NAKIVO > Blog

Virus, ransomware et malware : explications sur les différences

Publié le: mai 24, 2021

Written by: NAKIVO Team

& & En matière de cybersécurité, certains termes sont souvent utilisés de manière interchangeable, ce qui peut prêter à confusion. Les premières attaques de logiciels malveillants étaient souvent qualifiées de virus. De même, les premiers produits de cybersécurité étaient souvent présentés comme des solutions antivirus, renforçant ainsi l’idée que les virus constituent la principale cybermenace. Cependant, au cours des dernières décennies, les stratégies utilisées par les cybercriminels ont considérablement évolué, donnant naissance à de nouveaux types de logiciels malveillants avec des méthodes de diffusion, des objectifs et des effets différents sur vos systèmes.

Comprendre les différences entre les virus, les logiciels malveillants et le ransomware peut vous aider à identifier les risques à un stade précoce, à mettre en place les mesures de prévention adaptées à différents scénarios et à éviter la perte de données.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Qu’est-ce qu’un logiciel malveillant ?

Le terme « logiciel malveillant », abréviation de « logiciel malveillant », est un concept général qui englobe tout code malveillant externe susceptible d’endommager une appliance ou de corrompre des données. Lorsque l’on parle de cybersécurité en général, le terme « logiciel malveillant » est généralement le terme le plus large qui peut être utilisé dans la plupart des contextes. Le ransomware et les virus sont deux types de logiciels malveillants. Parmi les autres types de logiciels malveillants, on peut citer :

  • Les logiciels espions permettent aux pirates informatiques de suivre les activités d’une autre appliance. Les logiciels espions collectent des données personnelles, telles que des informations de carte de crédit, des mots de passe, des noms d’utilisateur, etc., qui seront ensuite utilisées par les pirates informatiques pour s’introduire dans les machines.
  • Les bots sont des logiciels malveillants qui connectent les machines piratées à un serveur central. Ce réseau de machines est appelé « botnet ». Les botnets peuvent rester indétectables, même lorsqu’ils comprennent des millions d’appliances. En exploitant la puissance d’une machine piratée, les botnets peuvent envoyer des messages de phishing et des spams, voler des informations personnelles et mener des attaques par déni de service (DDoS).
  • Les rootkits permettent aux pirates informatiques de contrôler une appliance à l’insu de l’utilisateur. Une fois installé, un rootkit peut modifier la configuration du système et télécharger d’autres fichiers malveillants.
  • Les vers sont des programmes qui se propagent automatiquement entre les ordinateurs d’un même réseau sans fichier hôte. Les vers peuvent supprimer ou modifier des informations, voler des données ou installer des logiciels malveillants supplémentaires. Les vers ne sont plus très répandus aujourd’hui, mais d’autres logiciels malveillants utilisent toujours la même méthode d’attaque.
  • Les chevaux de Troie, contrairement aux vers, ont besoin d’un hôte pour fonctionner. Ce sont des logiciels malveillants clandestins, car ils sont généralement déguisés en fichiers légitimes. Les chevaux de Troie se propagent principalement par le biais du phishing. Cependant, ce n’est pas le seul moyen. Les attaques de chevaux de Troie apparaissent parfois intégrées à un faux antivirus qui s’affiche sur un site web proposant une protection pour une appliance. Une fois installés sur un ordinateur, les chevaux de Troie permettent l’espionnage et la modification des données.
  • Les logiciels publicitaires sont des logiciels malveillants qui se présentent sous la forme de pop-ups bien connues. Il est généralement associé à des jeux gratuits ou à d’autres programmes sans licence. Parfois, la seule menace qu’il représente est de ralentir votre ordinateur. Cependant, dans certains cas, il peut également entraîner l’installation de logiciels espions.
  • Les logiciels malveillants sans fichier sont des codes malveillants qui s’introduisent directement dans la mémoire de l’ordinateur et corrompent des programmes fiables tels que PowerShell ou les scripts Windows. Contrairement aux autres types, les logiciels malveillants sans fichier ne laissent généralement aucune trace et sont donc plus difficiles à détecter par les scanners.

Cependant, les virus et le ransomware sont les types de logiciels malveillants les plus répandus.

Qu’est-ce qu’un virus ?

Un virus est un programme malveillant qui se propage via des sites web et des fichiers infectés. Lorsqu’une appliance est exposée à un virus, celui-ci s’installe et commence à s’exécuter à l’insu de l’utilisateur. Les virus peuvent corrompre des données, endommager une appliance et nuire à ses performances, en formatant le disque dur. Certains virus peuvent se répliquer et se propager sur un réseau local. Même un virus simple peut ralentir considérablement le système en utilisant la mémoire de l’ordinateur et provoquer des plantages fréquents.

Comment les virus se propagent-ils ?

Même les administrateurs système et les utilisateurs prudents, qui prennent des précautions contre les menaces potentielles de logiciels malveillants, ont probablement été exposés à un virus à un moment donné. Les virus se propagent de différentes manières. Un virus peut s’introduire dans le réseau d’un environnement par le biais d’activités quotidiennes telles que :

  • L’échange de données entre appliances
  • Visiter des sites Web infectés (une appliance peut être infectée même sans télécharger de fichiers)
  • Télécharger des fichiers torrent ou d’autres logiciels gratuits
  • Utiliser des périphériques de stockage externes (tels que des clés USB) qui ont été précédemment connectés à un ordinateur infecté
  • Ouvrir des pièces jointes infectées

Virus : mythes et réalités

Mythe n° 1: Vous saurez immédiatement si votre ordinateur est infecté.

Réalité : Les logiciels malveillants se propagent souvent sans être détectés. C’est pourquoi vous ne serez pas toujours en mesure de savoir si une appliance est infectée.

Mythe n° 2: Les sites Web fiables ne contiennent pas de virus ni d’autres logiciels malveillants.

Fait : Les pirates informatiques peuvent diffuser des publicités malveillantes sur des sites Web réputés. Le simple fait d’afficher une publicité sans cliquer dessus peut installer un logiciel malveillant. Parfois, même les sites Web les plus connus peuvent être infectés par des logiciels malveillants.

Mythe n° 3: Les appareils Apple sont à l’abri des virus.

Réalité : Il s’agit d’une idée fausse profondément ancrée, car toute appliance peut être infectée, qu’elle fonctionne sous macOS ou sous un autre système d’exploitation. Les pirates informatiques perfectionnent leurs programmes afin de pouvoir pénétrer n’importe quel système et environnement.

Mythe n° 4: Les adresses e-mail provenant de sources fiables ne peuvent pas être infectées. Il est toujours sûr d’ouvrir les pièces jointes provenant de sources fiables.

Réalité : Même lorsqu’une adresse e-mail provient d’une source fiable (collègue, ami, etc.), rien ne garantit qu’elle est sûre. Certains virus s’introduisent dans la liste de contacts et infectent les e-mails. Ainsi, si une pièce jointe semble suspecte, il vaut mieux éviter de l’ouvrir.

Mythe n° 5: Lorsqu’un ordinateur ne contient aucune donnée critique, les logiciels malveillants ne constituent pas une menace.

Réalité : Même si une appliance ne stocke aucune donnée critique, les logiciels malveillants constituent toujours une menace pour la sécurité. Les logiciels malveillants recherchent rarement des données. Ils accèdent plutôt à une liste de contacts pour envoyer des adresses e-mail indésirables ou utilisent la mémoire et la puissance d’une appliance et, par conséquent, de l’ensemble du réseau.

Mythe n° 6: Les pare-feu offrent une protection complète contre les virus.

Réalité : Les pare-feu offrent différents types de protection, principalement en filtrant le trafic et en limitant l’accès non autorisé aux données. Cependant, les logiciels malveillants peuvent toujours accéder à une appliance et se propager sur le réseau.

Qu’est-ce qu’un virus ransomware ?

À proprement parler, le terme « virus ransomware » n’existe pas. Contrairement aux virus, les ransomwares ne sont pas des infections qui se répliquent d’elles-mêmes, mais les criminels peuvent utiliser des virus dans le cadre d’attaques ransomware plus complexes. Les ransomwares fonctionnent sur la base du chiffrement, l’une des technologies de sécurité les plus efficaces initialement créées pour protéger les ordinateurs. Le chiffrement transforme les données en un code secret qui ne peut être décodé qu’à l’aide d’une clé de déchiffrement.

Les pirates demandent aux victimes de payer une rançon, généralement en bitcoins, pour obtenir la clé de déchiffrement et retrouver l’accès à leurs fichiers. Cependant, toutes les attaques par ransomware ne visent pas un gain financier. Dans certains cas, comme avec les ransomwares wipers (par exemple, NotPetya), l’objectif du pirate informatique est de perturber ou d’enlever des données, afin que les criminels puissent générer de fausses adresses de portefeuille cryptographique ou demander à leurs victimes de payer des rançons irréalistes.

Naturellement, les entreprises craignent de perdre la confiance et de nuire à leur réputation. Le paiement de la rançon semble donc être une solution rapide pour résoudre la situation. Cependant, le paiement de la rançon ne garantit en aucun cas le rétablissement de l’accès à vos systèmes.

Au lieu de financer les pirates informatiques et de vous demander si vous pourrez récupérer l’accès à vos données, une bien meilleure solution consiste à sauvegarder vos Workloads. La meilleure approche pour se protéger contre les ransomwares consiste à mettre en place un plan de sauvegarde 3-2-1 qui comprend des sauvegardes immuables et isolées. Un tel plan signifie que vous devez disposer d’au moins trois (3) copies de sauvegarde, en stocker deux (2) sur des supports différents et en conserver une (1) hors site. Grâce à ce plan de sauvegarde, votre processus de récupération sera rapide et simple, même après une attaque par ransomware.

Comment le ransomware se propage-t-il ?

Voici quelques-uns des moyens les plus courants de propagation du ransomware :

  • Les e-mails de phishing sont des e-mails indésirables qui contiennent une pièce jointe ou un lien malveillant. Une fois la pièce jointe ou le lien ouvert, un ransomware est téléchargé sur l’ordinateur. Parfois, l’expéditeur du courriel peut être une personne figurant dans vos contacts.
  • Liens dans les messages sur les réseaux sociaux peuvent contenir un lien malveillant susceptible d’activer un ransomware sur une appliance.
  • Les sites Web malveillants peuvent entraîner le déploiement d’un ransomware après leur consultation. Ce phénomène est courant sur les plateformes de streaming vidéo et autres sites Web proposant du contenu gratuit.
  • Les logiciels malveillants supplémentaires attaquent les appliances qui appartiennent déjà à un botnet (un serveur qui regroupe des ordinateurs piratés). Dans ce cas, l’appliance est infectée par d’autres logiciels malveillants.

Ransomware : mythes et réalités

Mythe n° 1 : Les ransomwares s’attaquent aux entreprises et non aux particuliers.

Réalité : Les ransomwares ne font pas de distinction. Les particuliers comme les entreprises peuvent être la cible d’attaques par ransomware.

Mythe n° 2 : Vous récupérez toujours vos données après avoir payé la rançon.

Réalité : Dans la majorité des cas, ceux qui paient la rançon ne récupèrent pas l’accès à leurs données. Payer la rançon semble être une solution facile et rapide pour régler le problème. Cependant, payer la rançon revient à financer la cybercriminalité et à inciter les pirates informatiques à mener davantage d’attaques sans aucune garantie d’obtenir les clés de déchiffrement.

Mythe n° 3 : Les ransomwares ne peuvent pas chiffrer les sauvegardes.

Réalité : Si les sauvegardes régulières constituent le meilleur moyen de protéger vos données, elles peuvent toutefois contenir des Workloads infectés ou être corrompues par des tiers. Pour atténuer ces risques, il est essentiel d’effectuer régulièrement des recherches de logiciels malveillants dans les sauvegardes, de suivre la règle de sauvegarde 3-2-1, et de mettre en œuvre des mesures de sécurité telles que le chiffrement, l’immuabilité et le Contrôle d’accès basé sur les rôles pour sauvegarder les données. Des solutions complètes telles que NAKIVO Backup & Replication vous permettent de surmonter ces risques grâce à des fonctionnalités de sauvegarde, de reprise après sinistre et de protection contre les ransomwares, le tout à partir d’un seul et même écran.

Ransomware vs. malware vs. virus

Malware Ransomware Virus
Classification Le terme « logiciel malveillant » est un terme général qui désigne tout logiciel malveillant. Le ransomware est un type de logiciel malveillant. Un virus est un type de logiciel malveillant.
Objectif de l’attaquant Les logiciels malveillants sont conçus pour causer divers dommages à un ordinateur, selon leur type. Les ransomwares sont conçus pour bloquer l’accès aux données jusqu’à ce que l’utilisateur paie une rançon. Un virus est un code malveillant attaché à un fichier distinct. Un virus peut formater un disque dur, ou être inoffensif.
Impact sur le système Les logiciels malveillants peuvent contrôler et voler des données, utiliser les ressources d’un ordinateur, détruire le système, etc. Les ransomwares verrouillent le système et effectuent le chiffrement de toutes les données. Les virus peuvent endommager un appareil, corrompre des données, dégrader les performances d’un appareil, etc.
Variété Il existe de nombreux types de logiciels malveillants : vers, logiciels espions, rootkits, chevaux de Troie, ransomwares, etc. Les trois types les plus courants sont les ransomwares, les doxwares et les cryptowares. Les virus se présentent sous différentes formes : infecteurs de fichiers, virus macro, virus polymorphes, etc.
Méthode de transmission Selon leur type, les logiciels malveillants peuvent se propager par le biais d’adresses e-mail, d’installations de données, de la navigation sur Internet, de l’exploitation des vulnérabilités du système, etc. Certains types de logiciels malveillants ne peuvent être déclenchés que par un utilisateur, tandis que d’autres peuvent infecter le système sans aucune intervention de l’utilisateur. Les ransomwares se propagent principalement sous forme de pièces jointes malveillantes à des adresses e-mail de phishing ou de liens dans des publications sur les réseaux sociaux. Les virus se propagent lors du téléchargement ou de l’échange de fichiers, de la visite de sites web malveillants, etc. et sont déclenchés par un utilisateur.
Facilité de suppression Le respect des règles de cybersécurité et la sauvegarde des données constituent la meilleure solution pour prévenir les infections par des logiciels malveillants et protéger les données. Les ransomwares sont parmi les logiciels malveillants les plus insidieux. Le meilleur « remède » contre les ransomwares est la prévention et la sauvegarde. L’un des moyens les plus courants et les plus efficaces de protéger une appliance contre les virus est l’utilisation d’un logiciel antivirus.

Comment éviter le ransomware, les virus et autres logiciels malveillants ?

Après avoir appris les différences entre les types de logiciels malveillants, la première question qui vient à l’esprit est : peut-on prévenir une attaque de logiciel malveillant ? Il existe plusieurs moyens pour un utilisateur de protéger son appareil contre les infections. La meilleure solution consiste à suivre les règles de base en matière de sécurité informatique :

  • Procurez-vous un antivirus, un anti-logiciel espion et un pare-feu, et veillez toujours à les maintenir à jour.
  • Mettez régulièrement à jour votre système d’exploitation et vos applications.
  • Améliorez les paramètres de sécurité de votre navigateur et bloquez les fenêtres pop-up.
  • Évitez d’ouvrir les messages et les e-mails provenant d’expéditeurs inconnus.
  • N’ouvrez pas les pièces jointes, les liens et les sites web suspects.
  • Évaluez les programmes, fichiers et logiciels gratuits avant de les télécharger.
  • Définissez des mots de passe forts et modifiez régulièrement vos identifiants de connexion.

Le respect de ces règles minimise le risque d’infection d’une appliance par un logiciel malveillant. Cependant, rien ne peut garantir une sécurité à 100 %. C’est pourquoi il est essentiel de sauvegarder vos données à plusieurs emplacements, de préférence en suivant le plan de sauvegarde 3-2-1 qui comprend des sauvegardes immuables, cryptées et isolées. De cette façon, même en cas d’attaque par ransomware, vous pourrez restaurer vos données en quelques clics.

Comment détecter les logiciels malveillants ?

Une autre question fréquente est de savoir comment déterminer si un ordinateur ou un réseau a été infecté. Un ordinateur peut être infecté si vous rencontrez certains des problèmes suivants :

  • Ralentissement des performances de l’ordinateur et plantages fréquents
  • Comportement instable de l’ordinateur (un ordinateur envoie des messages ou des adresses e-mail indésirables sans l’intervention de l’utilisateur, ou ouvre/ferme des programmes, etc.)
  • Perte de données inexpliquée
  • Fenêtres contextuelles et autres messages affichés sur votre écran
  • Écran bleu de la mort (BSOD)

La meilleure approche consiste toutefois à utiliser un logiciel complet de détection des logiciels malveillants qui combine plusieurs méthodes de détection avec l’apprentissage automatique. Ces solutions peuvent analyser votre système à la recherche de signatures de virus connues ou identifier des modèles de code similaires, effectuer la surveillance des systèmes à la recherche d’activités inhabituelles et effectuer des tests en mode sandbox avec les fichiers suspects.

Comment enlever les logiciels malveillants ?

La détection et l’enlèvement des logiciels malveillants peuvent être une tâche compliquée. À moins d’être un professionnel, il est facile de passer à côté de certains éléments et de se tromper. De plus, il est difficile de savoir si les logiciels malveillants ont modifié le système à un point tel qu’il est impossible de réparer les dommages. La procédure type pour enlever un logiciel malveillant est la suivante :

  • Exécutez un logiciel anti-malware pour rechercher les menaces potentielles.
  • Une fois le logiciel malveillant détecté, supprimez les fichiers infectés.
  • Si cela ne peut pas être fait automatiquement, demandez l’aide du technicien de votre fournisseur de sécurité.
  • Après avoir formaté un disque, effectuez la récupération des données à partir des sauvegardes (certaines solutions de sauvegarde, notamment NAKIVO Backup & Replication, vous permettent d’analyser les sauvegardes à la recherche de logiciels malveillants avant la récupération) et réinstallez les programmes si nécessaire.
  • Analysez comment un ordinateur a été infecté afin de prévenir les attaques de logiciels malveillants à l’avenir.
  • Prenez le temps d’informer tous les utilisateurs des règles de cybersécurité.

Si certains de vos fichiers sont cryptés à la suite d’une attaque par ransomware, procédez comme suit :

  • Ne payez jamais la rançon.
  • Si un ordinateur infecté est connecté à un réseau, débranchez-le ou désactivez le point d’accès (dans le cas d’une connexion Wi-Fi).
  • Prenez une photo de l’écran de verrouillage affiché sur le moniteur. Cela peut aider à identifier le type de ransomware.
  • Utilisez un support en lecture seule avec un logiciel anti-malware, analysez tous les disques de l’ordinateur et supprimez les logiciels malveillants.
  • Si quelque chose ne fonctionne pas, contactez un technicien spécialisé.

Les logiciels malveillants les plus nuisibles

MyDoom

Les cyberattaques n’entraînent pas seulement la corruption des données et des dommages informatiques, mais aussi des pertes financières importantes. L’une des cyberattaques les plus coûteuses a été causée par le logiciel malveillant MyDoom, qui a entraîné des dommages estimés à 38 milliards de dollars. Techniquement, MyDoom, également connu sous le nom de Novarg, est un ver qui se propage par le biais d’adresses e-mail de phishing.

La gravité de l’attaque était due au volume considérable d’adresses e-mail envoyées. À un moment donné en 2004, MyDoom était responsable de l’envoi d’un quart de tous les e-mails. Après avoir infecté les ordinateurs, MyDoom récupérait toutes les listes d’adresses e-mail et envoyait des copies de lui-même. Les ordinateurs infectés formaient alors un botnet pour mener des attaques DDoS.

MyDoom circule toujours. Même 16 ans après sa création, MyDoom envoie encore plus d’un milliard d’adresses e-mail contenant une copie de lui-même. Le créateur de ce ver n’a jamais été retrouvé, malgré une récompense de 250 000 dollars offerte pour retrouver le ou les auteurs de l’attaque.

ILOVEYOU

La création de ce logiciel malveillant a marqué un tournant, ou plutôt un point de non-retour. ILOVEYOU a été l’une des premières cyberattaques menées par adresse e-mail. Ce ver a réussi à infecter 50 millions d’ordinateurs en 10 jours, causant au total 15 milliards de dollars de dommages. Il envoyait d’abord un e-mail qui ressemblait à une lettre d’amour. Après l’installation, il envoyait 50 autres e-mails malveillants aux contacts de la victime.

Le ver a été développé par Onel de Guzman, un étudiant philippin. Comme il n’avait pas suffisamment de fonds, il a programmé le ver pour qu’il se connecte à des services en ligne payants. Il ne pouvait pas imaginer l’ampleur que cela prendrait. À l’époque, les Philippines n’avaient pas de lois contre la cybercriminalité, donc Onel de Guzman n’a jamais été poursuivi. Aujourd’hui âgé de 44 ans, le hacker vit à Manille et regrette d’avoir créé ILOVEYOU.

WannaCry

WannaCry est apparu pour la première fois en 2017. Ce ransomware a infecté plus de 200 000 ordinateurs dans environ 150 pays, causant plus de 4 milliards de dollars de dommages. WannaCry a causé des pertes massives non seulement pour les entreprises et les particuliers, mais aussi pour les institutions gouvernementales et les hôpitaux. Les pirates ont exigé une rançon de 300 dollars en bitcoins. Plus tard, la rançon a été augmentée à 600 dollars.

Il s’est avéré que le logiciel malveillant avait exploité une vulnérabilité de Microsoft dans le protocole SMB (Server Message Block). Deux mois avant l’attaque du ransomware, Microsoft avait publié une version de correctif de sécurité pour protéger les systèmes des utilisateurs. Cependant, ceux qui n’avaient pas mis à jour leur système d’exploitation ont été exposés à l’attaque WannaCry.

NotPetya (ExPetr)

La cyberattaque russe de 2017, connue sous le nom de NotPetya, se distingue comme l’une des attaques de ransomware les plus dévastatrices à ce jour. En seulement 45 secondes, NotPetya a paralysé l’ensemble du réseau bancaire et touché plus de 2 000 organisations dans le monde, dont des géants industriels tels que Maersk, Merck, TNT Express (filiale de FedEx) et Mondelez. Le coût estimé des dommages a dépassé les 10 milliards de dollars, mais les pertes réelles ont largement dépassé ce chiffre. Par exemple, Maersk a eu besoin de 10 jours et de 600 personnes pour reconstruire son réseau, et la récupération complète a pris des mois.

Selon certaines sources, NotPetya visait le gouvernement ukrainien. NotPetya était un ransomware wiper conçu pour perturber et détruire plutôt que pour obtenir un gain financier. Le ransomware exploitait l’outil de pénétration américain EternalBlue (divulgué lors d’une précédente violation de données), qui avait également été utilisé dans l’attaque WannaCry plus tôt dans l’année, et Mimikatz, une faille de sécurité connue depuis 2011. Contrairement aux versions précédentes de Petya qui nécessitaient l’interaction de l’utilisateur pour infecter le système, NotPetya pouvait se propager à travers les réseaux en quelques secondes en se faisant passer pour une mise à jour du logiciel de comptabilité.

Ryuk

La première attaque Ryuk contre Tribune Publishing en 2018 a provoqué des perturbations au New York Times et au Wall Street Journal, retardant leur impression pour plusieurs jours. Plus tard, le groupe de pirates informatiques Wizard Spider a utilisé Ryuk pour cibler de grandes organisations gouvernementales, sanitaires, éducatives et industrielles à travers le monde. Le ransomware Ryuk a été associé aux plus grosses rançons, pouvant atteindre 12,5 millions de dollars, tandis que les gains globaux des pirates informatiques ont atteint 150 millions de dollars en 2021.

Ryuk pénètre généralement dans le système par le biais de courriels indésirables contenant une infection TrickBot. Ryuk est également l’un des logiciels de ransomware as a service (RaaS) les plus utilisés sur le darknet. Les développeurs le vendent à d’autres pirates informatiques, en prélevant un pourcentage sur le paiement réussi de la rançon.

ShrinkLocker

Présentation de ShrinkLocker

ShrinkLocker est une nouvelle souche de ransomware découverte par Kaspersky en mai 2024. Ce ransomware exploite la fonctionnalité de chiffrement Windows BitLocker pour verrouiller les appliances des utilisateurs sans aucune option de récupération.

Comment ShrinkLocker exploite Windows BitLocker

ShrinkLocker est basé sur le langage de programmation obsolète pour Windows, VBSscript. Après avoir pénétré dans le système, il identifie d’abord le système d’exploitation Windows et soit l’arrête (2000, 2003, XP, Vista) ou exécute les parties de son code qui correspondent au système d’exploitation spécifique.

ShrinkLocker exploite BitLocker pour crypter les données, puis enlève les protections par défaut telles que le code PIN, la clé de démarrage, la clé de récupération, etc., laissant les victimes sans aucun moyen de récupérer les données cryptées. Les criminels accèdent ensuite à la clé de chiffrement de BitLocker à l’aide de TryCloudflare, l’outil légitime de CloudFlare destiné aux développeurs. Après une attaque réussie, ShrinkLocker supprime tous ses fichiers et efface les journaux PowerShell pour échapper à la détection.

Ce n’est pas la première fois qu’un ransomware utilise BitLocker pour effectuer le chiffrement des données, mais cette nouvelle souche va plus loin pour maximiser les dégâts et rendre la détection plus difficile. Microsoft a annoncé que BitLocker serait automatiquement activé dans Windows 11 24H2, ce qui augmente le nombre potentiel de victimes.

Exemples d’attaques ShrinkLocker

Jusqu’à présent, ce ransomware a attaqué des fabricants d’acier et de vaccins au Mexique, en Jordanie et en Indonésie. Les attaquants ne laissent pas de fichier de rançon et rendent intentionnellement leurs adresses e-mail de contact difficiles à trouver, ce qui suggère qu’ils visent davantage à perturber les activités qu’à obtenir une rançon.

Conclusion :

La cybersécurité est l’un des défis les plus critiques aujourd’hui. Les virus et le ransomware, ainsi que d’autres types de logiciels malveillants, constituent une menace sérieuse pour l’intégrité et la sécurité des données. La meilleure solution pour éviter les attaques consiste à suivre les règles générales de cybersécurité. Pour éviter un long processus de récupération et de reconstruction d’un système à partir de zéro, sauvegardez vos données.

Les fonctionnalités avancées de la solution NAKIVO vous aident à mettre en place une approche complète de la sauvegarde, de la récupération et de la sécurité des données. Trouvez la solution la mieux adaptée à vos besoins avec NAKIVO Backup & Replication.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Basculement et restauration automatique : principales différences en matière de reprise après sinistre
Picture
Qu’est-ce qu’une sauvegarde incrémentielle ?
Picture
Déploiements Kubernetes : guide complet