Qu'est-ce qu'un ransomware (rançongiciel) ?

Un rançongiciel (de l’anglais ransomware), logiciel rançonneur, logiciel de rançon ou logiciel d’extorsion, est un logiciel malveillant qui prend en otage des donnéespersonles. Pour ce faire, un rançongiciel chiffre des données personles puis demande à leur propriétaire d’argent de l’argent en échange de la clé qui permettra de les dechiffrer.

Un rançongiciel se propage typiquement de la meme manière qu’un cheval de Troie (koń trojański en angielski): il pénètre le système par exmple via des Web Exploit ou à travers des campagnes d’emails-malicieux. Il exécute ensuite une charge active (payload), par exemple un executable qui va chiffrer les fichiers de l’utilisateur sur son disque dur. Des rançongiciels plus wyrafinowane algorytmy hybrydowe wykorzystujące algorytmy kryptograficzne dla ofiar ofiar, avec une clef symétrique aleatoire et une clef publique fixée. Ainsi, l’auteur du logiciel malveillant est le seul qui connaisse la klucz wiolinowy qui permette de déchiffrer les documents.

Certains rançongiciels n’utilisent pas de chiffrement. Dans ce cas, la payload est une prosta aplikacja qui va restreindre toute interakcji avec le système, couramment en changeant le shell par défaut (explorer.exe) dans la base de registre Windows, ou meme changer le Master Boot Record (MBR), pour empêcher le système d’exploitation de démarrer tant qu’il n’a pas été réparé.

Dans tous les cas, un rançongiciel va tenter d’extorquer de l’argent à l’utilisateur, en lui faisant acheter soit un program pour déchiffrer ses fichiers, soit un simple code qui qui retire tous les verrous aplikacje à ses dokumenty bloki. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés 19, d’achats de monnaie cnotli comme le bitcoin12 ou encore l'acquittement prealable d'une somme donnée effectuée par le biais de sites de płatement en ligne tels que Paysafecard ou Paypal

Les crypto-ransomwares les plus actifs we Francji:

Cryptowall: diffusé par des campagnes d’e-mails (trojan. Downloader: Upatre) et des campagnes de Web Exploit.
TeslaCrypt: rozprzestrzenił się na podstawie kampanii z courriels malicieux związanych z wykorzystaniem Web Exploit notamment par le piratage massif de sites, comme WordPress and Joomla, ainsi que des Malvertising.
Locky Ransomware: wykorzystaj metody rozpowszechniania memów Trojan Banker Cridex, korzystając z kampanii złośliwych programów.
Ransomware RSA-4096 (CryptXXX): Apparu en avril 2016 et assez actif en France, le nom provient des premier wymienia du fichier d’instructions qui est une copie de celui de TeslaCrypt.
Cerber Ransomware: debiutancki debiut 2016, później jest dystrybuowany przez kampanie Web Exploit i e-maile Malicieux.
CTB-Locker: działa w 2014 r. z kampanii courriels malicieux, w lutym 2016 r. Nowa wersja pojawiła się na serwerach internetowych GNU/Linuksa. Sa dystrybucja est relatywna faible en France.
Petya: actif en mars 2016 et chiffre la table de fichiers principale de NTFS.
WannaCry: działa w maju 2017 r., aby wykorzystać awarię systemu Windows EternalBlue (Microsoft może opublikować poprawki, jeśli nie jest dostępny, w mars) .
NotPetya: Actif en juin 2017 et chiffre fichiers, nie wyświetlaj klucza klucza i indeksu.
Bad Rabbit: pojawi się 24 października 2017 roku, jest podobny do WannaCry i Petya.