces de l'ordre travaillent actuellement avec les potentielles victimes pour les aider à mettre en place des moyens qui viendront atténuer les risques et anticiper ces attaques.

Les enquêteurs ont été mis sur la piste par la citation du VPN directement sur le dark web, ce qui a accéléré l'opération et permis, un peu plus tard, le démantèlement. Mais une porte s'ouvre indéniablement sur les réseaux virtuels privés. « Ces services ne sont pas à l'épreuve des balles », prévient le chef du département de police de Hanovre, Volker Kluwe.

 

REF.:   https://www.clubic.com/antivirus-securite-informatique/actualite-405036-cybercriminalite-europol-coupe-le-cable-de-vpnlab-net.html

dimanche 2 janvier 2022

Ransomware : Un Canadien inculpé pour avoir lancé des attaques

 

 

Ransomware : Un Canadien inculpé pour avoir lancé des attaques

Sécurité : Les autorités américaines enquêtaient depuis 2018 sur le citoyen canadien Matthew Philbert, âgé de 31 ans.

Le FBI et le département de la Justice américain ont levé hier les scellés des actes d'accusation contre le Canadien Matthew Philbert, 31 ans, pour son implication présumée dans plusieurs attaques de ransomware.

Des représentants de la police canadienne ont tenu une conférence de presse ce mardi pour annoncer les accusations et l'arrestation du prévenu à Ottawa.

Le suspect serait affilié à un groupe de ransomware

Dans un communiqué, le procureur américain Bryan Wilson, du district de l'Alaska, indique que Matthew Philbert « a conspiré avec d'autres personnes connues et inconnues des Etats-Unis pour endommager des ordinateurs. Dans le cadre de cette conspiration, il a endommagé un ordinateur appartenant à l'Etat d'Alaska en avril 2018 ».

La justice canadienne a également annoncé des accusations contre le Canadien, notant qu'il avait été arrêté le 30 novembre. Les fonctionnaires n'ont pas précisé de quel groupe de ransomware il faisait partie ni de quelles attaques il était responsable.

« Les cybercriminels sont opportunistes et cibleront toute entreprise ou personne qu'ils identifient comme étant vulnérable », avertit Chuck Cox, commissaire adjoint de la police provinciale de l'Ontario.

Une nouvelle coopération entre les forces de l'ordre

Le suspect est notamment accusé de complot en vue de commettre une fraude et de fraude et d'activité connexe en rapport avec des ordinateurs. Bryan Wilson et les fonctionnaires canadiens soulignent qu'ils ont reçu l'aide des autorités néerlandaises et d'Europol dans cette affaire.

Au cours de la conférence de presse, Chuck Cox a indiqué que le FBI avait contacté les autorités canadiennes au sujet des activités de Matthew Philbert, notamment au sujet des attaques par ransomware contre des entreprises, des organismes gouvernementaux et des particuliers.

Lors de l'arrestation de Matthew Philbert, la police a indiqué qu'elle avait pu saisir plusieurs ordinateurs portables, des disques durs, des cartes vierges à bande magnétique et une phrase de passe permettant de récupérer l'accès à un portefeuille de cryptomonnaie.

Des cybercriminels basés partout dans le monde

En janvier, la police de Floride a arrêté un autre citoyen canadien en relation avec plusieurs attaques du groupe de ransomware Netwalker. Selon le département de la Justice américain, le suspect a réussi à gagner environ 27,6 millions de dollars grâce à plusieurs attaques par ransomware contre des organisations canadiennes comme la Northwest Territories Power Corporation, l'Ordre des infirmières et infirmiers de l'Ontario et un magasin de pneus situé en Colombie-Britannique.

D'après Brett Callow, analyste des menaces chez Emsisoft, on suppose généralement que les attaques par ransomware proviennent de Russie. Mais, même si le ransomware peut être "fabriqué" dans ce pays, il explique que les cybercriminels qui l'utilisent pour mener des attaques peuvent être basés n'importe où.

« En fait, il y a tellement d'argent à gagner avec les ransomwares qu'il serait extrêmement surprenant que des individus de pays comme le Canada, les Etats-Unis et le Royaume-Uni ne soient pas entrés sur le marché. Toutefois, ces personnes dorment peut-être un peu moins bien la nuit qu'avant. Dans le passé, il n'y avait pratiquement aucune chance qu'ils soient poursuivis pour leurs crimes, mais cela commence enfin à changer », affirme l'analyste à ZDNet.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/ransomware-un-canadien-inculpe-pour-avoir-lance-des-attaques-39933783.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20220102

mercredi 29 décembre 2021

La revente d'accès piratés, un marché toujours en croissance

 

 

La revente d'accès piratés, un marché toujours en croissance

Sécurité : La publication sur le dark web de messages proposant des identifiants VPN et RDP compromis, ainsi que d'autres moyens de pénétrer dans des réseaux, ont triplé l'année dernière.

Les cybercriminels sont de plus en plus nombreux à vendre des accès à des réseaux d'entreprise compromis, cherchant à tirer profit de la demande croissante de réseaux vulnérables de la part de groupes qui cherchent à lancer des attaques par ransomware.

Des chercheurs de l'entreprise de cybersécurité Group-IB ont analysé l'activité sur les forums clandestins et constaté une forte augmentation du nombre d'offres de vente d'accès à des réseaux d'entreprise compromis.

Le nombre de messages de ce type a triplé entre 2020 et 2021.

Une tendance nette

Ils prétendent proposer un accès à des réseaux privés virtuels et à des accès de bureau à distance (RDP) compromis, ainsi qu'à des web shell, reverse shell, outils de test d'intrusion Cobalt Strike et bien plus encore.

Grâce à ces accès, les cybercriminels peuvent accéder aux réseaux d'une entreprise et tenter d'obtenir des noms d'utilisateur et des mots de passe ou des droits d'administrateur qui leur permettent de prendre davantage le contrôle du réseau.

Sur les forums clandestins analysés, le nombre d'offres de vente d'accès aux réseaux d'entreprise est passé de 362 à 1 099, soit une multiplication par trois en un an seulement, et le rapport avertit que cette augmentation est « l'une des tendances les plus nettes des forums clandestins ».

Un prix variable

Les secteurs les plus concernés par ces reventes d'accès sont l'industrie, l'éducation, la finance et la santé.

Le coût d'un accès varie considérablement. Il peut parfois être proposé pour quelques milliers de dollars – une somme qu'une équipe de ransomware pourrait récupérer plusieurs fois en cas d'attaque réussie. Mais il existe une corrélation directe entre la valeur de l'accès et les revenus de l'entreprise de la victime – plus ses revenus sont élevés, plus le prix est élevé.

L'une des principales raisons de l'augmentation du nombre de vendeurs est la demande qui découle de la croissance des attaques de ransomware. Les groupes de ransomware ont besoin d'accéder aux réseaux et acheter l'accès est plus facile et prend moins de temps que de compromettre les réseaux par eux-mêmes.

« Les opérateurs de ransomware sont les principaux "clients" des services des courtiers en accès initial », explique Dmitry Shestakov, responsable de la recherche sur la cybercriminalité chez Group-IB, à ZDNet. « Cette alliance impie entre les courtiers et les opérateurs de ransomware dans le cadre de programmes d'affiliation de ransomware-as-as-a-service a conduit à l'essor de l'empire du ransomware. »

Le télétravail a facilité le développement de cette cybercriminalité

La croissance du marché des accès compromis s'explique également par le fait que le seuil de compétences est relativement bas pour se livrer à ce type de cybercriminalité. Les cybercriminels moins avertis peuvent utiliser des attaques de phishing ou acheter des logiciels malveillants prêts à l'emploi pour voler des informations.

Le rapport suggère également que l'obtention de cet accès initial est devenue plus facile en raison de l'augmentation du télétravail, qui a conduit de nombreuses organisations à utiliser involontairement des applications non sécurisées ou mal configurées que les cybercriminels peuvent facilement exploiter.

Et tant qu'il y aura des réseaux non sécurisés accessibles et une demande de la part d'autres cybercriminels pour acheter l'accès à ces réseaux, l'essor du marché des courtiers d'accès devrait se poursuivre. « Nous nous attendons à ce que le nombre de courtiers et d'offres d'accès augmente. Comme l'offre augmente pour répondre à la demande, nous nous attendons à ce que le prix de l'accès initial aux réseaux d'entreprise diminue », avertit Dmitry Shestakov. « Les ransomwares resteront le principal moyen de monétiser l'accès aux réseaux d'entreprise, car ils offrent le meilleur retour sur investissement possible. »

Se protéger des attaques en amont

Les organisations peuvent prendre des mesures pour éviter que les cybercriminels ne pénètrent dans le réseau et n'accèdent aux informations d'identification.

Voici les principales mesures de prévention à appliquer :

  • installer régulièrement et en temps voulu les mises à jour logicielles et les correctifs de sécurité, pour se protéger contre les vulnérabilités connues ;
  • encourager l'utilisation de mots de passe forts, difficiles à percer lors d'attaques par force brute ;
  • appliquer une authentification multifactorielle aux comptes afin que, si les identifiants sont compromis, les attaquants aient peu de possibilités de les exploiter.

Source : ZDNet.com

lundi 20 décembre 2021

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

 

 

Le ransomware Conti exploite Log4Shell pour attaquer VMware vCenter

Le ransomware Conti est très actif et il compte bien profiter de l'apparition de la faille de sécurité Log4Shell pour faire de nouvelles victimes. Son objectif : compromettre une instance VMware vCenter afin de chiffrer les machines virtuelles.

La faille de sécurité dans la bibliothèque Log4j représente un nouveau vecteur d'attaque très intéressant pour les pirates informatiques. En effet, cette faille peut-être exploitée à distance sans nécessiter d'authentification au préalable.

Après l'apparition d'un nouveau ransomware nommé Khonsari et qui pourrait s'en prendre aux serveurs Minecraft dans les prochains jours, c'est Conti, un ransomware bien connu, qui cherche à tirer profit de cette vulnérabilité. Malheureusement, la liste des groupes de pirates qui exploitent la faille Log4Shell devrait s'agrandir jour après jour.

De nombreux services et produits sont vulnérables à cette faille de sécurité, dont VMware avec plusieurs dizaines de produits différents estampillés comme étant vulnérables. Pour information, VMware vSphere ESXi n'est pas vulnérable, ce qui n'est pas le cas de VMware vCenter Server.

Je ne vais pas vous dire de patcher votre serveur vCenter de toute urgence, car pour le moment le correctif n'est pas encore disponible. D'ailleurs, vous pouvez suivre l'évolution de la situation sur le site de VMware au sein du bulletin de sécurité VMSA-2021-0028.

Normalement, les serveurs VMware vCenter ne sont pas exposés directement sur Internet. De ce fait, ce ne sera pas le point d'entrée d'origine de l'attaque. Par contre, si l'attaquant a déjà pris le contrôle d'un autre équipement, il peut se déplacer sur le réseau pour compromettre le serveur VMware vCenter (ou un autre produit VMware concerné par cette faille de sécurité). Après avoir pris le contrôle du serveur vCenter, l'attaquant peut déployer la charge finale : le ransomware Conti afin de chiffrer les machines virtuelles.

La vulnérabilité Log4Shell est idéale pour réaliser des mouvements latéraux sur un réseau afin de passer d'un hôte à un autre, et de progresser.

En complément, vous pouvez consulter l'analyse d'AdvIntel sur l'utilisation de la faille Log4j par le gang Conti. Pour rappel, ce gang est à l'origine de plusieurs centaines d'attaques, avec une liste de victimes qui compte plus de 600 entreprises n'ayant pas payé la rançon.

Source

mercredi 18 novembre 2020

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke

 

 

 

Des cybercriminels se sont servis des données volées à une entreprise de machinerie de Sherbrooke pour mener une attaque au rançongiciel et lui dérober 91 250$ US.

• À lire aussi: Leurs données commerciales publiées en ligne

• À lire aussi: Une vraie épidémie

Le matin du 23 octobre, le gérant des Équipements Marquis, Christian Corriveau, a eu la mauvaise surprise de trouver son réseau hors service. Rien de plus louche: nouveaux comptes d’utilisateurs apparus, mots de passe changés... Manifestement l’œuvre de pirates.

«À l’imprimante, j’ai vu qu’il y avait un paquet de feuilles», relate-t-il. Les hackers avaient fait sortir les instructions pour les contacter. L’attaque est l’œuvre du dernier-né des rançongiciels: Egregor. 

«Il y a eu un sentiment de panique partout, rapporte le président de l’entreprise, Jean-Guy Marquis. On a changé le serveur, changé les ordinateurs... Pendant ce temps-là, le commerce, il faut qu’il roule!»

Pas question de payer la rançon à ces criminels. 

«Le rançongiciel, c’est une mafia qui s’est montée», dénonce-t-il.

De toute façon, l'entreprise avait de bonnes sauvegardes et aucune information n’a été perdue. Elle était tout de même loin d’être au bout de ses peines.     

  • Écoutez le président de l'entreprise, Jean-Guy Marquis, ainsi que Damien Bancal, expert en cybersécurité, sur QUB radio:    

Détournement de fonds

Quatre jours plus tard, Équipements Marquis avait un virement électronique de 91 250$ US à faire, soit près de 120 000$ CA.

Pendant la transaction, la secrétaire a reçu un appel qui semblait provenir de la Banque Royale, relate le patron. «Le gars lui a dit, en anglais: “Attends un peu, on a un problème.”»

C’est à ce moment-là que l’ordinateur a gelé et que l’entreprise a compris qu’elle venait de se faire avoir. «On a averti la banque tout de suite», assure Jean-Guy Marquis, qui a aussi fait déconnecter tout le réseau.

De toute évidence, l’appel ne provenait pas de la banque, mais d’un criminel qui a utilisé une application pour afficher un numéro différent du sien.

«Ça sous-entend que la machine était surveillée par des pirates», dit Damien Bancal, chef de la cyberintelligence chez 8Brains. Toujours connectés, ils attendaient l’occasion de s’en mettre plein les poches depuis cinq jours.

Jean-Guy Marquis a pris des avocats pour tenter de se faire rembourser. La Banque Royale soutient toutefois qu’elle n’est pas responsable de sa perte, dit-il.

En attendant, l’argent est bloqué dans un compte de la Chase Manhattan Bank à New York.   

  • Écoutez la chronique de Félix Séguin au micro de Richard Martineau, sur QUB radio:   

Un gang en expansion

Notre Bureau d’enquête a pu consulter en ligne les renseignements que les cyberpirates ont volés aux Équipements Marquis. Ils contiennent notamment des données permettant de se connecter au compte de l’entreprise qu’ils ont ciblé.

Les malfaiteurs ont utilisé Egregor, un tout nouveau rançongiciel mentionné pour la première fois en septembre dernier sur les sites spécialisés. Les cybercriminels peuvent le louer pour monter leurs propres attaques.

« Leurs chiffres explosent, c’est assez fou », dit Damien Bancal, qui a aidé notre Bureau d’enquête à repérer les données volées aux Équipements Marquis sur le web caché (dark web). Selon sa compilation, Egregor a déjà fait 111 victimes dans le monde depuis septembre.

 

REF.:

Comment supprimer Sodinokibi Ransomware et décrypter vos fichiers

 

 

Comment supprimer Sodinokibi Ransomware et décrypter vos fichiers

 

Infectés par le Sodinokibi Ransomware? Avez-vous besoin de décrypter vos fichiers?

Qu'est-ce que Sodinokibi Ransomware

Sodinokibi est un développeur de cryptovirus dont cette cible cryptovirus utilisateurs anglophones, cependant, il a déjà étendu à tous les points du globe. Beaucoup d'autres, il crypte les données utilisateur et nécessite une rançon de 0.475 àjusqu'à 0.950 bitcoins. En plus, contrairement aux virus similaires, il attribue une extension qui peut changer en permanence . Voici quelques exemples d'extensions: fgcxh, ouivk, fdseaq etc.. Il crée un fichier spécial qui contient les exigences des attaquants d'extension personnels -readme.txt, que le virus a affecté à vos fichiers.


Hello dear friend!
Your files are encrypted, and, as result you can't use it. You must visit our page to get instructions about decryption process.
All encrypted files have got hg6u62 extension.
Instructions into the TOR network
-----------------------------
Install TOR browser from https://torproject.org/
Visit the following link: http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/C2D97495C4BA3647
Instructions into WWW (The following link can not be in work state, if true, use TOR above):
-----------------------------
Visit the following link: http://decryptor.top/C2D97495C4BA3647
Page will ask you for the key, here it is:
fCxNid7JbKZd9ygwzDQS0s4vyyzP0uddSzGkLCH0ajRr9Pv7DLm6uqiCVxjbmyW/
CD5hLRwBFLdrfGqex0ghdS90qGRf5tlNOz9JtChkGYeGvCjo+ITexCSkEXPIxnhL

Les pirates utilisent leur stratégie préférée en utilisant le navigateur Tor. Cela permet aux pirates d'éviter en suivant la loi, car grâce à ce navigateur, ils ne laissent pas de traces. Il est nécessaire de payer la rançon, dont la taille nous l'avons indiqué ci-dessus. Bien sûr, nous ne vous recommandons pas de payer, car il n'y a aucune garantie que les intrus chiffrent réellement vos fichiers transformés en leur aspect d'origine. il n'y a aucune possibilité d'auto-décryptage des fichiers.

mettre à jour: Utilisez service suivant pour identifier version et type de ransomware qui vous a attaqué: ID Ransomware. Si vous voulez décrypter vos fichiers, s'il vous plaît suivez nos instructions ci-dessous ou, si vous avez des difficultés, contactez nous s'il vous plait: submit@securitystronghold.com. Nous pouvons vraiment aider à décrypter vos fichiers.

Comment Sodinokibi Ransomware infecté votre PC

Sur la base de nos données, de nombreux virus crypto, en particulier, Sodinokibi, viennent à l'ordinateur via les paramètres réseau des utilisateurs non protégés. Cela se produit parce que les utilisateurs utilisent des versions gratuites de ou anti-virus n'utilisent pas du tout anti-virus. C'est une erreur. Il peut également venir comme une mise à jour faux pour les services publics ou une pièce jointe à une liste de diffusion de spam. Vous devez être extrêmement attentif. Utilisez anti-virus pour empêcher la pénétration de ces virus, car il est beaucoup plus facile que faire face à une cryptovirus qui a déjà pénétré votre ordinateur et crypté vos fichiers. Ci-dessous, nous fournissons des instructions pour enlever Sodinokibi Ransomware et Déchiffrer vos fichiers.

Tout d'abord, ne pas paniquer. Suivez ces étapes simples ci-dessous.

1. Démarrez votre ordinateur en Mode sans échec avec prise en charge réseau. Pour faire ça, redémarrez votre ordinateur avant que votre système commence à frapper F8 à plusieurs reprises. Cela Sodinokibi système Ransomware de chargement et affichera options de démarrage avancées écran. Choisissez Mode sans échec avec prise en charge réseau dans liste des options à l'aide flèches haut et bas sur votre clavier et frappez Entrée.
2. Se connecter au système infecté par le virus Ransomware Sodinokibi. Lancez votre navigateuret téléchargez un programme contre les logiciels malveillants fiable et lancer l'analyse complète du système. Lorsque l'analyse terminée, reconsidérez les résultats d'analyse et supprimez toutes les entrées détectées.

Solution Recommandée:

Wipersoft - supprime complètement toutes les instances de Sodinokibi Ransomware - fichiers, dossiers, clés de registre.

 

Télécharger Norton

Vous trouverez des informations plus détaillées sur les produits antivirus dans notre article - Top 5 Logiciel antivirus pour Windows

Restaurez vos fichiers à l'aide des copies d'ombre


  1. Téléchargez et exécutez Stellar Data Recovery.
  2. Sélectionnez le type de fichiers que vous souhaitez restaurer et cliquez sur Suivant/Next.
  3. Sélectionnez le lecteur et le dossier où vos fichiers sont situés et la date que vous souhaitez les restaurer à partir et appuyez sur Scanner.
  4. Une fois que le processus de numérisation est fait, cliquez Récupérer pour restaurer vos fichiers.
Télécharger Stellar Data Recovery

Étape 2: Retirez suivant les fichiers et dossiers de Sodinokibi Ransomware:

Connexions connexes ou d'autres entrées:

No information

Fichiers connexes:

No information

Comment décrypter les fichiers infectés par Sodinokibi Ransomware?

Vous pouvez essayer d'utiliser des méthodes manuelles pour restaurer et décrypter vos fichiers.

Décrypter les fichiers manuellement

Restaurer le système en utilisant Restauration du système


Bien que les dernières versions de Sodinokibi Ransomware supprimer les fichiers de restauration du système, cette méthode peut vous aider à restaurer partiellement vos fichiers. Essayez et utilisez le système de restauration standard pour relancer vos données.

  1. Lancez la recherche ‘restauration du système
  2. Cliquez sur le résultat
  3. Choisissez date avant l'apparition d'infection
  4. Suivez instructions à l'écran

Rouler les fichiers à la version précédente

Versions précédentes peuvent être des copies de fichiers et dossiers créés par Restauration de Windows (s'il est actif) ou copies de fichiers et dossiers créés par Restauration du système. Vous pouvez utiliser cette fonction pour restaurer les fichiers et dossiers que vous avez accidentellement modifiés ou supprimés, ou qui ont été endommagés. Cette fonctionnalité est disponible dans Windows 7 et dans versions ultérieures.


  1. Cliquez droit sur le fichier et choisissez Propriétés
  2. Ouvrez La version précédente languette
  3. Sélectionnez dernière version et cliquez sur Copier
  4. Cliquez Restaurer

Écrit par Rami Duafi

 

REF.:

dimanche 15 septembre 2019

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)

La fin du ransomware n’a pas sonné (et 4 conseils pour les éviter)


Sauvegarder toutes les données critiques, ne jamais arrêter les correctifs, se méfier du phishing, supprimer les privilèges ; Ketty Cassamajor explique dans cette tribune comment se méfier de ces attaques devenues incessantes.


Le 16 août dernier, une vaste attaque de ransomwares a visé une vingtaine d’administrations texanes. Une menace qui ne faiblit pas puisque ces derniers mois, plus de 40 villes des Etats-Unis ont été victimes de cyberattaques. Parmi elles, la ville de Baltimore a été paralysée par une attaque massive de ransomware en mai dernier.
Au cours de cette attaque, de nombreux systèmes IT de la ville ont été pris en otage, bloquant des milliers d’ordinateurs des administrations publiques, provoquant des retards dans les ventes immobilières et des perturbations dans le paiement des factures d’eau, et coûtant in fine à la ville plus de 18 millions de dollars.
Le dernier rapport de Verizon indique que les ransomwares représentent près de 24 % de toutes les attaques liées aux logiciels malveillants, tous secteurs confondus. Un autre rapport de 2019, du groupe Beazley, sur les brèches de sécurité, fait état d’une hausse vertigineuse de 105 % des signalements de ransomwares entre le premier trimestre de 2018 et la même période cette année. Les demandes de paiement augmentent également de manière significative. Beazley indique que le paiement moyen au premier trimestre de 2019 – 224 871 dollars – a déjà largement dépassé le total pour l’année 2018, à savoir 116 324 dollars.

Ransomware : + 39 % en 2018

Comme en témoigne l’attaque de Baltimore, les administrations et les municipalités semblent particulièrement vulnérables aux ransomwares. La société de recherche en cybersécurité Recorded Future a récemment publié une étude sur la recrudescence des attaques par ransomware contre les administrations centrales et locales ciblant les opérateurs et organisations d’importance vitale (OIV) : elle révèle que les attaques signalées contre les administrations et les municipalités ont grimpé en flèche de 39 % en 2018. Il en ressort également qu’au moins 169 systèmes des administrations et des municipalités ont fait l’objet d’attaques depuis 2013, dont au moins 45 commissariats de police et bureaux de shérifs dans 48 des 50 États.
A la lumière des dernières attaques qui ont visé le Texas en août 2019, force est de constater que ces menaces ne disparaitront pas de sitôt. Bien qu’il n’existe pas de solution miracle pour les prévenir, les organismes gouvernementaux et les entreprises peuvent prendre un certain nombre de mesures pour réduire considérablement le risque que les malware se propagent et causent d’importants dégâts :

1. Sauvegarder toutes les données critiques

Aussi basique que cela paraisse, il reste étonnant de voir le nombre d’organisations qui ne le font pas régulièrement. Il est important de classer les données essentielles pour son entreprise par ordre de priorité et de les sauvegarder de façon cohérente afin que, si les fichiers sont verrouillés et retenus en otage contre rançon, il soit possible de continuer à gérer l’organisation, même partiellement.

2. Ne jamais arrêter les correctifs

L’application régulière de correctifs aux applications, points d’accès et serveurs réduira considérablement la surface d’attaque, ce qui permettra de limiter sensiblement les failles de sécurité. Cette action est indispensable à la prévention des attaques par ransomware, de même que les mises à jour régulières des antivirus, pare-feu et autres outils de protection des périphériques.

3. Se méfier du phishing

Selon Verizon, le phishing représente 32 % des violations actuelles et 78 % des incidents de cyber-espionnage. Les pirates informatiques commencent souvent leurs attaques par des campagnes de phishing ciblées. C’est pourquoi si un employé – quel que soit son niveau hiérarchique – reçoit un appel, un email, un SMS ou un message instantané non sollicité, il est important qu’il ne réponde, ni ne clique sur le moindre lien – même si la personne prétend provenir d’un service légitime – avant de confirmer sa légitimité. Pour cela, les entreprises doivent relancer régulièrement des campagnes de sensibilisation et de rappel des bonnes pratiques de sécurité.

4. Supprimer les privilèges de l’administrateur local pour contenir et bloquer les attaques

Bien que la sensibilisation des employés au phishing soit importante, elle ne saurait suffire. La suppression des droits d’administrateur local est le fondement d’une sécurité efficace des terminaux. En implémentant une combinaison de politiques de contrôle des privilèges et des applications sur les terminaux et les serveurs dans le cadre d’une approche Zero Trust plus large, les organisations peuvent réduire le risque de propagation de malwares depuis le point d’infection initial. La suppression des droits d’administrateur local, combinée au contrôle des applications et au greylisting, se révèle alors efficace à 100 % pour empêcher les ransomwares de chiffrer les fichiers.
Par ailleurs, les antivirus traditionnels, ceux de nouvelle génération ou les solutions de détection et de réponse aux points d’accès ne peuvent pas bloquer à eux seuls les ransomwares. Ils doivent en effet être combinés à une couche critique de protection pour renforcer l’ensemble des outils de sécurité des terminaux de l’entreprise, permettant aux équipes IT et de sécurité de maîtriser les attaques, comme les malwares et les ransomwares, au niveau des points d’accès. Ainsi, une stratégie prête à l’emploi de protection contre les ransomwares – y compris les contrôles complets des privilèges les plus faibles testés sur des centaines de milliers d’échantillons de malware – permet de bloquer efficacement leur propagation sur le réseau, réduisant ainsi considérablement le temps et les efforts de restauration.
Les attaques, quelle que soit leur nature, sont imminentes et inévitables, c’est pourquoi les entreprises ne peuvent plus se permettre d’être surprises. En prenant des mesures proactives pour protéger les privilèges sur les terminaux et circonscrire les attaques au début de leur cycle de vie, elles seront en mesure de se prémunir contre des mois de récupération de leur image, de leurs finances et de leur stabilité après une cyberattaque.

REF.:

Ransomware : les criminels voulaient 5,3 millions, la ville n’avait que 400 000 dollars à offrir



Ransomware : les criminels voulaient 5,3 millions, la ville n’avait que 400 000 dollars à offrir


ransomwares, virus, hackers
 
 
 
Sécurité : Les fonctionnaires de la ville américaine de New Bedford ont finalement décidé de restaurer à partir de sauvegardes après l'échec des négociations.


Un gang de cybercriminels a tenté d’obtenir le paiement d’une rançon de 5,3 millions de dollars auprès de la ville de New Bedford, dans le Massachusetts aux États unis. La ville a finalement choisi de restaurer à partir de sauvegardes après que les pirates aient rejeté une contre-offre plus modeste de seulement 400 000 dollars.
L'incident s'est produit début juillet, mais les détails ont été gardés secrets jusqu'à aujourd'hui. Le maire de New Bedford, Jon Mitchell, a tenu une conférence de presse détaillant les efforts déployés par la ville pour gérer les retombées de l'infection par le ransomware.

Seulement 4% du réseau informatique de la ville touché

Selon le maire Mitchell, le ransomware a touché le réseau informatique de la ville dans la nuit du 4 au 5 juillet.
Selon un rapport publié la semaine dernière par Fidelis Security, un groupe de pirates informatiques s’ets infiltré sur le réseau informatique de la ville et a installé Ryuk, un type de ransomware utilisé lors d'attaques ciblées, qui constitue la souche la plus répandue dans le monde des ransomwares.
Le maire Mitchell a déclaré que les ransomwares s’étaient répandus sur le réseau de la ville et avaient procédé au chiffrement des fichiers sur 158 postes de travail, ce qui représentait 4% du parc informatique total de la ville.
Les choses auraient pu être bien pires, a déclaré le responsable, mais des assaillants ont frappé la nuit lorsque la plupart des systèmes de la ville étaient éteints, ce qui a limité la propagation du malware.

Une rançon absurde

Le personnel informatique de la ville a découvert le logiciel ransomware le lendemain en arrivant au travail. Les employés ont rapidement déconnecté les ordinateurs infectés du réseau de la ville et de contenir l'infection avant qu'elle ne cause encore plus de dégâts.
"Alors que l'attaque était toujours en cours, la ville, par l'intermédiaire de ses consultants, a contacté les attaquants, qui avaient laissé une adresse électronique", a déclaré le maire Mitchell lors d'une conférence de presse.
"L'attaquant a répondu par une demande de rançon, précisant qu'il fournirait une clé de déchiffrement pour déverrouiller les fichiers en échange d'un paiement en Bitcoins de 5,3 millions de dollars", a-t-il ajouté.
La ville n'a pas payé, principalement parce qu'elle n'avait pas les fonds nécessaires. Si c’était le cas, cela aurait constitué le plus important paiement de rançon de ransomware jamais effectué, dépassant ainsi le record précédent de 1 million de dollars, détenu par une société d’hébergement Web sud-coréenne.
Même s’ils savaient qu’ils ne pourraient pas payer, le maire Mitchell a déclaré que la ville avait décidé d’engager une conversation avec les pirates informatiques afin que le personnel informatique dispose de plus de temps pour renforcer les défenses de la ville et protéger son réseau au cas où les attaquants prendraient d’autres mesures, en plus de l'exécution de ransomware.
"Compte tenu de ces considérations, j'ai décidé de faire une contre-offre en utilisant notre assurance d'un montant de 400 000 dollars, montant que je jugeais conforme aux rançons récemment versées par d'autres municipalités", a déclaré le maire Mitchell. "L'attaquant a refusé de faire une contre-offre, rejetant complètement la proposition de la ville."
À ce moment-là, réalisant que les pirates informatiques ne négocieraient pas, le maire de New Bedford a déclaré avoir décidé de restaurer à partir de sauvegardes.
La décision de la ville de restaurer à partir de sauvegardes a été facile, en raison du faible nombre de systèmes infectés et du fait qu'aucun système critique n'avait été affecté par le malware. La situation de la ville n’était pas aussi délicate que dans d’autres municipalités, ou plusieurs services critiques avaient été rendus inutilisables par des attaques informatiques.
La conférence de presse complète du maire Mitchell est disponible ci-dessous, avec l'aimable autorisation de The Standard-Times, dont les journalistes ont également publié l'histoire plus tôt aujourd'hui.
Au cours des derniers mois, les villes américaines ont été une cible privilégiée pour les gangs de ransomwares. Vous trouverez ci-dessous quelques-unes des affaires les plus médiatisées qui ont touché les municipalités américaines:    
Une récente enquête de ProPublica a révélé que les sociétés d'assurance alimentaient l'économie du ransomware en conseillant aux villes de payer des demandes de rançons plutôt que de reconstruire des réseaux informatiques, car les rançons se révèlent moins coûteuses pour les sociétés d'assurance.
Cette augmentation du nombre de paiements a redonné une nouvelle jeunesse au secteur des ransomware, attirant de nouveaux acteurs vers cette activité lucrative, et ce bien que celui-ci ait connu l’année dernière un creux en termes d’activité.
Source.: Ransomware gang wanted $5.3 million from US city, but they only offered $400,000

jeudi 8 février 2018

Cyberattaques : les jeunes ultra-connectés sont les plus touchés




Née avec l'informatique, ayant grandi avec internet, on croyait la génération Y la plus à même d'éviter tous les pièges numériques. Selon le rapport annuel du spécialiste de la cybersécurité Norton by Symantec auquel LCI a pu avoir accès, 2017 a une fois de plus montré que les cyberattaques touchaient plus facilement les ultra-connectés en trop grande confiance.
Depuis plusieurs années, Norton by Symantec livre son rapport annuel sur les cyber-risques. Et 2017 montre une fois de plus que ce sont les générations qui se pensent les plus à l'abri des cyberattaques qui en pâtissent le plus par excès de confiance, en France comme ailleurs.

"On a besoin d'une prise de conscience des cyber-dangers qui arrivent." Laurent Heslault, directeur des stratégies de sécurité chez Symantec, sait combien il est difficile de faire entendre raison aux internautes et autres utilisateurs de produits informatiques. "C'est toujours stupéfiant de voir des comportements en ligne étranges que personne n'aurait dans la réalité", nous explique-t-il au moment de prendre connaissance du nouveau rapport Norton by Symantec sur les cyber-risques. 2017 n'échappe pas à la règle.

Une fois encore, comme les années précédentes, les cyberattaques ont été de plus en plus nombreuses. On estime à 978 millions le nombre de personnes qui en ont été victimes pour un préjudice estimé à 146,3 milliards d'euros, selon une enquête menée dans 20 pays dont la France où plus de 19 millions de personnes (6,1 milliards d'euros de pertes financières) auraient été la cible d'acte de cybercriminalité l'an dernier. C'est tout simplement près de 42% de la population adulte française sur internet qui a été touchée. Et l'on compte en moyenne 16 heures passées par chacun pour tenter de réparer les dommages causés par des ransomwares, des vols d'identités, des délits bancaires, des arnaques en ligne… autant d'actes considérés comme de la cybercriminalité.



Les victimes : les jeunes ultra-connectés en confiance
On croit toujours à tort que les populations les plus exposées et à même de se faire avoir sont les personnes âgées ou celles peu à l'aise avec les technologies. La dernière étude Norton by Symantec révèle qu'il s'agit en fait des ultra-connectés, possédant de multiples appareils chez eux ou en déplacement. Ces personnes sont connectées en permanence et ont donc perdu toute notion de méfiance vis-à-vis des produits qu'elles utilisent à outrance. On estime ainsi à 25% le nombre de victimes françaises de cybercriminalité qui possèdent un appareil intelligent capable de traiter, diffuser ou recevoir du contenu. Alors que, parmi les non-victimes, seulement 13% possèdent ce type d'appareil connecté. De même, trop en confiance, les victimes ultra-connectées ont tendance à multiplier les achats sur mobile.

"On pense toujours que les générations ultra-connectées sont plus matures face à la cybercriminalité alors qu'elles sont en fait les plus vulnérables en matière de sécurité informatique la plus basique", fait remarquer Laurent Heslault. La génération Y qu'on considère comme la plus nombreuse ou la plus connectée "n'a pas de méfiance dans la vie réelle ni en ligne. C'est celle du 'naturisme numérique' et de l'ultra-présence sur les réseaux sociaux. La jeune génération actuelle est mieux préparée car elle a été préservée et préparée par les grands frères et sœurs. Elle fait jouer la discrétion sur les réseaux, prend des pseudos et partage moins."

C'est finalement une question de surconfiance envers ses capacités face à la technologie qui piège les utilisateurs. Ainsi, en France, les victimes ont tendance à utiliser le même mot de passe en ligne sur tous les comptes (23% contre 12% des non-victimes) ou à confier le mot de passe d'au moins un compte à un tiers (41% contre 21%). Même celles qui utilisent différents mots de passe ont tendance à les stocker dans un fichier sur l'appareil.

Plus inquiétant, les victimes de cyberattaques se pensent à même de protéger leurs données contre une attaque (43%) ou pensent leurs risques faibles (25%). "On a l'impression que ça n'arrive qu'aux autres", ajoute-t-il, reprochant que, malgré la multiplication des affaires de piratage, trop nombreux sont les internautes qui se croient à l'abri et négligent toute protection la plus élémentaire. "Cette déconnexion souligne la nécessité de revenir à des fondamentaux pour assurer pleinement son rôle dans la prévention de la cybercriminalité et rééduquer", déclare-t-il. Il faut dire que, pour 45% des Français, installer un logiciel espion sur l'appareil d'un tiers, lui dérober des informations personnelles ou accéder à son compte bancaire sans son autorisation peuvent parfois être des comportements acceptables. "Pour certains, ce n'est pas aussi grave que de voler dans la vie réelle. Ca en dit long sur le décalage existant encore entre ce qu'on tolère en ligne et dans la vraie vie. Quand les internautes auront fait le parallèle, ils auront grandement progressé dans leur rapport à la cybersécurité", conclut-il.

Le ransomware, la nouvelle plaie informatique

En 2017, les fichiers numériques de près d'un Français sur 10 ont été pris en otage contre une rançon. Plus d'un piraté sur cinq (22%) a accepté de payer pour récupérer ses fichiers (contre 64% aux Etats-Unis). Et ce chiffre pourrait encore croître d'après l'étude. Selon Norton by Symantec, 50% des Français reconnaissent ne jamais faire de sauvegarde de leurs appareils ou bien installer les mises à jour. Une façon de s'exposer dangereusement aux risques d'attaque et de perdre potentiellement toutes ses données en un clic. Pourtant, selon Laurent Heslault, il ne sert à rien de payer. "Un tiers des ransomwares ne se déchiffrent pas et donc payer ne sert à rien", prévient-il. "Ne pas accepter de payer casse le business model de ces hackers. D'où l'importance d'avoir toujours une sauvegarde de secours pour ne pas s'exposer au piratage."

Parmi les faits étonnants pour lesquels les Français ne semblent pas s'inquiéter, il y a la protection des appareils mobiles. Quelque 15% des sondés ne mesurent pas les risques encourus à ne pas avoir de protection. Ils sont aussi près de 89% à ne pas envisager de risque en utilisant un wifi public. "Il ne faut surtout pas profiter d'une connexion wifi pour aller sur le site de votre banque ou tout autre site sensible. Ce serait comme laisser quelqu'un regarder par votre épaule", avance Laurent Heslault. Mais il sait aussi rassurer et rappeler qu'en France, "nous ne sommes pas si mauvais face à la cyber criminalité. Nous faisons partie du Top 10 des pays visés car nous avons une grosse infrastructure internet et beaucoup d'utilisateurs. Donc ça tente les pirates."
En vidéo

Cybercriminalité : la demande de rançon numérique fait des dégâts

Les conseils de Norton by Symantec pour se préserver au maximum
1. Toujours être à jour de son logiciel : vérifier les mises à jour de sécurité et les installer sur votre PC comme vos appareils mobiles. Ne pas opter pour un simple antivirus qui ne sert plus aujourd'hui qu'à protéger moins d'un pourcent des cas. Il faut choisir une suite de cyber sécurité capable de prévoir de multiples types d'attaque.

2. Faire des copies de sauvegarde de vos données à l'aide de disques durs externes ou d'un service cloud : les disques durs présentent l'avantage d'être généralement déconnectés de l'ordinateur et d'éviter ainsi qu'un ransomware s'attaque à toutes vos données. Si vous choisissez l'option cloud, vérifiez les conditions générales de vente et assurez-vous que vous serez bien protégés, ce qui n'est pas souvent le cas avec des formats gratuits.

3. Apprendre les pièges des réseaux wifi publics : sachez que tout ce que vous consultez, votre navigation sur le web ou votre usage d'application lorsque vous êtes connectés à un wifi gratuit peuvent être consultés et divulgués. Evitez au maximum la navigation sur des sites utilisant vos données personnels (mails, banque, services divers, etc.). Si vous ne pouvez vous en empêcher, installer un réseau privé virtuel (VPN) sur votre appareil pour sécuriser la connexion et garantir votre confidentialité.

4. Faire attention à ses objets connectés : la nouvelle faiblesse des utilisateurs est désormais dans ces millions d'appareils connectés qui ont envahi les intérieurs des logements et qui sont connectés au wifi ou en 4G. Rare sont les acheteurs qui pensent à changer le mot de passe par défaut. Si vous n'entendez pas le connecter à internet, désactiver l'accès à distance ou protégez-le au maximum.

5. Multiplier les mots de passe : n'utilisez jamais le même mot de passe pour tous vos services. Oubliez d'y mettre votre prénom, nom, date de naissance, ville, nom de votre chien ou de votre enfant. Laissez tomber les AZERTY et autres 123456 tellement faciles à deviner pour les pirates que ça en devient lassant. Plus le mot de passe est long, parsemé de majuscules et de symboles, mieux c'est ! Et n'hésitez pas à le changer régulièrement, notamment si vous avez consulté des sites qui ont été piratés (LinkedIn, Yahoo, Facebook, Orange, etc.).

REF.:

dimanche 22 octobre 2017

Comment activer la protection Anti-Ransomware de Windows 10



Depuis la mise à jour Fall Creators Update, Windows 10 offre une protection Anti-Ransomware.
Ce nouveau module protège vos données contre la modification non voulues de vos documents et ainsi contre les logiciels malveillants de type ransomware.
Voici comment activer la protection Anti-ransomware de Windows 10.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Activer la protection Anti-Ransomware de Windows 10

Avant de commencer, sachez que cette protection est dépendant de Windows Defender.
Si Windows Defender est désactivé, car vous avez installé un antivirus tiers, vous ne pourrez pas bénéficier de cette protection.
Cette protection Anti-Ransomware de Windows 10 ne remplace pas la sauvegarde de documents.
Pour sauvegarder vos documents, rendez-vous sur la page : Windows 10 : sauvegarder ses données personnelles
Ouvrez l’icône Windows Defender qui se trouve en bas à droite dans la zone de notification de Windows.
Comment activer la protection Anti-Ransomware de Windows 10
Vous arrivez alors sur le centre de sécurité de Windows Defender.
Cliquez sur le bouton Protection contre les menaces.
Comment activer la protection Anti-Ransomware de Windows 10
Dans la partie Dispositif d’accès contrôle aux dossiers, positionnez sur Activer.
Deux options sont alors disponibles :
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
  • Dossiers protégés : vous réglez les dossiers protégés par ce module anti-ransomware
  • Autoriser une application via un dispositif d’accès contrôlé aux dossiers : vous autorisez une application à modifier les documents protégés par ce module.
Comment activer la protection Anti-Ransomware de Windows 10

Gérer les dossiers protégés

En cliquant sur le bouton Dossiers protégés, vous pouvez gérer les dossiers qui sont protégés par l’anti-ransomware de Windows 10.
Par défaut, ce dernier active tous les dossiers Documents, Images et Vidéos.
Si vous avez des dossiers sur d’autres disques dur, cliquez sur le bouton + pour en ajouter d’autres.
Comment activer la protection Anti-Ransomware de Windows 10

Autoriser une application

Enfin depuis le bouton Autoriser une application via un dispositif d’accès contrôlé aux dossiers, vous pouvez autoriser une application à modifier ou contrôlé des documents dans les dossiers protégés.
Cela est très utile, si une application se bloque sur l’enregistrement depuis un dossier protégé.
Cliquez sur Ajouter une application sécurisée puis naviguez dans les dossiers pour sélectionner l’exécutable.
Comment activer la protection Anti-Ransomware de Windows 10

Autres liens autour des Anti-Ransomware

Pour toute information sur le menaces de rançongiciel, vous pouvez lire notre dossier qui donne aussi les protections à utiliser : Les ransomwares ou rançongiciels.
Enfin il existe d’autres solutions Anti-Ransomware, plus d’informations sur la page : Les Anti-Ransomwares
Enfin, toutes les améliorations de Windows 10 contre les logiciels malveillants sont sur la page : Windows 10 et la protection contre les virus et attaques informatiques



Mon avis sur les anti-ransomwares

Quelques commentaires sur ces anti-ransomwares.
La plupart font le boulot et permettent effectivement de protéger l’ordinateur contre les crypto-ransomwares et ainsi protéger vos documents.
Maintenant, il faut aussi comprendre que ces programmes peuvent être complètement inutiles…. pour être protégé, il suffit de ne pas être infecté par un ransomware.
Contrairement à ce que vous pensez, ce n’est pas si difficile que cela. En protégeant l’ordinateur en amont, vous pouvez être immunisé de manière efficace contre la diffusion de ces programmes malveillants.
Ce qu’il faut aussi comprendre, du moins pour les programmes payants, c’est un commerce.


REF.:

samedi 20 mai 2017

WannaCry Ransomware Decryption Tool publié; Débloquez les fichiers sans payer Ransom:




Jeudi 18 mai 2017 Swati Khandelwal


La video !Si votre PC a été infecté par WannaCry - le système de ransomware qui a causé des ravages dans le monde vendredi dernier - vous pourriez avoir de la chance de récupérer vos fichiers verrouillés sans payer la rançon de 300 $ aux cybercriminels.
Adrien Guinet, chercheur français en sécurité de Quarkslab, a découvert un moyen de récupérer gratuitement les clés de cryptage secrètes utilisées par WannaCry ransomware, qui fonctionnent sur les systèmes d'exploitation Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008.WannaCry Ransomware Clés de décryptage(télécharger le )
Le système de cryptage de WannaCry fonctionne en générant une paire de clés sur l'ordinateur de la victime qui s'appuient sur des nombres premiers, une clé «publique» et une clé «privée» pour chiffrer et déchiffrer les fichiers du système respectivement.
Pour empêcher la victime d'accéder à la clé privée et de décrypter les fichiers verrouillés lui-même, WannaCry efface la clé du système, ne laissant aucun choix aux victimes pour récupérer la clé de décryptage, sauf en payant la rançon à l'attaquant.
Mais voici le kicker: WannaCry "n'efface pas les nombres premiers de la mémoire avant de libérer la mémoire associée", explique Guinet.
Sur la base de cette découverte, Guinet a publié un outil de décryptage WannaCry ransomware, appelé WannaKey, qui essaie essentiellement de récupérer les deux nombres premiers, utilisés dans la formule pour générer des clés de cryptage à partir de la mémoire, et fonctionne uniquement sur Windows XP.
Remarque: ci-dessous j'ai également mentionné un autre outil, baptisé WanaKiwi, qui fonctionne pour Windows XP vers Windows 7.
"Il le fait en les recherchant dans le processus wcry.exe. C'est le processus qui génère la clé privée RSA. Le problème principal est que CryptDestroyKey et CryptReleaseContext n'effacent pas les nombres premiers de la mémoire avant de libérer la mémoire associée". Dit Guinet
Donc, cela signifie que cette méthode ne fonctionnera que si:

    
L'ordinateur affecté n'a pas été redémarré après avoir été infecté.
    
La mémoire associée n'a pas été attribuée et effacée par un autre processus.
"Pour fonctionner, votre ordinateur ne doit pas être redémarré après avoir été infecté. Notez également que vous avez besoin d'un peu de chance pour ce travail (voir ci-dessous), et cela pourrait ne pas fonctionner dans tous les cas!", Déclare Guinet.
"Ce n'est pas vraiment une erreur des auteurs de ransomware, car ils utilisent correctement l'API Windows Crypto."
Alors que WannaKey ne tire que les nombres premiers de la mémoire de l'ordinateur concerné, l'outil ne peut être utilisé que par ceux qui peuvent utiliser ces nombres premiers pour générer la clé de décryptage manuellement pour décrypter les fichiers de leur PC infectés par WannaCry.
WanaKiwi: WannaCry Ransomware outil de décryptage
Les bonnes nouvelles sont qu'un autre chercheur en sécurité, Benjamin Delpy, a développé un outil facile à utiliser appelé "WanaKiwi", basé sur la découverte de Guinet, qui simplifie tout le processus de décryptage de fichiers infectés par WannaCry.
Toutes les victimes doivent le faire pour télécharger l'outil WanaKiwi de Github et l'exécuter sur leur ordinateur Windows affecté à l'aide de la ligne de commande (cmd).
WanaKiwi travaille sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et 2008, a confirmé Matt Suiche de la société de sécurité Comae Technologies, qui a également fourni des démonstrations montrant comment utiliser WanaKiwi pour décrypter vos fichiers.
Bien que l'outil ne fonctionnera pas pour chaque utilisateur en raison de ses dépendances, il est toujours un bon espoir pour les victimes de WannaCry de récupérer leurs fichiers verrouillés gratuitement, même de Windows XP, la version vieillissante, largement non prise en charge du système d'exploitation de Microsoft.



REF.: