UAC vous protège-t-il contre la conduite par des attaques logicielles malveillantes?

L’UAC, ou contrôle du compte d’utilisateur, est une fonctionnalité de sécurité Windows qui incite les utilisateurs à approuver certaines actions, y compris l’installation du logiciel. Bien que l’UAC ait été critiqué dans le passé, il est important de le maintenir, car plus de logiciels malveillants désactivent cet outil pour masquer leur présence sur des PC infectés.

1. Qu’est-ce que l’UAC et pourquoi est-ce important?
UAC est une fonctionnalité de sécurité Windows qui incite les utilisateurs à approuver certaines actions, telles que l’installation du logiciel. Il est important car il aide à défendre votre PC contre les pirates et les logiciels malveillants.
2. UAC était-il universellement détesté dans le passé?
Oui, l’UAC a été universellement détesté lorsqu’il a été introduit dans Vista. À la fois du point de vue de la convivialité et du point de vue de la sécurité, il n’a pas été bien accueilli par les utilisateurs.
3. Pourquoi Microsoft a-t-il minimisé l’UAC dans Windows 7?
Microsoft a minimisé l’UAC dans Windows 7 après avoir reçu des commentaires que les utilisateurs se sont agacés avec des invites fréquentes. Ils visaient à trouver un équilibre entre l’utilisabilité et la sécurité.
4. Comment les attaquants désactivent-ils l’UAC?
Les attaquants peuvent désactiver l’UAC en exploitant les vulnérabilités de “Elevation” de privilège “ou de tromper les utilisateurs pour cliquer sur” OK “sur les invites UAC. Cela peut être accompli par divers moyens.
5. Quelles variantes de logiciels malveillants peuvent éteindre UAC?
Certaines des menaces de logiciels malveillants les plus courantes, comme la famille du virus Sality, Alureon Rootkits, le Trojan bancaire de Bancos et les faux logiciels antivirus, ont des variantes qui peuvent désactiver l’UAC.
6. Quelle est la prévalence de l’UAC éteinte en raison de logiciels malveillants?
Près d’un PC sur quatre qui a signalé des détections de logiciels malveillants à Microsoft avait éteint UAC, soit en raison de bouffonneries de logiciels malveillants, soit d’une action utilisateur.
7. UAC a-t-il été sans problème sur le côté technique?
Non, l’UAC a eu sa part de problèmes techniques. Avant la version de Windows 7, un bogue a été découvert qui a permis aux pirates d’obtenir des droits d’accès complets en exploitant le code Microsoft pré-approuvé. Microsoft a par la suite abordé ce problème.
8. Les utilisateurs peuvent-ils activer ou désactiver l’UAC sur Windows Vista et Windows 7?
Oui, les utilisateurs peuvent allumer ou désactiver l’UAC dans Windows Vista et Windows 7. Les instructions pour le faire peuvent être trouvées dans le lien fourni.
9. Pourquoi les utilisateurs devraient-ils garder l’UAC allumé?
Les utilisateurs doivent garder l’UAC allumé car il ajoute une couche supplémentaire de protection contre les logiciels malveillants et les modifications non autorisées du système.
dix. UAC est-il une solution infaillible contre tous les types d’attaques de logiciels malveillants?
Alors que l’UAC offre une couche de sécurité supplémentaire, ce n’est pas une solution infaillible contre tous les types d’attaques de logiciels malveillants. Il est important d’utiliser d’autres mesures de sécurité, telles que les logiciels antivirus et les habitudes de navigation sûres, en conjonction avec l’UAC.
Dans l’ensemble, l’UAC est une caractéristique de sécurité importante dans Windows qui doit être maintenue pour protéger contre les attaques logicielles malveillantes. Il est crucial pour les utilisateurs de rester vigilants et de pratiquer des habitudes informatiques sûres pour améliorer leur sécurité globale.

UAC vous protège-t-il contre la conduite par des attaques logicielles malveillantes

Laisser’S Regardez le ransomware Erebus comme exemple:

Les logiciels malveillants éteignent l’UAC de Windows, prévient Microsoft

Microsoft cette semaine a exhorté les utilisateurs à garder une fonction de sécurité Windows souvent critiquée activée, même si elle a déclaré que plus de malwares désactivent l’outil.

Le contrôle du compte utilisateur (UAC) est la fonctionnalité qui a fait ses débuts dans Vista et révisée dans Windows 7 qui invite les utilisateurs à approuver certaines actions, y compris l’installation du logiciel.

L’UAC a été “universellement détesté” à Vista et a été une plainte majeure concernant le système d’exploitation infructueux, a déclaré un analyste de la sécurité de Gartner il y a plus de deux ans.

“Du point de vue de la convivialité, personne n’était heureux. Et du point de vue de la sécurité, personne n’était heureux non plus, car nous savions que les gens ont «la fatigue de clic» », a déclaré John Pescatore de Gartner dans les mois précédant le lancement de Windows 7.

Microsoft a pris à cœur les plaintes et a minimisé l’UAC dans Windows 7 après que ses données aient montré que les utilisateurs ont été irrités lorsqu’ils ont fait face à plus de deux de ces invites dans une session sur l’ordinateur.

Cette semaine, le Centre de protection contre les logiciels malveillants de Microsoft (MMPC) a déclaré que les logiciels malveillants éteignaient de plus en plus l’UAC comme un moyen de déguiser sa présence sur les PC infectés.

Pour désactiver l’UAC, le code d’attaque doit soit exploiter un bogue qui permet au pirate d’obtenir des droits administratifs – Microsoft appelle ces défauts “Privilege Elevation” Vulnérabilités – ou inciter l’utilisateur à cliquer sur “OK” sur une invite UAC.

Apparemment, aucun n’est difficile.

Certaines des menaces les plus communes actuellement en circulation – y compris la famille du virus Sality, Alureon Rootkits, le Trojan bancaire de Bancos et le faux logiciel antivirus – ont des variantes capables d’éteindre UAC, a déclaré Joe Faulhaber de l’équipe MMPC dans un article sur le blog du groupe.

Un ver, surnommé “Rorpian” par Microsoft, est particulièrement amoureux de la tactique anti-UAC: dans plus de 90% des cas impliquant Rorpian en une seule journée, MMPC a observé le ver désactivant l’UAC en exploitant une vulnérabilité des fenêtres de quatre ans de quatre ans.

Près d’un PC sur quatre qui a signalé des détections de logiciels malveillants à Microsoft avait éteint UAC, soit à cause de bouffonneries de logiciels malveillants, soit parce que l’utilisateur l’a éteint.

L’UAC n’a pas été sans problème du côté technique, non plus. Des mois avant les débuts de Windows 7, une paire de chercheurs a révélé un bogue dans la fonctionnalité que les pirates pourraient utiliser pour se reproduire sur le code Microsoft préapprové.

Bien que Microsoft ait initialement rejeté leurs rapports, cela a changé plus tard UAC.

Faulhaber a fourni un lien vers des instructions pour activer ou désactiver l’UAC sur Vista. Ils peuvent également être utilisés sur Windows 7, mais la dernière étape consiste à tirer le curseur pour “ne jamais en informer” pour désactiver l’UAC.

UAC

Gregg Keizer Couvre Microsoft, les problèmes de sécurité, Apple, les navigateurs Web et les nouvelles générales de la technologie pour la technologie pour Monde de l’ordinateur. Suivez Gregg sur Twitter à @gkeizer, sur Google+ ou abonnez-vous au flux RSS de GREGG . Son adresse e-mail est Gkeizer @ Computerworld.com.

  • Sécurité
  • Malware
  • les fenêtres
  • Microsoft
  • Petites et moyennes entreprises

Copyright © 2011 IDG Communications, Inc.

L’UAC vous protège-t-il contre “la conduite par” des attaques logicielles malveillantes?

Inscrivez-vous à un nouveau compte dans notre communauté. C’est facile!

S’identifier

Vous avez déjà un compte? Se connecter ici.

Plus d’options de partage.

Récemment en parcourant 0 membres

  • Aucun utilisateur enregistré affichant cette page.

Activité

Personnel

  • Dos
  • Personnel
  • MalwareBytes pour Windows
  • MalwareBytes pour Mac
  • MalwareBytes Privacy VPN
  • Gardien de navigateur MalwareBytes
  • Malwarebtyes adwcleaner
  • MalwareBytes pour Chromebook
  • MalwareBytes pour Android
  • MalwareBytes pour iOS

Entreprise

  • Dos
  • Entreprise
  • Protection des points de terminaison
  • Protection des points de terminaison pour les serveurs
  • Protection et réponse des points de terminaison
  • Détection et réponse des points de terminaison pour les serveurs
  • Réponse aux incidents
  • Sécurité des points finaux

Modules commerciaux

  • Dos
  • Modules commerciaux
  • Filtrage DNS
  • Vulnérabilité et gestion des patchs
  • Remédiation pour Crowdsstrike®

Les partenaires

Apprendre

Commencer ici

Type de logiciels malveillants / attaques

Comment ça va sur mon ordinateur?

Escroqueries et grif

Soutien

  • Dos
  • Soutien personnel
  • Soutien aux entreprises
  • Divulgation de vulnérabilité
  • Créer un nouveau.

Une information important

Ce site utilise des cookies – nous avons placé des cookies sur votre appareil pour aider à améliorer ce site Web. Vous pouvez ajuster les paramètres de vos cookies, sinon nous supposerons que vous êtes d’accord pour continuer.

Nouveau malware exploite le contrôle du compte utilisateur (UAC)

Selon Microsoft, la fonction de sécurité du contrôle des comptes d’utilisateurs (UAC) intégrée dans toute la version moderne de Windows OS est conçue pour aider à défendre votre PC contre les pirates et les logiciels malveillants. Chaque fois qu’un programme tente de modifier le PC, UAC informe l’utilisateur et demande la permission. Lorsque cela se produit, les utilisateurs peuvent autoriser les modifications, refuser les modifications ou cliquer sur un bouton qui affiche des détails supplémentaires sur le programme qui tente de modifier et quelles modifications spécifiques du programme tentent de faire. Malheureusement, beaucoup de gens choisissent simplement ‘Oui’ sans cliquer sur le ‘Afficher les détails’ bouton d’abord et c’est exactement ainsi qu’un nouveau logiciel malveillant de preuve de concept appelé Shameonuac trompe les victimes. Dans la plupart des cas, l’UAC fonctionne très bien. Il arrête souvent les menaces de logiciels malveillants potentiels en ne permettant pas. Bien sûr, comme la plupart des autres considérations de sécurité PC, l’utilisation efficace de l’UAC signifie que l’utilisateur doit savoir quand autoriser les modifications via l’invite d’escalade de privilège et quand refuser ces modifications (i.e. Lorsqu’un programme inconnu tente d’apporter des modifications via l’invite UAC).

Shameonuac a été développé par l’équipe Cylance Spear pendant que le groupe recherchait des moyens potentiels pour renverser les programmes pendant l’escalade des privilèges via UAC. Pour comprendre comment fonctionne ce malware, il est utile de comprendre le fonctionnement de l’UAC comme il était initialement prévu par Microsoft:

1. Un utilisateur demande à Windows Explorer de lancer un programme en utilisant des privilèges administratifs.
2. Étant donné que l’Explorer s’exécute sans privilèges d’administration, il demande que le service Appinfo lance le programme en tant qu’administrateur.
3. AppInfo, en termes, lance le consentement, ce qui incite l’utilisateur à confirmer le programme à l’aide d’une interface sécurisée
4. L’utilisateur est invité à sélectionner ‘Oui’ ou ‘Non’
5. Si oui, le consentement indique à AppInfo de lancer le programme avec les privilèges d’administration. Si non, l’accès est refusé et le programme n’est pas exécuté.

Une fois que les logiciels malveillants de Shameonuac ont été installés sur le PC, l’échange diffère car le shell Shameonuac dans Windows Explorer demande à Appinfo de lancer un programme légitime. La différence est que cette demande comprend également des commandes arbitraires qui pourraient effectuer un assortiment de tâches néfastes. La seule façon dont une victime potentielle peut faire la différence est de lire le ‘Afficher les détails” bouton lorsque l’invite UAC apparaît. C’est-à-dire, bien sûr, si l’utilisateur comprend réellement les commandes Rogue qui ont été ajoutées à la demande d’un programme légitime réalisé par ShameonUac.
Selon Microsoft, le service AppInfo a été conçu pour faciliter l’exécution des applications avec les privilèges d’administration. En d’autres termes, lorsqu’un programme a besoin de privilèges administratifs pour fonctionner, AppInfo déclenche l’invite UAC qui demande aux utilisateurs s’ils souhaitent que le programme apporte des modifications ou non. Cylance conçue UAC pour cibler CMD.exe (invite de commande Windows) et regedit.EXE (Windows Registry Editor), mais Derek Soeder – un chercheur pour Cylance – déclare que “Plus d’objectifs sont sûrement possibles.”
Lorsqu’il s’agit d’exploiter l’invite de commande Windows, ShameOnUac garantit que l’utilisateur reçoit toujours l’invite de commande d’administration attendu une fois ‘Oui” est cliqué sur l’invite UAC. La différence est que le malware est autorisé à exécuter une commande de sa propre première… avec les privilèges d’administration.

Échantillon de contrôle du compte utilisateur 1

Shameonuac fonctionne légèrement différemment en ce qui concerne l’exploitation de regedit.exe. Dans ce cas, le malware force Regedit.exe pour installer un séparé .Fichier Reg avant d’appeler sur appinfo. Il en résulte une deuxième demande d’élévation [cachée]. Selon Soeder, cette demande supplémentaire amène AppInfo à exécuter une instance distincte du consentement.processus exe. Cette instance, cependant, fonctionne en tant que système; en d’autres termes, avec les privilèges administratifs. Cela permet à la bibliothèque Shameonuac d’exécuter avant d’inciter l’utilisateur. La bibliothèque de logiciels malveillants modifie ensuite les paramètres envoyés au ‘voyou’ consentement.Instance EXE – à son tour en supprimant l’invite de consentement. Bien que l’utilisateur voit toujours la fenêtre de l’éditeur de registre, ShameOnUac a déjà exécuté des commandes avec des privilèges système. Cela signifie que le malware a déjà fait ses dégâts sans avoir besoin pour l’utilisateur de cliquer réellement ‘Oui’ sur l’invite UAC (car à ce moment-là, les logiciels malveillants ont déjà exécuté un code malveillant avec les privilèges d’administration).
Ce qui rend cette itération malveillante si dangereuse, c’est qu’il n’y a aucun moyen d’atténuer la menace de devenir victime de cet exploit parce que Shameonuac n’est pas’t une vulnérabilité, il’s une fonctionnalité. En tant que tel, c’est’Il est peu probable qu’un patch soit mis à disposition à tout moment dans un avenir proche; à moins que Microsoft ne réinvente complètement la façon dont il implémente UAC au niveau administratif.

Échantillon de contrôle du compte utilisateur 2

Cette menace est également préoccupante car elle démontre que les utilisateurs pourraient élever involontairement les logiciels malveillants d’un simple dangereux à “jeu terminé”, Selon Soeder. Dans tous les cas, les informations qui alerteraient un utilisateur de la menace sont disponibles si seuls les utilisateurs prenaient l’habitude de vérifier le ‘Afficher les détails’ boîte pour toute demande d’élévation UAC. Bien que Shameonuac soit une menace de logiciels malveillante de preuve de concept qui a eu’Ce n’est pas encore vu dans la nature, le fait que les chercheurs en sécurité de Cylance ont publié un rapport détaillé sur leurs résultats signifient que Shameonuac pourrait être mis en œuvre dans une dangereuse campagne de logiciels malveillants dans un avenir proche. La seule façon de vous protéger de Shameonuac ou de toute autre menace de malware qui exploite le service UAC est de bien examiner les détails de toute demande d’escalade de privilège qui apparaît. S’il y a des commandes qui’T semble familier ou si l’invite demande la permission d’exécuter un programme légitime que vous avez’t ouverts explicitement, il y a de fortes chances que cette vulnérabilité soit exploitée sous vos yeux. Refuser toujours toute demande d’escalade du privilège UAC qui semble suspecte car la baisse de la demande pourrait être la chose même qui protège votre PC contre l’exploitation encore inconnue à la suite de cette vulnérabilité inhérente à Windows.

A propos de l’auteur:

Karolis liucveikis

Karolis liucveikis – ingénieur logiciel expérimenté, passionné par l’analyse comportementale des applications malveillantes.

Auteur et opérateur général de la section “Guides de suppression” de PCRIK. Co-chercheur travaillant aux côtés de Tomas pour découvrir les dernières menaces et tendances mondiales dans le monde de la cybersécurité. Karolis a une expérience de plus de cinq ans de travail dans cette branche. Il a fréquenté l’Université KTU et a obtenu un diplôme en développement de logiciels en 2017. Extrêmement passionné par les aspects techniques et le comportement de diverses applications malveillantes. Contactez Karolis Liucveikis.

Le portail de sécurité PCrisk est apporté par une société RCS LT. Les chercheurs de sécurité joints aident à éduquer les utilisateurs d’ordinateurs sur les dernières menaces de sécurité en ligne. Plus d’informations sur la société RCS LT.

Nos guides de suppression de logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

À propos de Pcrisk

Pcrisk est un portail de cybersécurité, informant les internautes des dernières menaces numériques. Notre contenu est fourni par experts en sécurité et professionnel chercheurs de logiciels malveillants. En savoir plus sur nous.

Nouveaux guides de retrait

  • Allhypefeed.publicités com
  • Adware ElitemaxiMus (Mac)
  • Sous-marin.com redirection
  • ViewPointTools Adware (Mac)
  • My Notes Extension Browser Brijacker
  • Trunapol.xyz publicités

Activité malveillante

Niveau d’activité mondial des logiciels malveillants aujourd’hui:

Activité de menace moyenne

Augmentation du taux d’attaque des infections détectées au cours des dernières 24 heures.

Élimination du virus et des logiciels malveillants

Cette page fournit des informations sur la façon d’éviter les infections par des logiciels malveillants ou des virus et est utile si votre système souffre de logiciels espions courants et d’attaques de logiciels malveillants.

Guides de retrait supérieur

  • Mr Beast Giveaway Pop-up Scam
  • Hacker professionnel a réussi à pirater votre arnaque par e-mail du système d’exploitation
  • Geek Squad Email Scam
  • Nous avons piraté votre arnaque par e-mail de votre site Web
  • Hacker qui a accès à votre arnaque par e-mail du système d’exploitation
  • * Va endommager votre ordinateur. Tu devrais le déplacer vers la poubelle. Pop-up (Mac)

Spotlight sur les ransomwares: comment fonctionne le ransomware partie 1

how-ransomware-work-blog-banner

Obfuscated v Code source non obstrué

Cette méthode est encore plus facile par l’utilisation du logiciel d’obscurcissement automatique. Ce logiciel modifie automatiquement les données de fichier de différentes manières, ce qui n’est pas le cas’T ressembler beaucoup à l’original. Cependant, le fichier peut toujours exécuter parfaitement.

Rapide définition: L’obscurcissement est un processus par lequel le ransomware modifie les données de fichiers de diverses manières, ce qui n’est pas’T ressembler au code source d’origine. Cela cache le véritable objectif du fichier tout en permettant au fichier d’exécuter.

Une fois que le fichier obscurci a commencé à s’exécuter dans votre système, le ransomware se déballera dans la mémoire.

Étant donné que les obscurcisseurs peuvent être appliqués plusieurs fois dans de nombreuses couches, le déballage peut même se produire à plusieurs reprises, selon les configurations utilisées. Une façon dont ce déballage fonctionne est par l’injection de code effectuée dans un processus nouvellement créé.

Contournement de l’UAC

Le contrôle du compte d’utilisateur (UAC) est une mesure de sécurité que Microsoft a initialement introduit avec Windows Vista. Basé sur ‘le principe du moindre privilège,’ Windows par défaut limite toutes les applications sur votre ordinateur à des privilèges utilisateur standard. Si une application demande des privilèges plus élevés, vous verrez la fenêtre contextuelle ci-dessous apparaître sur votre ordinateur, exigeant qu’un utilisateur ayant des droits d’administration confirme afin de continuer.

Notification UAC

Notification pop-up UAC

Ceci est la partie effrayante de la façon dont le ransomware fonctionne dans ce scénario particulier: avec le contournement de l’UAC, les ransomwares peuvent empêcher cette fenêtre contextuelle. Avec UAC, le ransomware de contournement fonctionne à des privilèges plus élevés, ce qui lui permet d’apporter des modifications à votre système et d’interagir avec d’autres programmes sans que vous ne réalisiez même.

Mais comment ça fait exactement?

Laisser’S Regardez le ransomware Erebus comme exemple:

Comme exploré en profondeur par Matt Nelsen, Erebus se copie dans un fichier nommé au hasard dans le même dossier que l’UAC. Ensuite, il modifie le registre Windows afin de détourner l’association pour le .Extension de fichier MSC. Cela signifie essentiellement qu’il lancera le fichier exécuté Erebus nom aléatoire (.exe) au lieu d’inviter la fenêtre des autorisations UAC.

Erebus incite votre ordinateur à ouvrir le fichier Erebus au niveau des autorisations les plus élevés sur votre ordinateur. Cela signifie que tout se produit en arrière-plan sans vous alerter ni vous demander d’approuver le lancement de l’application.

Au fur et à mesure que la visionneuse d’événements s’exécute dans le même mode élevé (niveau d’administration), le fichier exécutable Erebus lancé (.exe) sera également lancé avec les mêmes privilèges. Cela lui permet de contourner complètement le contrôle des comptes d’utilisateurs.

Définition rapide: Le contournement du contrôle des comptes d’utilisateurs (UAC) est un processus par lequel les logiciels malveillants peuvent élever ses propres privilèges au niveau de l’administration sans votre approbation, ce qui lui permet d’apporter des modifications à votre système, comme le cryptage de tous vos fichiers.

how-ransomware-works-uac-bypass

Mais comment un pontage UAC évite-t-il la détection?

Alors que les ransomwares utilisant l’injection de processus tentent d’éviter la détection grâce à l’utilisation de la technologie d’obscuscations, la dernière technique de contournement UAC diffère dans son approche. Le chercheur en sécurité Matt Nelson explique comment sur son blog et résumé ci-dessous:

  1. La plupart (sinon la totalité) des techniques précédentes de contournement UAC ont nécessité la suppression d’un fichier (généralement une bibliothèque dynamique-link, ou, DLL) dans le système de fichiers. Cela augmente le risque qu’un attaquant soit pris dans la loi ou plus tard lorsqu’un système infecté est étudié – en particulier si son code source n’est pas obscurci comme expliqué ci-dessus. Puisque la technique de contournement UAC ne fait pas’T Débaissez un fichier traditionnel, ce risque supplémentaire pour l’attaquant est atténué.
  2. Cette technique de contournement UAC ne nécessite aucune injection de processus telle que la technique typique de l’obscuscations et d’injection de processus. Cela signifie que l’attaque a gagné’t Soyez signalé par des solutions de sécurité qui surveillent ce type de comportement. (Remarque: les solutions Emsisoft surveillent ce type de comportement. Vous pouvez en savoir plus sur notre technologie de bloqueur de comportement ici.)

Fondamentalement, cette méthode réduit considérablement le risque à l’attaquant car il peut obtenir des droits d’administration sans risquer à l’utilisateur de dire non. Tandis que le principe d’un contournement UAC est’t Nouveau, il gagne du terrain et est désormais une caractéristique commune pour un ransomware à inclure. Deux exemples de logiciels malveillants qui l’ont utilisé sont le ransomware Erebus (discuté ci-dessus) et le Trojan bancaire Dridex, ont adopté cette méthode et circule depuis début 2017.

Établir la persistance: le ransomware se rend confortable

Parfois, le ransomware tentera de rester dans votre système aussi longtemps que possible en créant ce qu’on appelle la persistance. Cela garantit que le ransomware restera sur le système, continue de crypter de nouveaux fichiers lorsqu’ils sont copiés et même infecter les nouvelles victimes en se propageant à d’autres disques.

Il existe de nombreuses façons différentes dont les ransomwares peuvent atteindre la persistance. Ci-dessous, nous soulignons les plus courants:

Plantation de clés de course

Les clés d’exécution sont situées dans le registre, donc chaque fois qu’un utilisateur se connecte, des programmes qui sont répertoriés, il y a une exécution. Ceux-ci ne s’exécutent pas en mode sans échec à moins d’être préfixés par un astérisque, ce qui signifie que le programme fonctionnera en mode normal et sûr. Si vous avez des ransomwares persistants qui semblent continuer à revenir encore et encore, peu importe combien de fois vous pensez que vous’Ve l’a tué, cela pourrait être votre problème.

how-ransomware-works-runkey

Exemple d’exécution de la clé

Un tel exemple est le ransomware JavaScript RAA, qui est apparu en 2016.

Planifier une tâche

Les tâches planifiées sont une autre méthode que nous avons vue utiliser les ransomwares, ce qui permet une plus grande flexibilité lorsqu’un programme devrait s’exécuter. Par exemple, vous pouvez définir un programme pour exécuter toutes les 30 minutes, ce qui signifie que vous voyez le même logiciel malveillant au démarrage et toutes les 30 minutes après. Certaines variantes de ransomwares, telles que CTB Locker ou Crylocker, sont connues pour utiliser cette technique.

how-ransomware-works-task-schedule

Écran du calendrier des tâches

Intégrer un raccourci

Si un raccourci vers le fichier malware ou une copie du fichier malware est situé dans le dossier de démarrage, il sera exécuté lorsque l’ordinateur bottait.

how-ransomware-work-startup-folder

Une utilisation plus sophistiquée des raccourcis a récemment été observée dans des ransomwares tels que Spora. Empruntant les caractéristiques d’un ver, le ransomware définira le ‘caché’ Attribut aux fichiers et dossiers à la racine de tous les disques. Il créera ensuite des raccourcis (.lnk) avec les mêmes noms que les cachés et supprimer le symbole de flèche associé dans le registre qui indique généralement une icône de raccourci. Le raccourci lui-même contiendra les arguments pour ouvrir le fichier ou le dossier d’origine ainsi que le fichier de ransomware, garantissant que le système reste inutilisable jusqu’à ce qu’il soit désinfecté.

Serveurs de commande et de contrôle: appeler à la maison

Nous avons vu comment les ransomwares se dirigent vers votre système. Une fois que le ransomware a établi une prise ferme, la plupart d’entre elles communiqueront avec un serveur de commande et de contrôle (également connu sous le nom de C2) à partir de votre ordinateur à diverses fins.

Habituellement, ils utiliseront des domaines à code dur ou des adresses IP, mais peuvent également être hébergés sur des sites Web piratés. Prenez le ransomware Nemucod par exemple. Cette famille malveillante pirate des sites Web, ajoute un dossier au FTP (généralement nommé compteur) et utilise ce site comme site Web pour héberger non seulement les logiciels malveillants qui sont téléchargés pour infecter les victimes (laisse tomber leur propre ransomware faible, et le Trojan bancaire Kovter en général), mais héberge également le rythme “portail de paiement”, où la victime va alors obtenir le décrypteur si elle choisit de payer.

Alternativement, un algorithme de génération de domaine (DGA) est utilisé. Une DGA est un morceau de code dans le ransomware qui générera et contactera de nombreux domaines. L’auteur malware saura dans lequel ces domaines sont susceptibles d’être générés et de choisir l’un d’eux pour s’inscrire. L’avantage de la DGA sur les domaines à code dur est qu’il est difficile de supprimer tous les domaines à la fois, donc il y a souvent quelque part pour le ransomware et les pages de paiement de rançon à héberger.

Une fois la connexion établie, le ransomware peut envoyer des informations sur votre système au serveur, y compris;

  • le système d’exploitation que vous utilisez,
  • Nom de votre ordinateur,
  • ton nom d’utilisateur,
  • le pays dans lequel vous êtes situé,
  • Votre ID utilisateur,
  • Une adresse Bitcoin générée,
  • La clé de chiffrement (si elle est générée par le malware).

Inversement, le serveur C2 peut renvoyer des informations aux ransomwares, tels que la clé de chiffrement générée par le serveur à utiliser pour crypter vos fichiers, une adresse Bitcoin générée où vous serez demandé de payer la rançon, un ID utilisateur pour accéder à l’URL du portail et du site de paiement (URL du site de paiement (URL du site de paiement (Remarque: nous couvrirons cet aspect dans un prochain article de cette série).

Dans certains cas, le C2 peut également demander au ransomware de télécharger d’autres logiciels malveillants une fois qu’il aura terminé le cryptage ou de faire des copies de vos fichiers à utiliser pour vous faire chanter pour plus d’argent à l’avenir.

Supprimer des copies d’ombre: pas de retour en arrière (UP)

La dernière étape d’un ransomware’La prise de contrôle de votre système avant le début du cryptage est généralement la suppression de toutes les copies d’ombre (ou copies de sauvegarde automatique) de vos fichiers. Cela empêche les victimes de revenir aux versions non cryptées et d’éviter de payer la rançon.

Volume Shadow Copy Service (VSS), qui a été initialement inclus dans Windows XP Security Pack 2, est un ensemble d’interfaces qui peuvent être définies pour créer automatiquement “sauvegarde” de fichiers, même lorsqu’ils sont utilisés.

Ces sauvegardes sont généralement créées lorsqu’une sauvegarde Windows ou un point de restauration du système est créé. Ils vous permettent de restaurer des fichiers aux versions précédentes.

how-ransomare-works-delete-shadow-cope

Suppression de copies d’ombre

C’est quelque chose que le ransomware ne veut pas.

Il en résulte que les ransomwares suppriment généralement les instantanés à l’aide de la commande vssadmin.exe supprimer les ombres / tout / silencieux, Et il le fera sans aucune invite avertissant l’utilisateur. Pour ce faire, il a besoin d’autorisations administratrices et est une autre raison pour laquelle les ransomwares voudraient utiliser une contournement UAC.

Conclusion

Comme vous pouvez le voir, il existe différentes façons dont le ransomware saisit votre système et toutes sortes de modifications qu’il peut apporter pour le rendre inutilisable. De l’obtention des droits de l’administration ou des contourner complètement, de l’établissement de la persistance en modifiant les entrées de registre et en configurant les raccourcis, en communication avec un serveur de commande et de contrôle: le fonctionnement du ransomware est de plus en plus sophistiqué de jour.

Maintenant que vous comprenez comment le ransomware envahit votre système, préparez-vous à plonger dans la prochaine étape de l’attaque: cryptage de vos fichiers. Restez à l’écoute pour le prochain article de notre série dans les semaines à venir!

Un grand merci au logiciel anti-antimalware Emsisoft pour cet article. Contactez SWC pour vos produits Emsisoft.

Bienvenue à South West Computable!

South West Computable est le fournisseur de confiance premium de support technique, de matériel, de logiciels et de services informatiques, aux affaires, à l’éducation, aux industries primaires et aux maisons dans toute la région depuis 1994.

Nous fournissons les normes les plus élevées de ventes, de services et de soutien professionnels, expérimentés, amicaux et locaux pour tous vos besoins informatiques.

Nous offrons des solutions Windows et Apple.

Nouvelles

  • Cinq conseils pour garder les mots de passe en sécurité
  • Accédez aux factures sur Mac Mail
  • Temps d’impôt 2021
  • Le patron de la technologie descend après 27 ans de commerce local
  • Vous protéger des infections de logiciels malveillants en 2021
  • Nous’Riring – avez-vous ce qu’il faut?