Deux nouvelles familles de ransomware , nommés NamPoHyu et MegaLocker, utilisent une nouvelle approche pour tenter d’ extorquer de l’argent aux utilisateurs en cryptant leurs fichiers personnels .
Une fois exécutés sur le système des utilisateurs, les deux logiciels ransomware permettent d’ ouvrir les ports entrants du routeur en partageant les ressources via le protocole SMB / Samba .
Si bien que les opérateurs tel que Shodan , (moteur de recherche) permettant d’identifier le nombre de périphériques exposant les ports de l’IP publique et les services rendus accessibles par le réseau WAN, expliquent qu’il y a eu une augmentation du nombre de partages Samba accessibles au public .
À ce jour Environ 500 000 hôtes dans le monde affichent des ressources partagées via SMB / Samba sur une adresse IP publique
Une fois installés sur le système de la victime, NamPoHyu et MegaLocker crypte les données à distance de manière à utiliser un “profil bas” afin d’éviter les logiciels anti-ransomware les plus célèbres.
Une fois l’agression terminée, des rançons de l’ordre de 250 USD sont demandées pour les utilisateurs qui s’avèrent être privés, 1000 USD pour les entreprises.
Solutions : Comment évitez d’être victime
Pour éviter de faire face à des menaces telles que NamPoHyu et MegaLocker, il est essentiel de :
- maintenir à jour le logiciel que vous utilisez
- installez des correctifs de sécurité
- activer un système de protection centralisé surveillant chaque point de connexion
- faite à la mise à jour du navigateur et des composants supplémentaires installés
- évitez d’ouvrir les pièces jointes provenant de sources douteuses
- ne supposez pas que les fichiers compressés ou les archives sont des fichiers sûrs
- effectuez toujours une analyse des fichiers également sur VirusTotal,
- faite un examen comportemental de votre système
- utilisez des solutions de sauvegarde valides qui effectuent la gestion des versions, c’est-à-dire gardez une trace des modifications appliquées aux fichiers au fil du temps
- sécurisez le routeur et désactivez UPnP (UPnP est un protocole réseau de plus en plus utilisé par les logiciels malveillants pour ouvrir rapidement les ports sur IP publique).
Pour en savoir plus:http://www.global-informatique-securite.com/2019/04/nampohyu-le-virus-ransomware-cible-les-serveurs-samba.html