Un Anti-ransomware c'est quoi !

Pensez à la sauvegarde au cas ou vous êtes victime de ces crypto-ransomware
Protège contre ransomware (rançongiciel ), les logiciels malveillants et les exploits zero-day.
Est-ce que votre antivirus actuel vous prévient contre les violations et les infections sans avoir aucune connaissance préalable des attaques ou des logiciels malveillants?
La réponse est NON
Un antiransomware utilise les Techniques de base et exploite les logiciels malveillants qui se cache des logiciels antivirus.
Il détecte également les intrusions de logiciels malveillants de la récupération d'information bancaire, des outils d'accès à distance, et bloque les cryptoransomware, simplement en observant les comportements que ces menaces présentent.
Même en utilisant une solution email avec ses propres sécurités, il y aura toujours des vulnérabilités aux attaques de ransomware dû à l’hameçonnage ou à des pièces jointes falsifiées
Lorsqu'un ransomware est détecté, la technologie de CryptoGuard d'un Antiransomware Alert et neutralise automatiquement le programme de perpétration et restaure les documents chiffrés. Et tout cela se passe sans aucune intervention de l'utilisateur.
Révélant les attaques en temps réel, sans utiliser les signatures de virus.
Heureusement qu'il existe actuellement des solutions entreprises et pour les particuliers pour nous avertir des tentatives de ransomware.
Ces programmes analysent le comportement effectué sur la machine et empêchent ainsi le cryptage du ransomware et restaure les fichiers cryptés par une restauration juste avant la tentative de crypto-ransomware.
Pour la partie entreprise, il y a la solution Sophos Intercept X qui fonctionne avec Sophos XG Firewall


Trend Micro Worry-Free™ Business Security
Les anti-ransomwares pour les particuliers on trouve:

HitmanPro-alert
Malwarebytes premium en version 3
Bitdefender Anti-Ransomware
Kaspersky Anti-Ransomware
Malwarebytes Anti-Ransomware version 0.9.17.661 Beta 8
L'Anti-Ransomware est un outil simple qui vise à bloquer les ransomware - même les plus récents, et des variantes inconnues - avant même qu'elle ne commence à crypter vos fichiers.
L'attaque faite par ces ransomwares utilisant des algorithmes de cryptographie hybride est très récente, cryptant ainsi les données des utilisateurs.
Le ransomware cryptant les fichiers de la victime. Seule la clé de débridage permettra de déchiffrer les documents qui seront envoyés à la victime après le paiement d'une rançon. Rien ne garantit l'envoi de la clé par les pirates.
Le ransomware choisis soigneusement les fichiers dossiers et fichiers à crypter et laissant certains permettant le bon fonctionnement du système d'exploitation pour le paiement de la rançon.
La majorité des cryptoransomware ne crypte pas les systèmes d'exploitation Russe, en aout 2010, les autorités russes ont arrêté dix pirates qui étaient reliés à WinLock.
Le premier rançongiciel est apparu en 1989 : PC Cyborg Trojan
Il existe deux types de ransomware les payload ce programme va limiter toute interaction avec le système d'exploitation en modifiant l'explorateur Windows voir modifier le boot et empêchant ainsi son démarrage.
Et il y a les cryptoransomware comme expliqués plus haut, qui cryptent les données et demandent une rançon pour le décryptage de ces données.
COMBATTRE LE RANSOMWARE.
Votre stratégie de défense doit stopper le ransomware afin que celui-ci ne se propage pas dans votre réseau.
Aucune solution radicale n'existe actuellement pour lutter contre le ransomware.
Pour le combattre nous devons utiliser approche par procédure et multicouche comme expliqué afin de minimiser les risques.
- COMME LE MONITORING DES COMPORTEMENTS
- LE CONTRÔLE DES APPLICATIONS EN CRÉANT DES LISTES BLANCHES
- LA PROTECTION CONTRE LES VULNÉRABILITÉS NON PATCHÉES COMME LES EXPLOITS ZÉRO-DAY :
- UNE PROTECTION DU RÉSEAU DES SERVICES OUVERT VERS INTERNET COMME vos emails, l'accès au web.
Crypto-ransomware SAMSAM utilise des failles de sécurité sur des serveurs non corrigés
Malgré cette menace sophistiquée comme vecteur d'infection et de cartographie du réseau infiltré, le déploiement des correctifs et les mises à niveau des systèmes et des serveurs peuvent mettre fin au cycle d'attaques. Sauf que les administrateurs informatiques sont confrontés à de nombreux défis lorsqu'ils sont tenus de suivre les opérations quotidiennes et d'assurer la haute disponibilité des services essentiels tout en sécurisant le périmètre du réseau.
Virtual Patching qu'en est-il
Son principe est simple, il permet aux administrateurs IT de protéger leurs serveurs et les endpoints vulnérables. Au cas ou l'éditeur d'une solution informatique n'a pas fourni de correctif pour son produit, le virtual patching bloque l'utilisation de la vulnérabilité en attente du patch correctif.
Les ransomwares utilisent les extensions annexées aux fichiers:
ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto , _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .bon, .lol !, .omg !, .RDM, .RRK, .encryptedRSA, .crjoker, .EnCiPhErEd, .LeChiffre, .keybtc @ inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .SUPERCRYPT, .CTBL, .CTB2, .locky ou 6-7 extension de longueur composé de caractères aléatoires .Magic .
BadBlock
777
XORIST
XORBAT
STAMPADO
CHIMERA
MIRCOP
PURGE/GLOBE
TEAMXRAT/XPAN
TeslaCrypt
SAMSAM
CryptXXX
SNSLocker
AutoLocky
CERBER
NEMUCOD
LECHIFFRE
JIGSAW
DXXD
CRYSIS
Les ransomware les plus connus sont:
Menaces ransomware identifiées : liste non exhaustive

POWERWARE - Menace majeure pour les entreprises, ce malware identifie tous les lecteurs logiques, sur les réseaux partagés notamment, mettant ainsi en péril le réseau dans sa totalité.
PETYA - Ransomware capable de remplacer un MBR (zone amorce) et de verrouiller tout accès au système.
Les systèmes victimes affichent une demande de rançon lorsque du démarrage et ne peuvent aller plus loin. L’infection s’opère souvent via
des services de stockage légitimes dans le Cloud.
KERANGER - Un malware de chiffrement, le premier cryptoransomware pour Mac s’installant via une application de partage de fichiers open source. Ses créateurs utilisent un certificat développé pour une application Mac afin de contourner GateKeeper d’Apple, une fonctionnalité de sécurité limitant les sources d’installation des applications pour les utilisateurs.
SAMAS (OU SAMSAM) - Le premier ransomware ayant la capacité de chiffrer des fichiers sur le réseau, menaçant les bases de données ainsi que les sauvegardes archivées sur ce réseau. Les auteurs de SAMAS sont connus pour manuellement localiser et effacer les sauvegardes réseaux, afin de forcer les entreprises à payer des rançons.
LOCKY - Recherche et efface les fichiers de sauvegarde automatique de Windows (Volume Shadow Copy).
MAKTUBLOCKER - Si la méthode de chiffrement de ce ransomware est sensiblement identique à celle des autres, c’est son vecteur d’infection qui est différent. Il arrive sous forme d’email avec le nom de l’utilisateur et son adresse postale, rendant celui-ci fiable à ses yeux. Le ransomware s’active lorsque l’utilisateur télécharge le fichier attaché.

 
 
Contact
Facebook