Qu'est-ce qu'un ransomware (rançongiciel)?

Un rançongiciel (de l’anglais ransomware), logiciel rançonneur, logiciel de rançon ou logiciel d’extorsion, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.

Un rançongiciel se propage typiquement de la même manière qu’un cheval de Troie (Trojan Horse en anglais): il pénètre le système par exemple via des Web Exploit ou à travers des campagnes d’emails-malicieux. Il exécute ensuite une charge active (payload), par exemple un executable qui va chiffrer the files de l’utilisateur sur son disque dur. Despre rançongiciels plus sophistiqués utilisent des algorithmes de cryptographie hybride sur les data de la victime, avec une clef symétrique aléatoire și une clef public fixée. Ainsi, l’auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permet de déchiffrer les documents.

Certains rançongiciels n’utilisent pas de chiffrement. În acest caz, încărcarea utilă este o aplicație simplă care va restrânge orice interacțiune cu sistemul, curând în schimbarea shell-ului prin defect (explorer.exe) în baza de registru Windows, sau același schimbător al Master Boot Record (MBR), pentru utilizarea sistemului de exploatare de demarare atât de mult cât și de n’a pas été réparé.

Dans tous les cas, un rançongiciel va tenter d’extorquer de l’argent à l’utilisateur, en lui faisant acheter soit un program pour déchiffrer ses files, fie un cod simplu care vă retrage toate aplicațiile verrous în documentele sale blocés. Les paiements sont le plus souvent effectués sous la forme de virement bancaire, de SMS surtaxés19, d’achats de monnaie virtuelle comme le bitcoin12 ou encore l’acquittement préalable d’une somme donnée effectuée par le biais de sites de paiement en ligne tels que Paysafecard ou Paypal

Les crypto-ransomwares les plus actifs în Franța:

Cryptowall: difuzat prin campanii de e-mail (troian. Downloader: Upatre) și des campagnes de Web Exploit.
TeslaCrypt: diffusé par des campagnes de courriels malicieux ainsi que l’utilisation de Web Exploit notamment par le piratage massif de sites, comme WordPress et Joomla, ainsi que des malvertising.
Locky Ransomware: utilizați metodele de difuzare a meselor pe care Trojan Banker Cridex le cunoaște în campaniile curioase.
Ransomware RSA-4096 (CryptXXX): Apparu en avril 2016 și assez actif en France, le nom provient des premières mentions du fichier d’instructions qui est une copie de celui de TeslaCrypt.
Cerber Ransomware: Apparu aussi debut 2016, ultimul este distribuit prin campanii Web Exploit și e-mailuri malicie.
CTB-Locker: actif en 2014 avec des campagnes de courriels malicieux, în februarie 2016, o nouă versiune este vizitată de serviciile web sous GNU / Linux. Distribuția este relativ mică în Franța.
Petya: actif en mars 2016 și chiffre the table de files principale de NTFS.
WannaCry: actif en mai 2017 qui utilize la faille de Windows EternalBlue (Microsoft a avut publicat corectul două luni înainte, în mars).
NotPetya: actif en juin 2017 și chiffre files, dont il écrase la clef de chiffrement, și indexul.
Bad Rabbit: apparu le 24 octobre 2017, este similar la WannaCry et Petya.