Les analystes et les chercheurs s’accordent à dire que 2016 est l’année où le ransomware a frappé fort. Les cybercriminels ont eu assez de temps pour déceler la valeur potentielle des cryptolockers et pour les introduire volontiers à leur arsenal. Pour vous donner une idée, les chercheurs de Cisco indiquent qu’un seul kit d’exploit Anger rapporte aux cybercriminels 60 millions de dollars à l’année, soit une moyenne de 5 millions de dollars par mois !
Les suspects habituels sur le marché du ransomware moderne, Petya et son ami Mischa, tout comme leur cousin éloigné Locky, s’en prennent aux utilisateurs dans plus de 100 pays. Les hackers ont récemment jeté leur dévolu sur les entreprises et les organisations en possession de précieuses données. Dernièrement, un certain nombre d’hôpitaux ont été victimes d’attaques de ransomwares.
La montée des cryptovers
Dans leur tentative de se faire de l’argent le plus vite possible, les cybercriminels cherchent des moyens d’étendre leurs attaques en propageant toujours plus de lockers. Les campagnes de spams malveillants sont encore en marche, mais ne sont pas aussi efficaces qu’auparavant. Etant donné que les cybermenaces ont fait la une des journaux, les utilisateurs sont désormais au courant de la plupart des stratagèmes utilisés.
Par ailleurs, les navigateurs web et les antivirus ont appris à détecter et à bloquer les URL ou les spams malveillants. Pour réagir face à ce développement, les hackers suppriment peu à peu leur » bombe à retardement » concernant la distribution du malware. A la place, ils se tournent vers des méthodes utilisées depuis longtemps par des campagnes plus répandues et plus efficaces, celles du bon vieux ver.
Meet the #cryptoworm… the future of #ransomware via @zpring @threatpost https://t.co/zndtXFulGB pic.twitter.com/BYRjQG8X7j
— Kaspersky (@kaspersky) April 12, 2016
Les chercheurs prévoient que la prochaine étape de développement du ransomware se caractérisera par les cryptovers, un hybride nocif d’auto-propagation de malwares et ransomwares. Ce nouveau type de malware s’empare du meilleur des deux : de nouvelles espèces de ransomwares peuvent se copier et se distribuer via des ordinateurs infectés en chiffrant efficacement les fichiers et en demandant la rançon.
Le premier à avoir fait son apparition est le ver SamSam, qui se faufilait dans un certain nombre de réseaux d’entreprises et infectait à la fois les ordinateurs du réseau et le cloud storage contenant les copies de sauvegarde.
ZCryptor
Cette semaine, Microsoft a détecté un nouvel échantillon d’un cryptover baptisé ZCryptor. Il est unique dans sa manière de procéder dans la mesure où il chiffre à la fois des fichiers et s’auto-propage vers d’autres ordinateurs et des équipements en réseau sans utiliser de spam malveillant ni de kit d’exploit.
Pour infecter ses victimes, ZCryptor utilise des techniques communes : il se fait passer pour un programme d’installation de programmes connus (comme Adobe Flash) ou infiltre le système via des macros malveillants dans un fichier MS Office.
https://twitter.com/campuscodi/status/736148705120751616
Une fois dans le système, le crytpover infecte les disques durs externes et les clés USB afin de pouvoir se répandre sur d’autres ordinateurs, et ainsi chiffrer leurs fichiers. ZCryptor est capable de chiffrer plus de 80 formats de fichiers (certaines sources parlent même de 120 formats) en y ajoutant l’extension. zcrypt.
Après ça, l’histoire évolue vers un scénario bien connu : un utilisateur voit une page HTML l’informant que ses fichiers ont été chiffrés et dont la rançon pour les récupérer s’élève à 1.2 bitcoins (environ 650$). Si les hackers n’ont pas la rançon d’ici quatre jours, la somme s’élève à 5 bitcoins (plus de 2500$).
Malheureusement, les experts n’ont pas été en mesure de trouver la méthode pour déchiffrer les fichiers, laissant le choix aux utilisateurs affectés d’éviter ou non l’option de la rançon. En résumé, la seule option restante est celle d’être extrêmement vigilant afin d’éviter une infection.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
Précautions à prendre
Si vous souhaitez vous épargner des attaques de ZCryptor, suivez ces conseils simples :
– Mettez à jour votre système d’exploitation et votre logiciel régulièrement, en évitant ainsi des vulnérabilités exploitables et en prévenant la diffusion du cryptover dans votre réseau.
– Comme toujours, soyez prudent face aux sites web douteux, n’ouvrez pas de pièces jointes provenant d’une source peu fiable. En règle générale, vous devez respecter les précautions de base.
– Désactivez les macros sur Microsoft Word – ils sont devenus une méthode répandue de propagation du malware chez les cybercriminels.
– N’oubliez pas de faire des sauvegardes régulières de vos fichiers et de conserver une copie sur le disque dur externe qui est déconnecté de votre ordinateur. Si vos précieuses données sont sous contrôle, rien ne sert de payer la rançon.
Utilisez également une protection de logiciel efficace. Kaspersky Internet Security détecte ZCryptor comme étant le virus Trojan-Ransom.MSIL.Geograph et protège les utilisateurs de la menace.