Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Snake : pourquoi ce ransomware est différent des autres

janvier 2020 par Christophe Lambert, directeur technique de Cohesity

Suite à la découverte du ransomware Snake, je partage avec vous un éclairage de Christophe Lambert, Directeur Technique de Cohesity.

« Dernier d’une longue liste de ransomwares, Snake a été découvert récemment par MalwareHunterTeam. Cette nouvelle menace est conçue pour rendre les fichiers et les exécutables illisibles et ainsi soutirer une rançon à la victime.

Le niveau d’obfuscation de Snake est bien plus élevé que ce qui est habituellement observé pour ce type d’infection. Il procède au chiffrement des fichiers sur la machine, à l’exception de ceux qui se trouvent dans les dossiers système de Windows et dans divers fichiers système (Recycle.Bin, ProgramData, Users\All Users, Program Files, Local Settings etc).

Une de ses spécificités de Snake est donc d’encrypter les données au niveau des fichiers et non du système de fichiers. Cette caractéristique a plusieurs conséquences :

Premièrement elle multiplie les points d’encryption et rend donc la tâche de restauration bien plus difficile. Deuxièmement, elle lui permet d’être efficace, y compris sur les systèmes de fichiers propriétaires et/ou exotiques, largement répandus sur les systèmes SCADA, les clouds publics et les solutions de protection et de gestion des données secondaires. Mais contrer cette nouvelle menace, n’est pas impossible et les nouvelles architectures de systèmes de protection peuvent y participer. Plutôt que de s’appuyer sur les droits des utilisateurs, elles privilégient l’approche WORM (write once read many) avec une écriture des données gérée par le système et non au niveau de l’utilisateur. Dans la langue de Shakespeare, on pourrait dire : “to beat the snake, you must use the worm !” »




Voir les articles précédents

    

Voir les articles suivants