Virus de type ransomware

Qu'est-ce qu'un ransomware ?

Les virus de type ransomware sont une catégorie de malware qui sabote les documents et les rend inutilisables. L'utilisateur conserve malgré tout l'accès à son ordinateur. Les attaquants qui utilisent des ransomwares forcent leurs victimes à payer la rançon via un moyen de paiement spécifique s'ils veulent récupérer l'accès aux données. Malheureusement, les outils de suppression ne permettent pas de déchiffrer les ransomwares.

Les ransomlockers sont un type de malware similaire qui empêche les utilisateurs d'accéder à leurs appareils ou données en verrouillant leur ordinateur. La victime reçoit un message qui peut sembler provenir des forces de l'ordre locales, exigeant le paiement d'une « amende » pour éviter une arrestation et permettre le déverrouillage de son ordinateur.

Types d'attaques de ransomware

La liste suivante de ransomwares n'est pas exhaustive, mais elle présente quelques exemples de ransomwares connus.

Petya

Petya est un ransomware de type cheval de Troie qui chiffre les fichiers sur l'ordinateur compromis. Similaire à WannaCry, Petya utilise l'exploit EternalBlue pour se propager. Cependant, il utilise également des techniques de propagation classiques via le protocole SMB, ce qui signifie qu'il peut se propager au sein des entreprises, même si elles ont installé des correctifs pour contrer l'exploit EternalBlue.

En savoir plus

WannaCry

WannaCry est bien plus dangereux que d'autres types de ransomware plus courants, du fait de sa capacité à se propager de lui-même sur le réseau d'une entreprise en exploitant une vulnérabilité critique sur les ordinateurs Windows, pour laquelle Microsoft a publié un correctif en mars 2017 (MS17-010). L'exploit, appelé « Eternal Blue », est apparu sur Internet en avril après une série de fuites de données dues au groupe Shadow Brokers, qui affirmait avoir volé des données du groupe de cyberespionnage Equation.

WannaCry recherche 176 types de fichier différents, les chiffre et y ajoute l'extension .WCRY. Il demande aux victimes de payer une rançon de 300 USD en bitcoins. Le message indique que le montant demandé doublera au bout de trois jours. Si le paiement n'est pas effectué dans un délai de sept jours, il annonce que les fichiers chiffrés seront supprimés. Cependant, Symantec n'a trouvé aucun code au sein du ransomware qui entraînerait la suppression de fichiers.

En savoir plus

Comment les produits Symantec vous protègent contre les ransomwares

Une défense en profondeur protégeant tous les points de contrôle est nécessaire pour neutraliser les ransomwares

Courrier électronique

Symantec Email Security.cloud, Symantec Messaging Gateway

  • Effectuent une analyse statique des indicateurs malveillants au sein des fichiers ou documents
  • Déclenchent les scripts potentiellement malveillants dans une sandbox avant la livraison de messages électroniques et les bloquent
    en cas de signes de comportements malveillants
  • Bloquent les liens malveillants grâce au suivi de lien en temps réel avant la livraison de messages électroniques et à l'analyse des liens à l'ouverture

Web

Solutions Symantec Secure Web Gateway1

  • Bloquent les sites malveillants, notamment les serveurs de chiffrement et C&C
  • Analysent les fichiers à la recherche de comportements suspects liés à des ransomwares d'URL inconnues à l'aide de flux de menaces multicouche en direct
  • Malware Analysis recherche les comportements spécifiques des ransomwares et déclenche les fichiers inconnus dans une sandbox avant la réception

Terminaux

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • La technologie Advanced Machine Learning détecte les malwares polymorphes
  • L'émulation décompresse les malwares évasifs tandis que l'analyse comportementale repère les actions des ransomwares
  • IPS bloque les tentatives de téléchargement de clés de chiffrement par des ransomwares
  • Isolent les terminaux lorsqu'un ransomware est détecté, pour éviter tout mouvement latéral
  • Recherchent la présence d'indicateurs de compromission de ransomware sur tous les terminaux

Charge de travail

Symantec Data Center Security: Server Advanced

  • Les règles IPS prêtes à l'emploi préviennent l'enregistrement ou l'exécution de fichiers exécutables de ransomware sur le système
  • Les clients n'utilisant pas de protections IPS complètes peuvent déployer des politiques pour bloquer les fichiers exécutables de malwares spécifiques
  • Des règles additionnelles peuvent être appliquées pour bloquer tout le trafic SMB entrant/sortant
  • Les ransomwares peuvent être bloqués en ajoutant des hachages d'exécutable aux listes globales de non-exécution

En savoir plus

Symantec Internet Security Threat Report 2018

Le ransomware passe du statut de niche lucrative à celui de marché de masse, avec une baisse des prix et une augmentation de 46 % du nombre de variantes.

Consulter le rapport

Blogs

WannaCry: Ransomware attacks show strong links to Lazarus group

Des similitudes dans le code et l'infrastructure indiquent un lien étroit avec le groupe lié aux attaques de Sony Pictures et de la Banque du Bangladesh.

An Integrated Defense Strategy to Fight Ransomware at Every Attack Point

Les solutions avancées de protection contre les ransomwares de Symantec offrent une défense intégrée sur TOUS les points de contrôle.

Data Center Security Server Advanced Stops WannaCry

Découvrez la protection offerte par Symantec contre le ransomware WannaCry.

WannaCry Ransomware: Top 10 Ways Symantec Incident Response Can Help

Découvrez comment le service Incident Response peut détecter, résoudre et repousser les attaques de ransomware.

WannaCry Ransomware: 6 Implications for the Insurance Industry

Cet article illustre les risques émergents auxquels l'industrie des assurances est confrontée en matière de cyberattaques.

Can files locked by WannaCry be decrypted: A technical analysis

Le ver du ransomware WannaCry fait les grands titres dans le monde entier depuis qu'il a commencé à se répandre.

What you need to know about the WannaCry Ransomware

Découvrez comment cette attaque de ransomware s'est propagée et comment protéger votre réseau contre des attaques similaires.

Symantec protège ses clients contre les ransomwares grâce à des systèmes de défense multicouches sur diverses gammes de produits, protégeant plusieurs cibles et vecteurs d'attaque, notamment le courrier électronique, le Web, les terminaux et les serveurs de centres de données. La technologie de détection des comportements SONAR vous protège également contre les infections de manière dynamique.

Terminaux : Symantec Endpoint Protection et Norton
Symantec Endpoint Protection (SEP) et Norton ont bloqué toutes les tentatives d'exploitation de la vulnérabilité utilisée par WannaCry depuis le 24 avril, avant l'apparition de WannaCry, grâce à plusieurs technologies. En fait, la fonction Advanced Machine Learning de SEP a, à elle seule, bloqué proactivement toutes les infections Zero Day de WannaCry, sans aucune mise à jour. Toutes les versions de SEP, y compris SEP 14, SEP Cloud et SEP Small Business Edition, sont dotées de ces protections automatiques contre WannaCry. Lisez la section Détails et recommandations ci-dessous pour obtenir plus d'informations.

Courrier électronique : Symantec Email Security.cloud et Symantec Messaging Gateway
Les produits Symantec Email Security.cloud et Symantec Messaging Gateway offrent une protection automatique contre WannaCry pour bloquer les attaques ciblant le courrier électronique.

Web : Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG) bloque l'accès aux sites web malveillants et aux téléchargements qui pourraient contenir des ransomwares. Les solutions SWG incluent ProxySG, WSS, GIN, Content Analysis, Malware Analysis, Security Analytics et SSLV.

Charge de travail : Symantec Data Center Security: Server Advanced
Les politiques de prévention d'intrusion de Symantec Data Center Security: Server Advanced (DCS:SA) bloquent WannaCry automatiquement. Les trois niveaux de politiques Symantec DCS:SA (protection basique, renforcement et mise sur liste blanche sous Windows 6.0 et versions ultérieures) empêchent le ransomware WannaCry de déposer des fichiers exécutables malveillants sur les systèmes. Les clients ne déployant pas de fonctionnalités complètes de prévention d'intrusion peuvent appliquer des politiques de prévention d'intrusion ciblées pour bloquer l'exécution de ransomwares.

Remarque : lisez le billet de blog Data Center Security Server sur les ransomwares pour obtenir des informations supplémentaires et des instructions.

Gestion des terminaux : Symantec IT Management Suite
Symantec IT Management Suite (ITMS) offre des correctifs de vulnérabilité et des mises à jour pour les terminaux et les serveurs de centres de données. La mise à jour de sécurité contenant le correctif de Microsoft Windows SMB Server (4013389), qui fournit une protection contre WannaCry, a été publiée par Microsoft en mars, et ITMS la prend en charge depuis cette date.

Remarque : ITMS 7.5 permettra de corriger les systèmes Windows 7/8.1. Une version 7.6 ou ultérieure d'ITMS est toutefois requise pour corriger les systèmes Windows 10.

Cyber Security Services : les clients peuvent profiter de Symantec Managed Security Services pour la surveillance des alertes concernant WannaCry et la détection de propagation de ransomware au sein de leur entreprise. Symantec propose également les services Incident Response Services, pour la préparation, la détection et l'intervention, à l'attention des victimes de WannaCry.

Consultez une présentation détaillée de la protection offerte par les produits Symantec contre WannaCry et d'autres ransomwares.

Détails et recommandations pour les clients Symantec Endpoint Protection et Norton

Symantec recommande à ses clients d'activer les technologies suivantes pour une protection proactive complète :

  • Prévention d'intrusion
  • Technologie de détection des comportements SONAR
  • Advanced Machine Learning

Remarque : les clients Symantec Endpoint Protection sont invités à migrer vers SEP 14 pour pouvoir profiter de la protection proactive fournie par Advanced Machine Learning.