Vous savez comment ça se passe :vous naviguez sur le Web ou consultez un e-mail, quand tout à coup un message apparaît. Votre ordinateur et les données qu'il contient sont verrouillés --- cryptés par un rançongiciel. L'accès est refusé jusqu'à ce que vous payiez la rançon.
La plupart des gens connaissent la procédure avec les ransomwares, c'est pourquoi les codeurs criminels derrière trouvent de nouvelles façons inventives de vous faire payer. Voici quelques nouveaux types de rançongiciels dont vous devriez être conscient.
Si votre ordinateur est infecté par le ransomware Cerber (généralement via une pièce jointe à un e-mail se faisant passer pour un document Microsoft Office), vos données seront cryptées, chaque fichier recevant une nouvelle extension de fichier :.cerber .
Remarque : Sauf si vous êtes en Russie ou en Ukraine, ou dans d'autres pays de l'ex-URSS, comme l'Arménie, l'Azerbaïdjan, la Biélorussie, la Géorgie, le Kirghizistan, le Kazakhstan, la Moldavie, le Turkménistan, le Tadjikistan ou l'Ouzbékistan. Si vous vous trouvez dans ces endroits, le rançongiciel Cerber se désactivera.
Vous saurez que vous êtes infecté par Cerber car un avis apparaîtra sur votre bureau. De plus, des instructions sur la façon de payer se trouvent dans chaque dossier, au format TXT et HTML. Vous trouverez également un fichier VBS (Visual Basic Script) qui, une fois ouvert, vous dictera des instructions. C'est vrai :ce rançongiciel vous explique comment payer la rançon et décrypter vos données.
En avril 2018, nous avons vu le PUBG Ransomware qui a adopté une approche différente pour retenir votre ordinateur contre une rançon. Plutôt que d'exiger de l'argent pour vos fichiers verrouillés, le codeur derrière cet étrange malware vous donne le choix :
Il s'agit en fait d'un logiciel malveillant. Bien que potentiellement ennuyeux et semblant être un véritable ransomware, le PUBG Ransomware semble n'être rien de plus qu'un outil promotionnel élaboré, sans aucun doute conçu pour gagner quelques pouces de colonne pour les champs de bataille de PlayerUnknown.
Cela ne semble pas si mal, n'est-ce pas ? Eh bien, mis à part le fait qu'il crypte certainement vos fichiers et renomme les extensions de fichiers (en .pubg). En bref, si vous vous trouviez déchiré entre coller du code et acheter un jeu de tir PvP trois étoiles, vous devriez probablement agir. S'il s'agissait d'un véritable rançongiciel, vous paieriez au moins dix fois le montant.
Malheureusement, c'est l'un des seuls types de rançongiciels aussi faciles à vaincre.
Jigsaw supprime vos fichiers, un par un.
Comme si cela ne suffisait pas d'avoir toutes vos données verrouillées dans un état d'existence inconnu, le rançongiciel Jigsaw pousse l'arnaque plus loin. Initialement connu sous le nom de "BitcoinBlackmailer", ce rançongiciel a acquis un nouveau nom grâce à l'apparition de Billy the Puppet, comme on le voit dans la série de films Saw "torture porn".
Repéré pour la première fois en avril 2016, Jigsaw s'est propagé par le biais de spams et de pièces jointes infectées. Lorsqu'il est activé, Jigsaw verrouille les données de l'utilisateur et le Master Boot Record (MBR) du système, puis affiche le message joint.
Il s'agit essentiellement d'une menace :si la rançon n'est pas payée (par Bitcoin) dans l'heure, un fichier sera supprimé de votre ordinateur. Pour chaque heure de retard, le nombre de fichiers supprimés augmente, réduisant considérablement vos chances dans cette loterie de cryptage. Oh, et le redémarrage ou la tentative de terminer le processus (Jigsaw se fait passer pour le navigateur Mozilla Firefox ou Dropbox dans le gestionnaire de tâches Windows) entraîne la suppression de 1 000 fichiers.
Une dernière chose :les versions ultérieures de Jigsaw menacent de doxer la victime si elle ne paie pas. En incitant la victime par des menaces, ce type de ransomware a changé le jeu des logiciels malveillants.
Nous connaissons le fonctionnement des rançongiciels. Vous êtes infecté par un logiciel malveillant qui crypte vos données vitales (ou l'intégralité de votre ordinateur), puis vous oblige à payer une rançon pour le déverrouiller. Vos fichiers sont alors de retour entre vos mains via une clé de déchiffrement. N'est-ce pas ?
Habituellement, mais pas avec Ranscam.
Juste au moment où vous pensiez que tout était simple avec les ransomwares, un exemple qui prend juste l'argent et s'exécute. Oh, et ils ne prennent même pas la peine de crypter vos données dans le cadre du prétexte --- vos données sont supprimées.
Parti pour toujours.
Alors que la plupart des escroqueries de ransomware sont clairement écrites par des experts, des doutes ont été émis sur la compétence de la main derrière Ranscam. Moins sophistiqué que les autres types de ransomwares, Ranscam est néanmoins efficace. La souche de ransomware Petya, plus notoire, était également connue pour effacer les données, plutôt que de rendre l'accès à l'utilisateur.
En juin 2016, il a été découvert que le ransomware FLocker (ANDROIDOS_FLOCKER.A) qui avait déjà frappé les téléphones et tablettes Android, avait évolué. Les téléviseurs intelligents sous Android ont été ajoutés à sa liste de cibles.
Vous avez peut-être déjà entendu parler de FLocker, même si vous ne connaissez pas son nom. C'est l'un des types de rançongiciels qui affiche un avertissement "application de la loi", vous informant que du matériel illégal a été visualisé sur votre système. Il est également destiné aux utilisateurs d'Europe occidentale et d'Amérique du Nord; en fait, toute personne qui n'est pas en Russie, en Ukraine ou dans l'un des autres pays de l'ex-URSS.
Le paiement est demandé via des bons iTunes (souvent la cible d'escrocs), et une fois reçu, le contrôle de votre téléphone ou téléviseur Android vous est rendu.
Étonnamment (ou peut-être pas, quand on y pense), il existe des souches de ransomwares qui ne font rien du tout. Pas de la même manière que PUBG Ransomware; non, ces exemples sont simplement de faux popups, prétendant avoir le contrôle de votre ordinateur.
Ce type de ransomware est facile à gérer, mais la puissance du concept est suffisante pour que ces exemples soient rentables. Les victimes paient, ignorant complètement qu'elles n'avaient pas besoin de le faire. Leurs données n'étaient pas cryptées.
Ces attaques de rançongiciels se présentent généralement sous la forme d'une fenêtre contextuelle du navigateur. Il semble que vous ne puissiez pas fermer la fenêtre, et que tout message à l'effet "vos fichiers sont cryptés; payez 300 $ en Bitcoin" est la seule solution.
Si vous voulez vérifier si le rançongiciel qui vous a touché est authentique et non une arnaque bon marché, essayez de fermer la fenêtre. Sous Windows, utilisez Alt + F4. C'est Cmd + W sur Mac. Si la fenêtre se ferme, mettez immédiatement à jour votre logiciel antivirus et analysez votre PC.
Enfin, il vaut la peine d'examiner certaines des façons dont les rançongiciels peuvent tromper par leur apparence. Vous savez déjà que de fausses pièces jointes aux e-mails sont utilisées pour envoyer des rançongiciels aux ordinateurs. Dans cette situation, les pièces jointes apparaissent comme des fichiers DOC légitimes, envoyés avec des spams affirmant que vous devez de l'argent ; la pièce jointe est la facture. Une fois téléchargé, votre système est compromis.
D'autres déguisements sont cependant utilisés. Par exemple, le ransomware DetoxCrypto (Ransom.DetoxCrypto) prétend être le logiciel Malwarebytes Anti-Malware populaire, mais avec un léger changement de nom ("Malwerbyte"). Ensuite, il y a la variante Cryptolocker (CTB-Locker) qui prétend être une mise à jour Windows.
Vous pensiez avoir tout vu des rançongiciels ? Détrompez-vous ! Les escrocs ne reculeront devant rien pour s'emparer du contenu de votre portefeuille, et ils proposent constamment de nouveaux types de rançongiciels.
Si vous craignez d'être soumis à une rançon, consultez notre guide pour savoir comment vous défendre contre les rançongiciels. Trop tard? Peut-être que l'un de ces outils peut être utilisé pour casser le cryptage du ransomware pour vous.