Quest-ce que le Snatch Ransomware et comment le supprimer

Il semble que les développeurs de logiciels de lutte contre la criminalité ne dorment jamais quand leurs défenses sont levées. Ils cherchent toujours à perfectionner leurs armes dattaque. Lune des dernières techniques est un effort de sauvetage qui peut forcer un périphérique Windows à redémarrer en mode sécurisé juste avant le début du cryptage, pour tenter déviter la protection des points dextrémité.

Cette souche particulière est connue sous le nom de Snatch en raison de ses auteurs, qui se désignent eux-mêmes comme la Snatch Team. Il a été découvert par les chercheurs des Sophos Labs, qui ont présenté leur découverte ainsi que des informations sur la manière dont ces groupes se sont introduits dans des entreprises et dautres entités de leur liste de cibles.

Expliquons ce quest le logiciel de rançon Snatch, comment il fonctionne et comment vous pouvez le retirer de vos appareils.

Snatch est une nouvelle variante de sauvetage dont lexécutable force les périphériques Windows à redémarrer en mode sans échec avant même que le processus de cryptage ne démarre, afin déviter la protection des terminaux qui, souvent, ne fonctionne pas dans ce mode.

Découvert par les chercheurs des SophosLabs et léquipe Sophos Managed Threat Response, le programme de sauvetage des kidnappeurs fait partie des nombreux composants de la constellation de logiciels malveillants qui sont utilisés dans un continuum dattaques soigneusement orchestrées qui comprennent une vaste collecte de données.

La nouvelle souche de sauvetage utilise une méthode dinfection unique qui applique un cryptage AES sophistiqué afin que les utilisateurs dont les ordinateurs sont infectés ne puissent pas accéder à leurs fichiers.

Le Snatch ransomware a été connu pour la première fois en avril 2019, mais a été publié fin 2018. Cependant, une augmentation des fichiers cryptés et des notes de sauvetage a conduit à sa découverte et à son suivi par léquipe de recherche Sophos.

Sa forme de crypto-virus sattaque à des cibles de premier plan, mais cette nouvelle souche, créée avec le programme Google Go, comprend un ensemble doutils dont une fonction de vol et de sauvetage de données. En outre, il dispose dun reverse-shell Cobalt Strike et dautres outils utilisés par les testeurs de pénétration et les administrateurs système.

Note : La variante découverte par Sophos ne peut fonctionner sous Windows que dans les éditions 32 et 64 bits de la version 7 à 10.

Comment fonctionne Snatch Ransomware

En tant que virus bloquant les fichiers, le logiciel de rançon Snatch na aucun lien avec dautres souches. Cependant, ses développeurs ont publié neuf variantes de la menace, qui ajoutent différentes extensions après que les données aient été cryptées avec le cryptage AES.

Lastuce consiste à redémarrer les machines en mode sécurisé, puis le programme de sauvetage restreint laccès à vos données en cryptant vos fichiers. Après cela, les pirates informatiques tentent de vous extorquer en demandant des sauvetages de Bitcoin en échange du déverrouillage de vos fichiers et de vous redonner accès aux données.

Il y a une raison pour laquelle votre astuce fonctionne. Certains programmes antivirus ne démarrent pas en mode sans échec et les développeurs ont découvert quils pouvaient facilement modifier une clé de registre Windows et démarrer lordinateur en mode sans échec. De cette façon, le logiciel de sauvetage fonctionne sans être détecté par votre logiciel de sécurité.

La première fois quil est installé sur votre appareil, il passe par SuperBackupMan, un service Windows, et est configuré juste avant le redémarrage de votre ordinateur, de sorte que vous ne pouvez pas larrêter à temps.

Une fois installé, les attaquants utilisent laccès administrateur pour lancer BCDEDIT, un outil en ligne de commande Windows, afin de forcer lordinateur à passer immédiatement en mode sans échec.

Ensuite, créez un exécutable nommé au hasard dans le dossier %AppData% ou %LocalAppData%, qui lancera et commencera à scanner les lettres du lecteur de votre ordinateur à la recherche des fichiers à crypter.

Fichiers gérés par Snatch Ransomware

Il existe des extensions de fichiers spécifiques quil crypte, notamment .doc, .docx, .pdf, .xls, et bien dautres, quil infecte et modifie ses extensions en Snatch afin que vous ne puissiez plus les ouvrir.

Le programme de sauvetage laisse une note de fichier texte Readme_Restore_Files.txt, exigeant entre un et cinq Bitcoin en échange dune clé de décryptage, avec des informations sur la façon de communiquer avec les pirates pour récupérer leurs fichiers de données.

Après que le logiciel de sauvetage a scanné lordinateur entier, il utilise vssadmin.exe, une commande Windows pour supprimer toutes les copies de volume fantôme de lordinateur, de sorte quil ne puisse pas les récupérer et les utiliser pour restaurer les fichiers de données chiffrés. La dernière étape consiste à crypter les fichiers de données sur le disque dur.

Actuellement, les fichiers infectés ne sont pas décryptables en raison de la nature sophistiquée du cryptage AES utilisé. Cependant, vous avez toujours une bouée de sauvetage si votre ordinateur est infecté en restaurant vos fichiers à partir de la sauvegarde la plus récente.

Le logiciel de rançon Snatch a ciblé les utilisateurs réguliers par le biais de courriels de spam. Mais aujourdhui, les principales cibles sont les entreprises. En payant ces criminels, non seulement vous perdez de largent et navez aucune garantie quils vous enverront la clé de décryptage, mais vous les encouragez également à poursuivre leur cybercriminalité.

Si vous ne disposez pas dune sauvegarde à jour, il ny a pas grand-chose dautre à faire quattendre que les experts en sécurité trouvent un décrypteur de rançon Snatch. Cela pourrait prendre beaucoup de temps, mais il existe dautres moyens de se protéger contre de telles attaques.

Comment supprimer le logiciel Snatch Ransomware de votre ordinateur

Lun des meilleurs moyens de supprimer les rançons de Snatch et autres logiciels malveillants est dinstaller un bon logiciel de sécurité antivirus, comme Malwarebytes ou SpyHunter, qui peut analyser, détecter et supprimer la menace. Tous les moteurs antivirus ne peuvent pas le détecter car il sagit dun malware complètement nouveau, il est donc bon de lanalyser avec plusieurs programmes.

Vous pouvez vous protéger et protéger vos appareils contre les attaques de sauvetage en prenant des mesures simples, comme télécharger des logiciels de sources fiables et éviter douvrir les pièces jointes des courriels provenant de sources non fiables.

Les autres moyens de vous protéger, ainsi que votre organisation, contre le vol et les autres types de logiciels de sauvetage sont les suivants

  • Mettez à jour le système dexploitation et sauvegardez vos données.
  • Effectuer un audit régulier des mots de passe.
  • Déployer un logiciel de sécurité complet et multicouche pour protéger tous les points dentrée contre une attaque de sauvetage
  • Sécuriser les outils daccès à distance et autres programmes vulnérables car les attaquants de Snatch engagent dautres criminels qui ont lexpérience de lutilisation de shells web ou qui sont capables de pirater des serveurs SQL par des attaques par injection.
  • Protégez linterface de votre bureau distant en les plaçant derrière un VPN dans votre réseau afin que les gens ne puissent pas y accéder sans les références VPN.
  • Effectuez des contrôles réguliers et approfondis de tous les appareils de votre domicile ou de votre organisation pour vous assurer quils sont protégés et surveillés, car Snatch profite de ces points daccès et de ces prises de pied pour entrer.
  • Configurez et utilisez lauthentification multifactorielle pour tout administrateur de votre organisation, de sorte que les attaquants ne puissent pas forcer vos références.
  • Effectuez une recherche exhaustive des menaces sur votre réseau afin didentifier toute activité de ce type avant linfection.

Protégez votre système

Un logiciel de sauvetage peut sembler presque mortel dans sa manière de paralyser vos fichiers et vos appareils. Avant de penser à payer cette rançon, essayez les étapes ci-dessus pour supprimer la menace et prenez toujours des mesures préventives pour vous assurer que la menace et ses dangers napparaissent pas sur votre ordinateur ou votre réseau.