Un rançongiciel (de l'anglais ransomware), logiciel rançonneur, logiciel de rançon ou logiciel d'extorsion, est un logiciel malveillant qui prend en charge des données personnelles. Pour ce faire, un chiffrement rançongiciel des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
Un rançongiciel se propage typiquement de la même manière qu'un cheval de Troie (Trojan Horse en français): il pénètre le système par exemple via des Web Exploit ou à travers des campagnes d'emails malveillants. Il exécute ensuite une charge active (payload), par exemple un exécutable qui va chiffrer les fichiers de l'utilisateur sur son disque dur. Des rançongiciels plus spécialement utilisent des algorithmes de cryptographie hybride sur les données de la victime, avec une clé symétrique aléatoire et une clé publique définie. Ainsi, l'auteur du logiciel malveillant est le seul qui connaît la clé privée qui permet de déchiffrer les documents.
Certains rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va traiter toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows, ou même changer le Master Boot Record (MBR), pour empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé.
Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un program pour déchiffrer ses fichiers, soit un simple code qui retire tous les verrous appliqués à ses documents bloqués. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés19, d'achats de monnaie virtuelle comme le bitcoin12 ou encore l'acquittement préalable d'une somme effectuée par le biais de sites de paiement en ligne tels que Paysafecard ou Pay Pal
Les crypto-ransomwares les plus actifs en France :
Cryptowall: diffusé par des campagnes d'e-mails (Trojan. Downloader: Upatre) et des campagnes de Web Exploit.
TeslaCrypt: diffusé par des campagnes de courriels malveillants ainsi que l'utilisation de Web Exploit notamment par le piratage massif de sites, comme WordPress et Joomla, ainsi que des malvertising.
Locky Ransomware: utiliser les mêmes méthodes de diffusion que le Trojan Banker Cridex, à savoir des campagnes de courriels malveillants.
Ransomware RSA-4096 (CryptXXX): Apparu en avril 2016 et assez actif en France, le nom provient des premières mentions du fichier d'instructions qui est une copie de celui de TeslaCrypt.
Cerber Ransomware: Apparu aussi début 2016, ce dernier est distribué par des campagnes Web Exploit et emails malveillants.
CTB-Locker: actif en 2014 avec des campagnes de courriels malveillants, en février 2016 une nouvelle version est apparue destinée aux serveurs web sous GNU/Linux. Sa distribution est relativement faible en France.
Petya: actif en mars 2016 et chiffre la table de fichiers principaux de NTFS.
WannaCry: actif en mai 2017 qui utilise la faille de Windows EternalBlue (Microsoft avait publié le correctif deux mois avant, en mars) .
NotPetya: actif en juin 2017 et chiffrement fichiers, dont il écrase la clé de chiffrement, et les index.
Bad Rabbit: apparu le 24 octobre 2017, il est similaire à WannaCry et Petya.
© Copyright Rapport Windows 2021. Non associé à Microsoft
![Cel mai bun antivirus pour Windows XP [Top 6]](/f/52d962a26283b80d5a1022f9b06148db.jpg?width=300&height=460)