Locky, Cryptowall, Cerber, TeslaCrypt ou encore Jigsaw, tous ces ransomwares tentent de chiffrer au plus vite autant de fichiers que possible sur une machine prise pour cible dans le but d'exiger par la suite une rançon avec l'espoir - incertain - de pouvoir les récupérer.
Spécialiste de la surveillance des menaces de sécurité, Cybereason indique avoir identifié le comportement typique d'un ransomware et propose un anti-ransomware gratuit pour Windows qui détecte et bloque les ransomwares issus de plus d'une quarantaine de souches.
Cela comprend les tentatives d'attaque sur les disques locaux mais également le chiffrement à travers des lecteurs réseau partagés. Par défaut, RansomFree interrompt toute activité suspecte, même s'il s'agit d'un chiffrement qui peut émaner d'un logiciel légitime mais dont la méthode est similaire à celle empruntée par un ransomware.
Bleeping Computer a testé l'application avec succès pour stopper les dernières versions de Locky, Cerber et Globe, mais ne se prononce toutefois pas concernant la détection comportementale comme décrite par Cybereason.
RansomFree agit comme un pot de miel (honeypot) en créant des dossiers avec des noms aléatoires commençant avec des caractères tels que ~ ou !. Compte tenu du positionnement de ces caractères dans la table ASCII, ces dossiers seront les premiers analysés par un ransomware.
" RansomFree surveille ces fichiers (ndlr : les fichiers contenus dans les dossiers qui servent d'appât), et chaque fois qu'ils changent, il détecte le processus d'origine et le met en pause. RansomFree affiche également un message demandant à l'utilisateur s'il veut arrêter le processus source ou l'autoriser ", écrit Bleeping Computer en ajoutant qu'un inconvénient de l'application est qu'elle a besoin d'un court laps de temps pour détecter le début d'opérations de chiffrement.
Rappelons qu'il existe d'autres solutions pour lutter contre les ransomwares à l'instar de Malwarebytes Anti-Ransomware (en bêta). Par ailleurs, plusieurs acteurs de la sécurité informatique (Kaspersky Lab, Intel Security et récemment Bitdefender) prennent part à l'initiative No More Ransomware de l'office européen de police Europol. Des outils de déchiffrement gratuits sont notamment proposés aux victimes de ransomwares.
" Nous conseillons toujours aux victimes de ransomwares de ne pas payer la rançon, même s'il n'existe pour l'instant aucun outil de déchiffrement disponible pour la version de malware qui a chiffré leurs fichiers ", écrit Kaspersky Lab. " Enregistrez les fichiers endommagés et soyez patients. Il est fort probable qu'un outil de déchiffrement approprié apparaisse dans un proche avenir. "
Contre les ransomwares, la prévention demeure toutefois la meilleure arme, et ainsi la mise en place d'un système de sauvegarde de ses fichiers.
