Type de ransomware

Faux Antivirus

Logiciel malveillant qui force les utilisateurs à acheter leurs faux logiciel anti-malware en montrant de faux résultats de scan du pc.


SMS (Short message service)

Ce type de demande incite à appeler un numéro et affiche aussi en permanence une page de ransomware à tous les utilisateurs jusqu’à ce qu’il paye la rançon.


Reveton

Ransomware qui affiche une page de notification informant l’utilisateur que celui-ci a été prit en commettant des choses illégales ou des activités malveillantes en ligne. Reveton emploi différentes méthodes de paiements.


Ce type de ransomware infecte le fichier user32.DLL et bloque l’écran de l’ordinateur infecté et donc bloque la possibilité de détection par les outils de monitoring. Ce fichier infecté va exécuter des codes qui termineront par charger le logiciel malveillant qui bloque l’ordinateur et affiche une image contenant un message de rançon.


Cryptolocker

Encrypte les fichiers au lieu de bloquer le système pour être sur que les personnes paieront malgré qu’ils ont supprimé le logiciel. Les message spams contiennent des pièces jointes, en téléchargeant ces dernières l’utilisateur télécharge également le logiciel malveillant.
CryptoLocker exploite Windows Powershell pour crypter les fichiers pour que les risques restent non-détectés sur le système ou le réseau.


CryptoDefense ou Cryptobit

Logiciel qui demande des paiements aux utilisateurs pour les services de déchiffrement. Ceci est facilement répandu via des disques amovibles (USB, par exemple) éliminant la nécessité de se baser sur un logiciel de téléchargement pour infecter le système. Ce malware ne crypte pas seulement les bases de données, site web, bureau, films, images, scripte, textes et autres fichiers non binaires mais supprime aussi les backup pour éviter la restauration des fichiers cryptés.


BitCrypt

Méthode plus raffinée qui incorpore des crypto-monnaies. Par exemple le vol de Bitcoin utilisant deux variantes, d’abord une note de rançon en anglais et la deuxième plurilingue.


CRIBIT

Logiciel qui force les paiements par Bitcoin pour le déchiffrement de fichiers.


FAREIT

Programme qui vol des informations de différents portefeuilles de crypto-monnaies contenant d’importantes informations, comme les archives de transactions, les préférences des utilisateurs et les comptes.


CRITONI ou Curve-Tor-Bitcoin (CTB)

Un logiciel de type Locker qui utilise le réseau Tor pour masquer les communications c&c (command and control) demandant une rançon via Bitcoin. La variante TorrentLocker ajoute des codes CAPTCHA et redirige l’utilisateur vers un faux site internet.


CROWTI ou Cryptowall

Utilise un code javascript malveillant pour bloquer le navigateur web et montre un message d’avertissement en surfant sur les sites infectés ou malveillants. Le message demande d'appeler un numéro de téléphone et de payer une somme d’argent pour réparer le problème.



MÉTHODE DE CHIFFREMENT

Il existe deux grandes méthodes de chiffrement, la première est le chiffrement symétrique qui consiste à s’échanger une unique clé pour chiffrer et déchiffrer, cette méthode est rapide mais peu sécurisée.
Et la seconde le chiffrement asymétrique,elle se base sur une paire de clé, une publique l’autre privée, la clé publique est partagée à tout le monde elle va servir à chiffrer le message, tandis que la clé privée ne doit pas être divulguée elle va servir à déchiffrer le message.
La combinaison de ces deux méthodes permet un échange sécurisé de clé commune, appelée clé de session, chiffrée grâce à une clé publique.
L’algorithme de chiffrement symétrique le plus utilisé pour les ransomware est l’algorithme de chiffrement par blocs, AES. Il fonctionne en chiffrant des blocs de la taille d’un byte, le message lui même est dispersé sur plusieurs blocs dépendant de la longueur. Les blocs non complets sont complétés avec un processus appelé le padding pour éviter que les données soient prévisibles.
Pour empêcher le déchiffrement sans payer, la clé de chiffrement subi un traitement bien spécifique. Pour comprendre comment cela fonctionne voici une image.


MÉTHODE DE CONTAMINATION (PHISHING ?)
(Exploiting failures?)

Les spams sont les méthodes les plus couramment utilisées pour déployer un ransomware, ils incitent la victime à télécharger une pièce jointe ou à clicker sur un lien. Ces faux e-mail essaient de copier une institution connue ou une connaissance pour gagner la confiance de la victime. Dans certains cas les ransomware essaient d’effrayer la victime en affirmant que leur pc à été utilisé pour des activités malveillantes et que certaines actions sont nécessaires, c’est en général à ce moment là que le ransomware va s’installer et commencer à chiffrer les données.
Une autre méthode assez répandue pour déployer un ransomware est les exploit kit ce sont des packs de softwares qui identifient et exploitent les vulnérabilités du système. Dans ce type d’attaque, le hacker installe du code sur un site légitime qui va rediriger le client vers un site dangereux à la différence des spams cette méthode ne requiert parfois pas d’autre action de la part de la victime.
Bien que ces méthodes nécessitent certaines compétences, il est possible de payer pour un “service ransomware”, ce type de service est hébergé sur le réseau tor.



Méthode de paiement de rançon

Une des méthodes les plus connues est le bitcoin car c’est le paiement qui est le plus anonyme.

" Une transaction est un transfert de valeur entre portefeuilles Bitcoin qui est incluse dans la chaine de blocs. Les portefeuilles Bitcoin conservent une information secrète appelée clé privée ou graine qui est utilisée pour signer les transactions, fournissant une preuve mathématique qu'elles proviennent du propriétaire de chaque portefeuille. La signature empêche également toute modification de la transaction après son émission. Toutes les transactions sont diffusées entre les utilisateurs et commencent habituellement à être confirmées par le réseau dans les 10 minutes suivantes par un procédé nommé minage. "

Il y a bien évidemment d’autres méthodes, notamment MoneyPak, Ukash et cashU.