Le groupe de sécurité de Cisco a récemment mis en évidence un malware se faisant passer pour un ransomware. Mais une fois le paiement effectué, la victime se rend compte que ses fichiers ne seront jamais récupérés. Et pour cause : ils ont été effacés.
Un ransomware, ou « rançongiciel », fonctionne toujours de la même manière. Il se déguise souvent sous forme de logiciel sans danger ou dont l’objectif est d’aider les utilisateurs, quitte à lui promettre monts et merveilles. Il peut également être présent comme parasite dans un installeur à la base authentique. Une fois lancé, il chiffre les fichiers personnels de l’utilisateur puis lui réclame une rançon, la plupart du temps en bitcoins via une adresse située dans le réseau Tor.
Un déguisement de ransomware
On a pu voir récemment que certains concepteurs pouvaient s’amuser à rendre un ransomware inoffensif en fournissant la précieuse clé de déchiffrement à des fins « éducatives ». Mais Talos, le groupe de sécurité de Cisco, avertit d’un nouveau genre : le ransomscam. Comprendre un malware qui prétend être un ransomware, mais qui n’en est pas un.
Le premier, récemment découvert, a été nommé Ranscam. Comme l’explique Talos, son exécution ne chiffre pas les fichiers : il les supprime directement. Il affiche ensuite un panneau d’information pour expliquer à la victime que ses données ont été chiffrées. Seule solution pour les récupérer, payer la rançon de 0,2 bitcoin, soit au cours actuel environ 116 euros. Tout est fait pour que l’utilisateur ait peur et paye la somme demandée, d’autant qu’elle est assez peu élevée.
L'utilisateur paye et... rien
Malheureusement, et comme on s’en doute, l’utilisateur ne reverra jamais ses données, qu’il ait payé ou non. Talos recommande évidemment de ne pas verser le moindre centime, et indique qu’il y a pour l’instant deux éléments positifs. D’une part, l’attaque semble pour le moment très limitée et ne touchant donc que très peu de personnes. D’autre part, les auteurs de Ranscam n’auraient pas perçu la moindre somme pour l’instant.
Il est difficile de savoir quel est réellement l’objectif réel de ce malware. Les ransomwares se sont multipliés ces dernières années car l’activité est globalement rentable : beaucoup de victimes payent. Elle fonctionne d’autant mieux que dans la plupart des cas, la clé est envoyée et les données sont bien récupérées. C’est d’ailleurs en se basent sur ce constat que le FBI avait recommandé très officiellement de payer la rançon, à l’inverse de la gendarmerie française.
Une remise de la fragile confiance autour des ransomwares
Le fait est que Ranscam est un type de malware qui peut causer du tort… à d’autres malwares. Si les victimes ne récupèrent par leurs données et constatent au contraire qu’elles ont tout bonnement disparu, elles ne s’aventureront pas à payer la fois suivante, si elle se présente, sans parler de passer le mot et de raconter leur mésaventure. C’est bien la notion de « confiance » toute relative autour des ransomwares qui pourrait en être brisée. Certains diront même peut-être merci aux auteurs de Ranscam pour avoir jeté un tel pavé dans la marre.
Commentaires (87)
#1
Un seul mot pour ne pas se faire avoir : sauvegardez !!!
#2
Supprimons l’informatique !
#3
Il en faudrait plus souvent des ransomscams, comme ca plus personne ne paierait du tout et l’intérêt de créer un ransomware disparaitrait.
#4
Question de béotien : n’est-il pas possible que les OS concernés aient un moyen de vérification en cas de cryptage “à la volée” des données ? Que seuls des moyens de cryptage autorisés par l’utilisateur soient possible sur la machine ? Ou bien…
#5
Si ton HDD de 4To a plateau se met a gratter comme un fou, tu peux te douter qu’un truc louche se passe… .
Pour le SSD c’est mort, je concède… .
Si les victimes ne récupèrent par leurs données et constatent au contraire qu’elles ont tout bonnement disparu, elles ne s’aventureront pas à payer la fois suivante
Si elles ne s’aventuraient pas a telecharger de la merde, ce serait pas mal non plus. Et un bon anti malware, spa mal non plus… .
#6
Ça me semblerait logique aussi…
#7
Restauration d’une sauvegarde et hop tout rentre dans l’ordre. Celui qui n’en a pas ca lui servira de leçon.
#8
#9
#10
de mon avis c’est surtout un petit developpeur qui n’a pas assez de competences pour en creer un vrai et a fait ça a la va vite pour pomper du pognon :)
#11
#12
A voir comment les fichiers sont supprimés, ça reste peut-être récupérable.
#13
#14
Est-ce vraiment plus compliqué de chiffrer plutôt que d’effacer efficacement ?
#15
Par curiosité, quelle solution technique préconises-tu stp ?
#16
Même question que ci-dessus :
Par curiosité, quelle solution technique préconises-tu stp ?
#17
#18
#19
#20
Merci de la réponse, mais je pensais plutôt à de la sauvegarde automatique.
" />
Et il faut que cette sauvegarde ne soit pas accessible au malware sinon ça ne sert à rien
#21
#22
…ou que sort une nouvelle version de synolocker.
" />
#23
#24
#25
#26
#27
#28
#29
C’est une impression ou depuis le BitCoin on a vue les ransomware exploser ?
#30
Notre prestataire informatique depuis 6 mois nous alerte que les cryptovirus sont un réel danger et plusieurs de ses clients ont tout perdu. Il nous dit que la seule solution est le système de la société Panda, qui envoie en temps réel à Panda l’État de tous les PC, pour prévenir l’attaque d’un cryptovirus.
Évidemment cela nous coûterait 3000 Euros.
Vous en pensez quoi ? D’après lui aucun antivirus ne protège contre ces cryptovirus, et Panda est la seule société à avoir un système proactif.
#31
#32
#33
#34
Il est temps de changer de presta
" />
" /> grilled
oooppsss
#35
et aussi: ne cliquez pas n’importe où.
#36
Moins cher, il y a l’éducation: apprendre aux gens qu’on ne clique pas n’importe où, qu’on n’ouvre pas les pièces jointes des mails douteux et qu’on n’utilise pas les postes de l’entreprise pour télécharger des trucs.
Ou un bon firewall…
#37
#38
#39
#40
“Malheureusement, et comme on s’en doute, l’utilisateur ne reverra jamais
ses données, qu’il ait payé ou non.
… D’autre part, les
auteurs de Ranscam n’auraient pas perçu la moindre somme pour
l’instant.”
comment sait-on qu’il ne reverra jamais ses données ? puisque les auteurs n’ont pas reçu la moindre somme, c’est donc qu’ils n’ont donc jamais donné la clé. Donc personne ne sait si l’algo de chiffrage n’est pas super puissant avec un fonctionnement que Talos n’a jamais pu comprendre.
Si ça se trouve c’est un ransomware parfaitement honnête que Talos veut faire passer pour une crapule.
#41
#42
#43
#44
#45
#46
Je tiens a corriger quelque chose :
Ce n’est pas des sauvegardes qui sont le besoin, mais un plan de sauvegarde.
Parce que sauver des fichiers cryptés, “yanakisoncapable”.
Le plan de sauvegarde se doit pour l’utilisateur dont l’informatique n’est pas le métier d’être transparent, pragmatique et réaliste.
Le PRA est également important (dans certaines activités les assurances exigent maintenant un PRA après sinistre.)
N’oubliez pas que les cryptolockers sont capable de crawler une infra pour aller crypter les NAS et lecteurs réseaux vue que c’est principalement là que se trouvent les données les plus sensibles. Donc ce n’est pas au client d’avoir accès au système de sauvegarde, mais le système de sauvegarde qui doit avoir accès aux clients (infrastructure “idéale”) :
L’assertion qu’un système de sauvegarde n’ai pas accès au net est donc valable et les dif/rsync/whatever synchro doivent être lancés sur le système de sauvegarde et pas l’inverse (on ne peut pas compter sur l’ICC pour le faire, c’est un mal nécessaire).
Le client, ne doit pas avoir le droit d’effectuer des tâches administratives, en principe le réseau doit être scindé et sa granularité suffisante : la section “métier” ne devrait pas avoir a gérer l’administration du système ou y avoir accès, tout comme l’administration système ne devrait pas pouvoir toucher aux données “métier” de manière directe. Les outils existent et sont de plus en plus simple a mettre en oeuvre.
Ceci dit, allez faire comprendre a l’ICC d’un poste informatique lambda qu’il n’a pas a avoir l’accès en écriture a un système de stockage quelconque autre que local est une gageure.
#47
Règle des 3-2-1
J’ai plusieurs sauvegardes en local, sur plusieurs appareils, et plusieurs distantes (une en FTP, une en cloud chiffré). Mon problème c’est que c’est manuel (je remets toujours à plus tars l’automatisation), donc risque de perdre les données les plus récentes. Mais je prend soin des données les plus importantes (sauvegardes plusieurs fois par semaine).
#48
C’est théoriquement possible,mais il faut faire gaffe à ses sauvbegardes comme à ses données. Si elles sont déconnectées, tu prends déjà moins de risque.
#49
L’avantage de la sauvegarde, c’est que si tu cliques n’importe où, tu as quand même une solution de sortie si on te “rançonne” tes fichiers. Pas la peine de payer si tu les as conservé ailleurs.
#50
#51
#52
#53
#54
#55
Qu’est ce que t’en sais puisqu’elles sont censées être chiffrées ?
#56
#57
Il parait que l’université de Floride a une solution.
http://phys.org/news/2016-07-extortion-extinction-ransomware.html
Bon ça n’empêche pas de perdre quelques fichiers mais au moins tu ne perds pas tout.
Sinon le faux ransomware qui efface les fichiers pourrait être une solution. Si les gens n’ont pas l’assurance de récupérer leurs fichiers et cessent de payer alors il n’y aura plus de ransomware.
#58
Excellent
" />
#59
rien ne t’empêche de le faire pour toi, salut
" />
#60
et balcon, la niche du chien, soit la touature, la cheminé, dans le réservoir des chiottes, sous le paillasson et bien d’autres encore…
" /> 
" />
#61
#62
mouai 3 000€ ; combien de postes à protéger ?
Sinon oui un antivirus/antimalware proactif est nécessaire , mais vu que le vecteur de propagation est principalement le mail , il faut surtout un bon serveur de messagerie bloquant déjà les fichiers douteux qui sont principalement des .js incorporé dans des .zip .
Sans oublier également un filtrage web / Antiphishing actif , qui est le 2eme moyen de propagation de ce genre de merde .
Panda security j’ai du mal : y a 8 ans , on m’a dit de désinstaller cet AV sur les postes clients tellement c’était douteux comme logiciel .. à la limite du speedoptimizerboostpc ; d’ailleurs il laissé pas mal de virus passé à l’époque . je sais pas si ça c’est amélioré depuis .
#63
#64
bref..sortez couvert –>http://www.01net.com/telecharger/windows/Securite/anti-spam/fiches/120837.html
#65
#66
#67
Jamais réussi à le faire fonctionner sur FTP, partage Samba, ou cloud.
#68
Pour les ransomwares c’est souvent des failles pdf que j’ai rencontré.
Mais le zip à la con est toujours bien présent aussi effectivement.
#69
tu peux reacceder a des donnees si tu les ecrases, c’est juste beaucoup plus complique mais fesable. (sur un disque meca)
#70
Je me suis fait la même réflexion… Un mec qui ne savait juste pas faire techniquement et qui est donc allé au plus simple… :)
#71
À moins que je n’aie manqué quelque chose, il me semble qu’il manque une information critique dans l’article : quelles sont les plates-formes concernées par ce ransomscam ?
#72
si personne n’a payé (puisqu’ils n’auraient rien “recu”) alors qui permet de dire que après paiement, les données restent perdues ????
Faut arrêter avec les articles pas cohérents là.. c’est quoi ? un coup de pub a la Cisco comme en avait a la McAffee il y a 20 ans ?
c’est criminel de colporter ce genre de chose, a moins d’avoir creuser fouiller et d’informer réellement ! journalistiquement !
#73
Peut être peux tu lire les pointers de l’article
" />
par exemple :http://blog.talosintel.com/2016/07/ranscam.html
#74
Nxi ne serait alors qu’une plateforme de favoris ?
#75
C’est dans le lien vers le blog :
“This ransomware is packaged as a .NET executable that is signed using a digital certificate issued by reca[.]net.”
#76
Je laisserai à NXI le soin de répondre à ta question
Mais à mon avis NXI préfère pointer honnètement vers leurs sources plutot que de faire du copié/collé bête et illégal comme le font la plupart des sites(les mêmes qui ne comprennent pas qu’on utilise des bloqueurs de pub puisqu’on peut trouver les mêmes articles entièrement dupliqués sur des dizaines de sites différents)
Et surtout je crois qu’ils destinent leur articles à des gens qui sont curieux et savent lire.
Bon weekend
#77
je lis très bien je te remercie d’ou mon 1er com….
Certains articles de Nxi sont très bien, c’est pour cela que j’y viens, d’autres pas vraiment et c’est même parfois assez affreux comme ça manque de professionnalisme, surtout si c’est signé “journaliste”…
Et donc moi j’attends mieux que cela et je le dis. Cela s’appelle dis-cuter et commenter
 http://www.cnrtl.fr/lexicographie/discuter
 http://www.cnrtl.fr/definition/commenter
bonne fin de semaine.
#78
Parce que le malware et son comportement ont été étudié par Talos et il ne contient rien pour restorer les données perdues. Certes c’est pas dit clairement dans l’article mais ça paraissait plutôt évident.
#79
Ahhh Panda … L’“antivirus” partenaire de la scientologie (je refuse la majuscule sur ce nom). Et outre ce fait la, envoyer tes données à l’extérieur sans la moindre garantie de sécurité … Quelque chose ne colle pas trop la.
#80
#81
oui ca ça montre ce qu’il fait mais ça ne dit pas que la clef de décryptage reste lettre morte après paiement..
#82
Bah si tu sais ce qu’il fait, tu sais aussi ce qu’il ne fait pas. En l’occurrence, il ne permet pas de récupérer les données, clef de déchiffrage ou pas, vu que celles-ci ont été effacées…
#83
donc c’est pas un ransomware, si y a plus de fichiers cryptés parce qu’ils ont été deleter.
Comme quoi cet article est bien trop succinct pour etre sérieux.
#84
#85
#86
Tout dépend aussi de quelle version de l’article on lit.
Les mots que je citais ont semble t il été “remaniés”. (mais je vois pas d’indication de mise à jour, procédé honnête s’il en est)
#87
Ça a toujours été clair pourtant (rien que le titre).