Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vol de code : quand la rivalité entre pirates profite aux victimes de ransomwares

juin 2017 par ESET

ESET® fournit un outil de déchiffrement pour des variantes du ransomware AES-NI grâce aux pirates eux-mêmes. Ils l’ont rendu public suite à la propagation d’un autre ransomware utilisant le même code.

Les clés de la variante A (Win32 / Filecoder.AESNI.A.) avaient déjà été publiées sur un forum d’aide aux victimes de ransomware, les auteurs ayant revendiqué être les développeurs du malware. Pour la variante B (Win32 / Filecoder.AESNI.B), les pirates l’ont diffusé sur Twitter. Quant à la variante C (Win32 / Filecoder.AESNI.C) connue sous le nom d’XData, un invité anonyme a posté la clé sur un forum quelques jours plus tard.

Comme le souligne BleepingComputer, le groupe de cybercriminels responsable de la propagation du ransomware AES-NI affirme que son code source a été volé et utilisé par le ransomware XData (détecté par ESET le 8 décembre 2016 sous Win32 / Filecoder.AESNI.C).

À l’origine, le ransomware possède des restrictions empêchant les infections en Russie et dans la Communauté des États Indépendants (CEI). Cette technique est souvent utilisée par les cybercriminels russes qui évitent ainsi les poursuites intentées par leur gouvernement.

Après avoir volé le code source plus tôt cette année, les restrictions semblent avoir été levées pour cibler l’Ukraine et ses pays voisins : entre le 17 et le 22 mai 2017, ce ransomware a été détecté à 96% en Ukraine.

Les victimes ayant des fichiers chiffrés peuvent télécharger l’outil de déchiffrement ESET en cliquant ici. Pour plus d’informations sur l’utilisation de cet outil et sur les cas spécifiques où l’outil ne pourrait aider l’utilisateur, cliquez ici.

Comment se protéger

Pour ce cas précis, la séparation des comptes d’administration et d’utilisateur évite en grande partie les préjudices, car le ransomware XData se sert des mots de passe d’administration pour se propager. Sans les privilèges administrateurs, XData ne peut infecter qu’un seul ordinateur au lieu du réseau.

De manière générale, voici ce que vous pouvez faire pour vous protéger contre la plupart des ransomwares :
• utilisez une solution de sécurité fiable et multicouche
• mettez régulièrement à jour vos logiciels et patchez votre système d’exploitation
• sauvegardez vos fichiers sur un disque dur ou un emplacement distant non connecté au réseau
• ne cliquez jamais sur les pièces jointes et les liens des emails suspects ou dont vous ignorez la source




Voir les articles précédents

    

Voir les articles suivants