SynAck Ransomware/cryptoware

Modérateur: Modérateurs et Modératrices

SynAck Ransomware/cryptoware

Messagede pierre » 09 Mai 2018, 10:24

Bonjour,

SynAck Ransomware/cryptoware

Ce cryptoware (ransomware utilisant le chiffrement des fichiers) entre dans une nouvelle version repérée le 7/5/2018. Cette nouvelle version utilise diverses techniques pour échapper aux outils qui pourraient la détecter, dont le Process Doppelgänging (modification invisible/indétectable d'une transaction NTFS, exécution de l'attaque et suppression de la transaction, ce qui ne laisse aucune trace dans le système d'exploitation), ainsi que des techniques plus classiques comme la détection de son exécution dans une machine virtuelle (sandbox). Deux autres techniques avancées utilisées par SynAck sont l'obfuscation du code source, avant compilation, puis une seconde obfuscation après compilation, ce qui rend très compliquée l'analyse du comportement du code par les antivirus. Les attaques proviennent essentiellement de l'exploitation du protocole RDP (Windows Remote Desktop Protocol) - si vous n'en avez pas besoin, désactivez-le. Lire <a href="https://www.ssi.gouv.fr/uploads/IMG/pdf/Securite_de_RDP_article.pdf" target="_blank">RDP - PDF français 40 pages - SSI (Sécurité des systèmes informatiques - gouvernement français)</a>.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24923
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: SynAck Ransomware/cryptoware

Messagede jeovany » 19 Juin 2018, 12:41

si mon ordinateur est infectés par ransomware et que mes données sont cryptées,comment supprimer ransomware ?


Édité par Pierre :
  • Le contributeur ci-dessus est revenu plus tard, après une réponse apportée ou, parfois, plusieurs jours après, et a modifié son message initial, y ajoutant un ou des liens !
  • Il s'agit d'une attaque en « Spamdexing », plus précisément appelée « Comment Spamming - Spam des zones de discussion ».
    1. Le contributeur a été banni
    2. Son adresse courriel a été bannie
    3. Son addrese IP a été notée
    4. L'information (le/les liens) ayant déclenché le bannissement a été archivée (afin de protéger et défendre Assiste en cas de contestation).
  • Ce message est vérouillé.

Tactique habituelle utilisée :
  1. Je (le spammeur) pose une question un peu généraliste (ou je fais une contribution vague), courte, et sans intérêt, mais pas totalement sans pertinence (si je fais juste une intervention vide de sens ou hors contexte, cela me ferait remarquer trop rapidement).
  2. Un autre contributeur apporte une réponse.
  3. Je (le spammeur) reviens le lendemain et j'ajoute des liens dans le message initial alors que celui-ci disparaît de la liste des nouveaux messages et a des chances de ne pas être repéré par les administrateurs et modérateurs ou par des contributeurs attentifs qui vont alerter les modérateurs.

Prévisibilité de l'attaque :
  • Nous maintenons, dans nos zones de discussions privées entre modérateurs, un fil de discussion appelé « Je ne le sent pas, celui-là. » Nous « sentons », dans quasi 100% des cas, une contribution qui va tourner en « Comment Spamming ».
Dernière édition par jeovany le 20 Juin 2018, 22:28, édité 1 fois.
jeovany
 
Messages: 8
Inscription: 19 Juin 2018, 01:11

Re: SynAck Ransomware/cryptoware

Messagede pierre » 20 Juin 2018, 09:55

Bonjour, Jeovany,

SI cela arrive, il n'y a que 4 solutions :

1/ Si on a une sauvegarde, décontaminer l'ordinateur (tous les antivirus et antimalwares le font) puis, une fois la machine décontaminée, restaurer les données à partir de la sauvegarde.

2/ Payer le crypto-criminel (cybercriminel). Vivement déconseillé, car c'est faire leur jeu et les encourager à poursuivre dans cette voie criminelle.

3/ Ne pas payer alors que l'on n'a pas de sauvegarde. Tout est perdu définitivement sauf si : point 4 ci-après.

4/ Il n'existe pas, et il n'existera jamais de programme error free (100% sans erreur).Il y a toujours des failles, partout. Les cybercriminels, aussi bons et brillants informaticiens qu'ils soient, font eux aussi des erreurs de programmation. Il arrive alors, parfois, que des chercheurs, au sein d'un éditeur d'antivirus ou d'antimalwares, ou totalement indépendants, trouvent une faille et arrivent à pénétrer un cryptoware pour permettre, gratuitement, le déchiffrement des données.

Vous avez une page développant tout cela à Dossier : Ransomwares et Cryptowares - Décrypteurs gratuits

Et vous avez un peu plus de 700 cryptowares énumérés avec ceux bénéficiant de décrypteurs gratuits à Liste - Cryptowares (crypto-ransomwares) et décrypteurs gratuits

Cordialement,
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24923
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: SynAck Ransomware/cryptoware

Messagede pierre » 01 Juil 2019, 07:33

viewtopic.php?p=178683#p178683

"Contributeur" banni

Merci Tourix
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24923
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Éditoriaux Actualités

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités