Un rançongiciel (de l'anglais ransomware), logiciel rançonneur, logiciel de rançon ou logiciel d'extorsion, est un logiciel malveillant qui prend en otage des données personalles. Pour ce faire, un rançongiciel chiffre des données personalles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
Un rançongiciel se propage typiquement de la même manière qu'un cheval de Troie (Cavallo di Troia en anglais): il pénètre le système par exemple via des Web Exploit ou à travers des campagnes d'email-malicieux. Il exécute ensuite une charge active (payload), per esempio un exécutable qui va chiffrer les fichiers de l'utilisateur sur son disque dur. Des rançongiciels plus sophistiqués utilisent des algoritmi de cryptographie hybride sur les données de la victime, avec una chiave symétrique aléatoire et una chiave pubblica fissata. Ainsi, l'auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de déchiffrer les documents.
Alcuni rançongiciels n'utilisent pas de chiffrement. Dans ce cas, la payload est une simple application qui va restreindre toute interaction avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows, ou même changer le Master Boot Record (MBR), pour empêcher le système d'exploitation de démarrer tant qu'il n'a pas été réparé.
Dans tous les cas, un rançongiciel va tenter d'extorquer de l'argent à l'utilisateur, en lui faisant acheter soit un program pour déchiffrer ses fichiers, soit un simple code qui ritirate tous les verrous appliqués à ses documenti blocchi. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés19, d'achats de monnaie virtù comme le bitcoin12 ou encore l'acquittement préalable d'une somme donnée effectuée par le biais de sites de paiement en ligne tels que Paysafecard ou Paypal
Les crypto-ransomwares les plus actifs in Francia:
Cryptowall: diffuso per le campagne di posta elettronica (Trojan. Downloader: Upatre) e le campagne di Web Exploit.
TeslaCrypt: diffuso per le campagne di courriels malicieux ainsi que l'utilisation de Web Exploit notamment per il piratage massif de sites, come WordPress et Joomla, anche per il malvertising.
Locky Ransomware: utilizza i metodi di diffusione di Trojan Banker Cridex, savoir des campagnes de courriels malicieux.
Ransomware RSA-4096 (CryptXXX): Apparu en avril 2016 et assez actif en France, le nom provient des premières cita du fichier d'instructions qui est une copy de celui de TeslaCrypt.
Cerber Ransomware: Apparu aussi début 2016, ce dernier è distribuito da campagne Web Exploit ed e-mail dannose.
CTB-Locker: attivo nel 2014 con le campagne di errore, nel febbraio 2016 una nuova versione è apparsa di fronte ai server web sotto GNU/Linux. Sa Distribution est relativement faible in Francia.
Petya: attiva in marzo 2016 e chiffre la tabella delle schede principali di NTFS.
WannaCry: actif en mai 2017 qui use la faille de Windows EternalBlue (Microsoft avait publié le Correctif deux mois avant, en mars) .
NotPetya: actif en juin 2017 et chiffre fichiers, dont il écrase la clef de chiffrement, et les index.
Bad Rabbit: apparu il 24 ottobre 2017, il più simile a WannaCry et Petya.
© Copyright Rapporto Windows 2021. Non associato a Microsoft
![I 7 migliori antivirus per Windows Server [2012-2016]](/f/0b84db138cd9e14fa23a936d036fd1cd.jpg?width=300&height=460)
