Cependant, leur point commun est que le ransomware est devenu une activité très profitable pour les cybercriminels.

Par exemple, on signale que Locky (celui qui chiffre les données sur les disques locaux et les partages réseau non mappés) infiltre actuellement 90 000 systèmes par jour et demande environ 400 $ US par rançon. Si 25 % des victimes paient, les auteurs de Locky gagneraient en théorie presque 10 millions de dollars par jour ! Un vrai jackpot !

De plus, le chercheur en sécurité Jerome Segura a vu des attaquants ransomware effectuer une reconnaissance plus approfondie des victimes (telle que l’identification de l’utilisateur) pour déterminer s’ils peuvent exiger une rançon plus élevée[1]. Leçon : les études de marché s’avèrent également utiles dans le secteur d’activité des malware.

Il y a plusieurs choses à faire si la prévention vous intéresse. D’abord, disposer de sauvegardes récentes de vos données. Avec des sauvegardes, ce qui a été chiffré n’a aucune valeur.

Vous pouvez aussi en savoir plus sur la manière dont l’analyse du comportement des utilisateurs peut arrêter des attaques ransomware zero-day. Lawrence Abrams, expert en sécurité et fondateur de Bleeping Computer, a écrit dans un récent article que « la détection comportementale devient la meilleure solution pour détecter et arrêter les ransomware étant donné que la détection de signatures est devenue facile à contourner ».

Entre-temps, voici les plus récentes variantes de ransomware que vous devez avoir sur votre radar aux fins de prévention et d’atténuation :
· Samas : chiffre le réseau d’une entreprise dans son intégralité
· Cerber : un ransomware en mode SaaS qui chiffre un nombre énorme de types de fichiers
· Surprise : infecte les utilisateurs de TeamViewer v10.0.47484

Samas
· Montant de la rançon : testant actuellement le marché, les pirates demandent une rançon d’un à 1,7 bitcoin. Ou pour une véritable « affaire », les entreprises victimes peuvent acheter en gros et déchiffrer tous leurs systèmes infectés simultanément pour 22 bitcoins (environ 9 160 $)[2].
· Algorithme de chiffrement : chiffrement RSA 2048 bits[3]
· Mode d’infection : commence par un test de pénétration sur votre serveur et cherche les réseaux potentiellement vulnérables à exploiter[4]
· Types de fichiers ciblés : Samas tente de chiffrer le réseau d’une entreprise dans son intégralité
· Cliquez ici pour plus d’informations

Cerber
· Montant de la rançon : 1,24 bitcoin, soit environ 500 $ US[5]
· Algorithme de chiffrement : AES-256[6]
· Mode d’infection : actuellement, les chercheurs ne sont pas sûrs de son mode de distribution, mais il est offert sous forme de ransomware en mode SaaS. Les affiliés distribuent le ransomware, ce qui permet aux auteurs de Cerber de gagner une commission sur chaque paiement de rançon. Cependant, il n’attaque pas votre ordinateur si vous vivez dans un des pays suivants : Arménie, Azerbaïdjan, Biélorussie, Géorgie, Kazakhstan, Kirghizstan, Moldavie, Ouzbékistan, Russie, Tadjikistan, Turkménistan et Ukraine. Coïncidence[7] ? Après chiffrement de vos informations, vous recevez trois fichiers (TXT, HTML et VBS) pour vous informer de l’action menée. Ces fichiers convertissent le texte de la rançon en message audio. Et comme dans un mauvais film, une voix robotique monotone vous dit « Attention. Attention. Attention. Vos documents, photos, bases de données et autres fichiers importants ont été chiffrés ! »

· Types de fichiers ciblés : .contact, .dbx, .doc, .docx, .jnt, .jpg, .mapimail, .msg, .oab, .ods, .pdf, .pps, .ppsm, .ppt, .pptm, .prf, .pst, .rar, .rtf, .txt, .wab, .xls, .xlsx, .xml, .zip, .1cd, .3ds, .3g2, .3gp, .7z, .7zip, .accdb, .aoi, .asf, .asp, .aspx, .asx, .avi, .bak, .cer, .cfg, .class, .config, .css, .csv, .db, .dds, .dwg, .dxf, .flf, .flv, .html, .idx, .js, .key, .kwm, .laccdb, .ldf, .lit, .m3u, .mbx, .md, .mdf, .mid, .mlb, .mov, .mp3, .mp4, .mpg, .obj, .odt, .pages, .php, .psd, .pwm, .rm, .safe, .sav, .save, .sql, .srt, .swf, .thm, .vob, .wav, .wma, .wmv, .xlsb, .3dm, .aac, .ai, .arw, .c, .cdr, .cls, .cpi, .cpp, .cs, .db3, .docm, .dot, .dotm, .dotx, .drw, .dxb, .eps, .fla, .flac, .fxg, .java, .m, .m4v, .max, .mdb, .pcd, .pct, .pl, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .ps, .pspimage, .r3d, .rw2, .sldm, .sldx, .svg, .tga, .wps, .xla, .xlam, .xlm, .xlr, .xlsm, .xlt, .xltm, .xltx, .xlw, .act, .adp, .al, .bkp, .blend, .cdf, .cdx, .cgm, .cr2, .crt, .dac, .dbf, .dcr, .ddd, .design, .dtd, .fdb, .fff, .fpx, .h, .iif, .indd, .jpeg, .mos, .nd, .nsd, .nsf, .nsg, .nsh, .odc, .odp, .oil, .pas, .pat, .pef, .pfx, .ptx, .qbb, .qbm, .sas7bdat, .say, .st4, .st6, .stc, .sxc, .sxw, .tlg, .wad, .xlk, .aiff, .bin, .bmp, .cmt, .dat, .dit, .edb, .flvv, .gif, .groups, .hdd, .hpp, .log, .m2ts, .m4p, .mkv, .mpeg, .ndf, .nvram, .ogg, .ost, .pab, .pdb, .pif, .png, .qed, .qcow, .qcow2, .rvt, .st7, .stm, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .3fr, .3pr, .ab4, .accde, .accdr, .accdt, .ach, .acr, .adb, .ads, .agdl, .ait, .apj, .asm, .awg, .back, .backup, .backupdb, .bank, .bay, .bdb, .bgt, .bik, .bpw, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .ce1, .ce2, .cib, .craw, .crw, .csh, .csl, .db_journal, .dc2, .dcs, .ddoc, .ddrw, .der, .des, .dgc, .djvu, .dng, .drf, .dxg, .eml, .erbsql, .erf, .exf, .ffd, .fh, .fhd, .gray, .grey, .gry, .hbk, .ibank, .ibd, .ibz, .iiq, .incpas, .jpe, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdc, .mef, .mfw, .mmw, .mny, .moneywell, .mrw, .myd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nwb, .nx2, .nxl, .nyf, .odb, .odf, .odg, .odm, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pdd, .pem, .plus_muhd, .plc, .pot, .pptx, .psafe3, .py, .qba, .qbr, .qbw, .qbx, .qby, .raf, .rat, .raw, .rdb, .rwl, .rwz, .s3db, .sd0, .sda, .sdf, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st5, .st8, .std, .sti, .stw, .stx, .sxd, .sxg, .sxi, .sxm, .tex, .wallet, .wb2, .wpd, .x11, .x3f, .xis, .ycbcra, .yuv[8]

Surprise

· Montant de la rançon : de 0,5 BTC à 25 BTC[9]. S’il frappe le réseau d’une entreprise composé de nombreuses machines, la rançon sera beaucoup plus élevée que pour un seul PC.
· Algorithme de chiffrement : un mélange de RSA-2048 et AES-256[10]
· Mode d’infection : pénètre via TeamViewer, une plateforme d’accès distant qui compte plus d’un milliard d’utilisateurs et permet à ses clients de recevoir une assistance technique, d’organiser des réunions et d’interagir avec leurs partenaires[11]. Il a infecté les utilisateurs ayant installé TeamViewer v10.0.47484. Comme dans le cas de ransom32, vous recevez une « preuve de vie » dans laquelle un de vos fichiers est déchiffré gratuitement. L’attaquant prouve à ses victimes que leurs fichiers peuvent être déchiffrés après le paiement de la rançon.

· Types de fichiers ciblés : .asf, .pdf, .xls, .docx, .xlsx, .mp3, .waw, .jpg, .jpeg, .txt, .rtf, .doc, .rar, .zip, .psd, .tif, .wma, .gif, .bmp, .ppt, .pptx, .docm, .xlsm, .pps, .ppsx, .ppd, .eps, .png, .ace, .djvu, .tar, .cdr, .max, .wmv, .avi, .wav, .mp4, .pdd, .php, .aac, .ac3, .amf, .amr, .dwg, .dxf, .accdb, .mod, .tax2013, .tax2014, .oga, .ogg, .pbf, .ra, .raw, .saf, .val, .wave, .wow, .wpk, .3g2, .3gp, .3gp2, .3mm, .amx, .avs, .bik, .dir, .divx, .dvx, .evo, .flv, .qtq, .tch, .rts, .rum, .rv, .scn, .srt, .stx, .svi, .swf, .trp, .vdo, .wm, .wmd, .wmmp, .wmx, .wvx, .xvid, .3d, .3d4, .3df8, .pbs, .adi, .ais, .amu, .arr, .bmc, .bmf, .cag, .cam, .dng, .ink, .jif, .jiff, .jpc, .jpf, .jpw, .mag, .mic, .mip, .msp, .nav, .ncd, .odc, .odi, .opf, .qif, .xwd, .abw, .act, .adt, .aim, .ans, .asc, .ase, .bdp, .bdr, .bib, .boc, .crd, .diz, .dot, .dotm, .dotx, .dvi, .dxe, .mlx, .err, .euc, .faq, .fdr, .fds, .gthr, .idx, .kwd, .lp2, .ltr, .man, .mbox, .msg, .nfo, .now, .odm, .oft, .pwi, .rng, .rtx, .run, .ssa, .text, .unx, .wbk, .wsh, .7z, .arc, .ari, .arj, .car, .cbr, .cbz, .gz, .gzig, .jgz, .pak, .pcv, .puz, .rev, .sdn, .sen, .sfs, .sfx, .sh, .shar, .shr, .sqx, .tbz2, .tg, .tlz, .vsi, .wad, .war, .xpi, .z02, .z04, .zap, .zipx, .zoo, .ipa, .isu, .jar, .js, .udf, .adr, .ap, .aro, .asa, .ascx, .ashx, .asmx, .asp, .indd, .asr, .qbb, .bml, .cer, .cms, .crt, .dap, .htm, .moz, .svr, .url, .wdgt, .abk, .bic, .big, .blp, .bsp, .cgf, .chk, .col, .cty, .dem, .elf, .ff, .gam, .grf, .h3m, .h4r, .iwd, .ldb, .lgp, .lvl, .map, .md3, .mdl, .nds, .pbp, .ppf, .pwf, .pxp, .sad, .sav, .scm, .scx, .sdt, .spr, .sud, .uax, .umx, .unr, .uop, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vmf, .vtf, .w3g, .w3x, .wtd, .wtf, .ccd, .cd, .cso, .disk, .dmg, .dvd, .fcd, .flp, .img, .isz, .mdf, .mds, .nrg, .nri, .vcd, .vhd, .snp, .bkf, .ade, .adpb, .dic, .cch, .ctt, .dal, .ddc, .ddcx, .dex, .dif, .dii, .itdb, .itl, .kmz, .lcd, .lcf, .mbx, .mdn, .odf, .odp, .ods, .pab, .pkb, .pkh, .pot, .potx, .pptm, .psa, .qdf, .qel, .rgn, .rrt, .rsw, .rte, .sdb, .sdc, .sds, .sql, .stt, .tcx, .thmx, .txd, .txf, .upoi, .vmt, .wks, .wmdb, .xl, .xlc, .xlr, .xlsb, .xltx, .ltm, .xlwx, .mcd, .cap, .cc, .cod, .cp, .cpp, .cs, .csi, .dcp, .dcu, .dev, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .eql, .ex, .f90, .fla, .for, .fpp, .jav, .java, .lbi, .owl, .pl, .plc, .pli, .pm, .res, .rsrc, .so, .swd, .tpu, .tpx, .tu, .tur, .vc, .yab, .aip, .amxx, .ape, .api, .mxp, .oxt, .qpx, .qtr, .xla, .xlam, .xll, .xlv, .xpt, .cfg, .cwf, .dbb, .slt, .bp2, .bp3, .bpl, .clr, .dbx, .jc, .potm, .ppsm, .prc, .prt, .shw, .std, .ver, .wpl, .xlm, .yps, .1cd, .bck, .html, .bak, .odt, .pst, .log, .mpg, .mpeg, .odb, .wps, .xlk, .mdb, .dxg, .wpd, .wb2, .dbf, .ai, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .pem, .pfx, .p12, .p7b, .p7c, .jfif, .exif, .rar

Il existe de nombreuses variantes de ransomware qui apparaissent régulièrement mais il y a de fortes probabilités que vous soyez ciblés à court terme par l’un de ceux que nous venons de passer en revue. Soyez vigilants et n’hésitez pas à prendre les mesures nécessaires pour vous prémunir.