Ce que vous devez savoir sur Chaos, le nouveau ransomware dangereux
Le terme malware (un portemanteau des mots « malveillant » et « logiciel ») est utilisé pour décrire tout logiciel nuisible conçu intentionnellement pour endommager ou détruire un appareil électronique.
Votre ordinateur a presque certainement dû combattre des logiciels malveillants à un moment donné — peut-être un virus, un cheval de Troie ou un ver — mais avez-vous déjà rencontré un ransomware ?
Si c'est le cas, vous savez à quel point cela peut être dangereux. Si ce n'est pas le cas, eh bien, c'est possible, car les attaques de ransomwares sont en augmentation.
Qu'est-ce qu'un ransomware ?
Comme son nom l'indique, le ransomware décrit une attaque qui verrouille les données sur un appareil et exige le paiement d'une rançon pour le déverrouiller.
Il existe d'innombrables souches de ransomwares, mais ce type de logiciels malveillants se divise principalement en deux catégories : les ransomwares basés sur le cryptage et les scarewares.
Un ransomware standard basé sur le cryptage fonctionne en verrouillant la victime hors de ses fichiers.
Les scarewares sont plus sophistiqués et utilisent des techniques d'ingénierie sociale, telles que l'usurpation d'identité d'une entité légitime (par exemple, un gouvernement, une société antivirus) pour amener la victime à payer une amende ou à acheter un logiciel indésirable.
Qu'est-ce que le Chaos Ransomware ?
Depuis juin 2021, les chercheurs de Trend Micro surveillent Chaos, un constructeur de ransomware en développement qui est proposé sur des forums de hackers clandestins, où il est annoncé comme une nouvelle version de Ryuk, que le FBI a décrit comme le ransomware le plus rentable de l'histoire. .
Le chaos ne semble pas être aussi dangereux et efficace que Ryuk, mais cela ne veut pas dire qu'il ne le sera pas à un moment donné. En fait, selon Monte de Jesus et Don Ovid Ladores de Trend Micro, il a connu une évolution rapide ces derniers mois.
La version 1.0, sortie le 9 juin 2021, ressemblait plus à un cheval de Troie qu'à un ransomware, car elle détruisait les fichiers au lieu de les chiffrer.
La version 2.0 légèrement plus sophistiquée, sortie le 17 juin, avait la possibilité de désactiver le mode de récupération Windows et les options avancées pour les privilèges d'administrateur. Pourtant, il a écrasé les fichiers au lieu de les crypter, ce qui n'incite pas les victimes à payer la rançon.
Sortie le 5 juillet, la version 3.0 était livrée avec son propre constructeur de décrypteur et avait la capacité de crypter des fichiers de moins de 1 Mo.
La version 4.0, qui a été publiée le 5 août, a augmenté la limite supérieure de fichiers pouvant être cryptés à 2 Mo et a donné aux utilisateurs du créateur de ransomware plus d'options, telles que la possibilité de modifier les fonds d'écran de leurs victimes.
Chaque itération laisserait tomber la note de rançon suivante, avec une adresse de portefeuille Bitcoin en bas.
"Tous vos fichiers ont été cryptés. Votre ordinateur a été infecté par un virus ransomware. Vos fichiers ont été cryptés et vous ne pourrez pas les décrypter sans notre aide. Que puis-je faire pour récupérer mes fichiers ? Vous pouvez acheter notre logiciel de décryptage spécial, ce logiciel vous permettra de récupérer toutes vos données et de supprimer le ransomware de votre ordinateur. Le prix du logiciel est de 1 500 $. Le paiement peut être effectué en Bitcoin uniquement.
Bien que "loin d'être un produit fini", le chaos pourrait causer de gros dégâts "aux mains d'un acteur malveillant qui a accès à l'infrastructure de distribution et de déploiement de logiciels malveillants", selon Trend Micro.
Alors, comment supprimer Chaos ou un ransomware similaire ?
Comment supprimer Chaos Ransomware
Ne faites jamais confiance aux cybercriminels : ils ne sont pas incités à déverrouiller vos fichiers même si vous payez la rançon.
Si vous souhaitez supprimer vous-même le ransomware, voici comment procéder.
Se déconnecter d'Internet
Vous devez d'abord isoler l'appareil infecté afin d'empêcher le ransomware d'infecter d'autres appareils sur votre réseau.
Si votre PC est connecté à Internet via Ethernet, débranchez immédiatement le câble Ethernet .
Si vous êtes connecté via un réseau sans fil, vous devez désactiver votre Wi-Fi. Il y a plusieurs moyens de le faire.
La solution la plus rapide serait d'activer le mode Avion, ce que vous pouvez faire en accédant à Paramètres > Réseau et Internet .
Cliquez sur Mode avion sur la page Réseau et Internet , puis utilisez le bouton bascule en haut pour activer le mode Avion .
Débranchez tous les périphériques de stockage externes
Ensuite, débranchez tous les périphériques de stockage externes (disques durs portables, clés USB, etc.) pour empêcher le ransomware de les infiltrer, mais ne vous contentez pas de les débrancher manuellement.
Accédez à Ce PC , cliquez avec le bouton droit sur chaque appareil connecté, sélectionnez Éjecter , puis débranchez les appareils manuellement.
Vous devez également vous déconnecter de vos comptes de stockage cloud (Microsoft OneDrive, Google Drive, Dropbox, Amazon Drive, etc.) pour empêcher le ransomware de corrompre ou de chiffrer vos données cloud.
Identifier le ransomware
À l'aide d'un autre appareil, accédez à Internet et recherchez des indices en ligne. Par exemple, vous pouvez taper le message de rançon, rechercher des adresses de portefeuille crypto ou envoyer des e-mails au ransomware fourni.
Si rien ne se présente, rendez-vous sur ID Ransomware . Ici, vous pouvez entrer toutes les adresses e-mail que le ransomware vous donne pour le contact. ID Ransomware identifiera ensuite le malware et fournira des détails supplémentaires à son sujet.
Exécution du décryptage
Une fois que vous avez identifié le ransomware, vous pouvez essayer de décrypter vos fichiers. Visitez le site Web du No More Ransom Project et cliquez sur Outils de décryptage dans le coin supérieur droit.
Entrez le nom du ransomware identifié dans la barre de recherche.
S'il existe des décrypteurs disponibles, cet outil vous fournira un guide détaillé sur la façon de supprimer le ransomware qui a infiltré votre ordinateur et de déverrouiller ou de récupérer les fichiers cryptés.
Le chaos n'a pas encore été relâché dans la nature, donc, naturellement, il n'y a pas de décrypteurs. Pour illustrer le fonctionnement de ce site, nous allons taper "Jigsaw" dans la barre de recherche.
Jigsaw est un logiciel malveillant de cryptage créé en 2016, il est donc prudent de supposer qu'il a infecté des milliers d'ordinateurs.
Comme vous pouvez le voir ci-dessous, le site propose plusieurs décrypteurs et guides pratiques.
S'il n'y a pas de décrypteurs disponibles pour le ransomware qui a infecté votre ordinateur, votre meilleur pari est de contacter un professionnel de l'informatique.
La sauvegarde de vos données est essentielle
En 2019, les chercheurs en cybersécurité ont prédit que le coût des dommages mondiaux causés par les ransomwares pour 2021 serait d'environ 20 milliards de dollars. Nous verrons si leurs prédictions se réalisent, mais il y a déjà eu des attaques massives de ransomware cette année.
Par exemple, en mai, l'entreprise de transformation de viande JBS Foods a payé une rançon de 11 millions de dollars après avoir été attaquée. Le même mois, le réseau d'oléoducs américain Colonial Pipeline a payé 5 millions de dollars de rançon après avoir été attaqué par le groupe de piratage DarkSide.
Peu importe à quel point vous êtes prudent, des infections par ransomware peuvent se produire, c'est pourquoi il est préférable de prendre des mesures préventives à temps. Si vous souhaitez protéger des données importantes, sauvegardez-les.
Les périphériques de stockage externes sont toujours une option. Si ce n'est pas pour vous, vous pouvez toujours utiliser un service cloud pour stocker et sauvegarder vos données.