Un rançongiciel (de l’anglais Ransomware), Logiciel rançonneur, Logiciel de rançon ou Logiciel d’extorsion, est un Logiciel Malveillant qui prend en otage des données personalles. Pour ce faire, un rançongiciel chiffre des données personalles puis demande à leur proprietaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
Un rançongiciel se propage typiquement de la même manière qu’un cheval de Troie (Trojanisches Pferd en Englisch): il pénètre le système par example via des Web Exploit oder à travers des campagnes d’emails-malicieux. Il exécute ensuite une charge active (Payload), par example un executable qui va chiffrer les fichiers de l’utilisateur sur son disque dur. Des rançongiciels plus raffinierte utilisent der algorithmen der hybriden kryptographie sur les données de la victime, avec une clef symétrique aléatoire and une clef publique fixée. Ainsi, l’auteur du logiciel malveillant est le seul qui connaisse la privée clef qui permette de déchiffrer les Documents.
Bestimmte rançongiciels n’utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registere Windows, ou même changer le Master Boot Record (MBR), für empêcher le system d’exploitation de démarrer tant qu’il n’a pas été réparé.
Dans tous les cas, un rançongiciel va tenter d’extorquer de l’argent à l’utilisateur, en lui faisant acheter soit un program pour déchiffrer ses fichiers, soit un simple code qui pension tous les verrous appliqués à ses document Bloques. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés19, d’achats de monnaie virtuelle comme le bitcoin12 ou encore l’acquittement préalable d’une somme donnée effectuée par le biais de site de paiement en ligne tels que Paysafecard ou Paypal
Les Krypto-Ransomwares les plus actifs in Frankreich:
Cryptowall: diffusé par des campagnes d’e-mails (Trojan. Downloader: Upatre) und Kampagnen für Web Exploit.
TeslaCrypt: diffusé par des campagnes de courriels malicieux ainsi que l’utilisation de Web Exploit notamment par le piratage massif de Sites, comme WordPress und Joomla, ainsi que des Malvertising.
Locky Ransomware: Verwenden Sie die Methoden der Verbreitung des Trojaners Banker Cridex, die auf bösartige Kampagnen basieren.
Ransomware RSA-4096 (CryptXXX): Apparu en avril 2016 and assez actif in France, le nom provient of the premières erwähnt du fichier d’instructions qui est une copie de celui de TeslaCrypt.
Cerber Ransomware: Apparu aussi debut 2016, ce dernier est distribué par the campagnes Web Exploit and emails Malicieux.
CTB-Locker: aktiv im Jahr 2014 mit den Malicie-Kampagnen, im Februar 2016 in einer neuen Version, die auf den Servern von GNU/Linux angezeigt wird. Die Verteilung ist faible in Frankreich.
Petya: Actif en Mars 2016 und Chiffre la Table de Fichiers Principale de NTFS.
WannaCry: actif en mai 2017 qui use la faille de Windows EternalBlue (Microsoft avait publié le correctif deux mois avant, en mars) .
NotPetya: actif en juin 2017 und chiffre fichiers, dont il écrase la clef de chiffrement, und les index.
Bad Rabbit: am 24. Oktober 2017, ähnlich wie bei WannaCry und Petya.
© Copyright Windows-Bericht 2021. Nicht mit Microsoft verbunden
