Les suspects habituels de la scène des rançons modernes – Petya et son ami Mischa, et leur lointain parent Locky – sont actuellement à la recherche d’utilisateurs dans plus de 100 pays. Récemment, cependant, les pirates informatiques se sont tournés vers les entreprises et les organisations qui détiennent des données précieuses : récemment, un certain nombre d’hôpitaux américains ont été victimes d’attaques par rançon. L’essor des cryptoworms a amené les cybercriminels à tenter de mettre la main sur de plus en plus d’argent le plus rapidement possible, de sorte qu’ils cherchent des moyens d’étendre leurs attaques et de propager davantage de virus de cryptage. Les campagnes de spam malveillantes fonctionnent toujours, mais elles ne sont plus aussi efficaces qu’auparavant : les médias signalent toutes sortes de cybermenaces et de nombreux utilisateurs connaissent les astuces les plus courantes.

Une autre évolution importante est que les navigateurs web et les logiciels antivirus ont appris à bloquer les URL malveillantes ou les logiciels malveillants diffusés par le spam. La réaction des pirates informatiques a été d’abandonner progressivement leur pratique habituelle de « bombardement général » pour diffuser des logiciels malveillants. Les chercheurs prédisent que la prochaine étape du développement des logiciels de rançon produira ce qu’on appelle des cryptoworms, un croisement très agressif entre les logiciels malveillants qui se propagent et les logiciels de rançon. Ce nouveau type de logiciel malveillant combine les caractéristiques spécifiques des deux, et devient ainsi un nouveau type de logiciel de rançon qui peut se copier et se propager via des ordinateurs infectés, en cryptant efficacement les données et en exigeant une rançon.

Le premier logiciel malveillant de ce type à apparaître sur la scène est SamSam. Il s’est infiltré dans plusieurs réseaux d’entreprise et a infecté à la fois les ordinateurs du réseau et le stockage dans le nuage avec les sauvegardes.

ZCryptor : Qu’est ce que c’est ?

Cette semaine, Microsoft a découvert une nouvelle version d’un cryptoworm appelé ZCryptor. Sa caractéristique unique est qu’il crypte les données et se répand sur les ordinateurs et les périphériques réseau sans utiliser de spam nuisible ou de kit d’exploitation. Le malware se copie sur les ordinateurs et les appareils portables en réseau. Pour infecter la première victime, ZCryptor utilise des techniques courantes, par exemple le malware prétend être un programme d’installation d’un programme connu (par exemple Adobe Flash), ou il entre dans le système via des macros malveillantes d’un fichier Microsoft Office.

Une fois que le Cryptoworm entre dans le système, il infecte les disques durs externes et les lecteurs flash et peut se propager à d’autres ordinateurs ; il commence alors à crypter les données. ZCryptor est capable de crypter plus de 80 formats de données (certaines sources parlent de plus de 120 formats) en ajoutant l’extension .zcrypt au nom du fichier .

. Ensuite, les utilisateurs sont confrontés à un scénario familier : ils voient une page HTML les informant que leurs fichiers ont été cryptés et seront libérés contre une rançon de 1,2 bitcoins (environ 600 euros). Si les criminels ne reçoivent pas la rançon dans les quatre jours, la somme passe à 5 Bitcoins (plus de 2 300 euros).

Les personnes n’ont pas pu trouver un moyen de décrypter les données, de sorte que les utilisateurs concernés ont pu contourner l’option de paiement de la rançon. Cela signifie que pour l’instant, une extrême prudence est de rigueur.

Si vous voulez être épargné des attaques de ZCryptor, suivez ces conseils :

  • Mettez régulièrement à jour votre système d’exploitation et vos logiciels, éliminez les vulnérabilités pour empêcher le cryptoworm d’infiltrer votre réseau.
  • Soyez vigilant comme d’habitude et évitez les sites web suspects. N’ouvrez pas les pièces jointes d’origine douteuse. En général, respectez les règles de base de l’hygiène numérique.
  • Désactivez les macros dans Microsoft Word – elles redeviennent populaires auprès des cybercriminels comme méthode de diffusion des logiciels malveillants.
  • Faites des sauvegardes régulières de vos fichiers et conservez l’un d’entre eux sur un disque dur externe, qui doit être déconnecté de votre ordinateur après le processus de sauvegarde. Bien entendu, une copie de sauvegarde ne protège pas vos fichiers contre l’infection par un logiciel de rançon. Mais c’est une protection efficace : si vos précieuses données sont conservées en toute sécurité dans un tiroir, personne ne peut vous faire chanter pour que vous payiez une rançon.
  • Bien sûr, vous devez utiliser un logiciel de sécurité fiable. Kaspersky Internet Security détecte ZCryptor comme Trojan-Ransom.MSIL.Geograph. et protège les utilisateurs contre cette menace.