Actu
SamSam : Le ransomware qui valait (presque) 6 millions de dollars
juillet 2018 par Sophos
Sophos révèle les résultats de son enquête autour du ransomware SamSam, peu de temps
après l’apparition de ce dernier fin 2015. Ce rapport résume les conclusions sur les
outils, les techniques et les protocoles utilisés par les cybercriminels, dans le
but de comprendre plus globalement la nature de cette menace singulière.
La méthode reste singulière en raison de son approche manuelle, et tient plus du
cambriolage méthodique que du vol à l’arraché improvisé. En effet, le cybercriminel
utilise des techniques alternatives (si nécessaire), et est étonnamment habile dans
le contournement de nombreux outils de sécurité. Si le processus de chiffrement des
données est interrompu, alors le malware supprime complètement et immédiatement
toute trace de son passage, afin d’entraver toute investigation.
SamSam est un outil de chiffrement particulièrement complet, rendant inutilisables
non seulement les fichiers de données professionnelles, mais aussi tout programme
qui n’est pas essentiel au fonctionnement d’un ordinateur Windows, dont la plupart
ne sont pas systématiquement sauvegardés. La récupération peut nécessiter la
reconfiguration et/ou la réinstallation des logiciels ainsi que la restauration des
sauvegardes. Le cybercriminel est très doué pour dissimuler toute trace de son
passage et semble devenir de plus en plus paranoïaque (ou expérimenté) au fil du
temps, en ajoutant progressivement de plus en plus de fonctionnalités de sécurité
dans ses outils et sites web.
