Identification des ransomwares
Comment identifier un groupe de ransomware ?
Comment identifier le groupe de ransomware ?
Lors d’une attaque par ransomware, les cybercriminels déposent habituellement une note de rançon au format texte en anglais, indiquant la marche à suivre pour décrypter les données.
Readme.TXT
“We are the XXX.
Your company Servers are locked and Data has been taken to our servers. This is serious.
Good news:
- your server system and data will be restored by our Decryption Tool;
- for now, your data is secured and safely stored on our server;
- nobody in the world is aware about the data leak from your company except you and XXX team”
Si le groupe de hackers n’est pas indiqué, vous pouvez utiliser une plateforme spécialisée pour l’identifier. Il suffit d’y envoyer le fichier TXT.
Si vous êtes infecté par un ransomware, voici quelques signes qui peuvent vous alerter :
- Modification des extensions de fichiers : Les ransomwares chiffrent généralement vos fichiers et modifient leur extension. Par exemple, un fichier nommé "photo.jpg" pourrait être renommé en "photo.jpg.locky".
- Augmentation de l'activité du processeur : Les ransomwares peuvent provoquer une augmentation de l'activité du processeur lorsqu'ils chiffrent vos fichiers.
- Activité douteuse sur votre ordinateur : Si votre ordinateur se comporte de manière inhabituelle, par exemple si des programmes se ferment d'eux-mêmes ou si votre système est plus lent que d'habitude, cela pourrait être le signe d'une infection par un ransomware.
- Demandes de rançon : Les ransomwares affichent généralement une demande de rançon sur votre écran une fois que vos fichiers ont été chiffrés. Cette demande peut prendre la forme d'une fenêtre contextuelle ou d'un fichier texte déposé dans vos dossiers.
Notez quand même que bien que ces signes peuvent indiquer une infection par un ransomware, ils peuvent également être le résultat d’autres problèmes informatiques. Si vous soupçonnez une infection par un ransomware, Nous vous recommandons de nous contacter
Les ransom notes : la demande de rançon des cybercriminels
Lorsque votre ordinateur ou votre réseau est victime d’une attaque de ransomware, vous vous retrouvez souvent face à un message énigmatique : la ransom note. Ce texte, souvent rédigé dans plusieurs langues, est une véritable carte de visite du cybercriminel. Il vous informe que vos fichiers ont été chiffrés et que vous devez payer une rançon pour les récupérer.
À quoi ressemble une ransom note ?
Les ransom notes peuvent prendre différentes formes, mais elles contiennent généralement les éléments suivants :
- Un titre accrocheur : pour attirer votre attention et vous mettre en état d’alerte.
- Une explication claire (ou pas) : les cybercriminels expliquent, de manière plus ou moins détaillée, comment vos fichiers ont été chiffrés et pourquoi vous devez payer.
- Le montant de la rançon : souvent exprimé en cryptomonnaie (Bitcoin, Ethereum…) pour garantir l’anonymat du paiement.
- Un délai : les cybercriminels vous fixent un délai pour payer la rançon, au-delà duquel le montant peut augmenter ou les fichiers être définitivement perdus.
- Des instructions : ils vous indiquent comment entrer en contact avec eux pour effectuer le paiement.
Pourquoi les cybercriminels utilisent-ils des ransom notes ?
Les ransom notes ont plusieurs objectifs :
- Informer la victime : les cybercriminels veulent que vous sachiez que vos fichiers sont compromis et que vous devez agir.
- Créer de la pression : en fixant un délai et en menaçant de supprimer les fichiers, ils espèrent vous inciter à payer rapidement.
- Obtenir de l’argent : bien sûr, leur but ultime est de vous extorquer de l’argent.