LIVRE BLANC

CE QUE VOUS DEVEZ

SAVOIR SUR LES
RANSOMWARES
ET SUR LA FAON DONT BITDEFENDER
VOUS PROTGE
Avec les cybercriminels qui gnrent des millions, voire des milliards
de dollars, grce aux demandes de ranons en ligne, les ransomwares
sont unanimement considrs comme lune des plus grandes
menaces auxquelles les entreprises doivent faire face de nos jours.

Comble de lironie, la majeure partie de ces cots nest pas lie au

montant de la ranon elle-mme mais aux freins que les ransomwares
font peser sur le dveloppement des affaires des entreprises1 - il nest
donc pas surprenant que seulement un tiers des entreprises pensent
pouvoir vraiment se remettre dune attaque de ransomware2.

Bitdefender a suivi de prs le dveloppement des ransomwares,

en prdisant leurs prochaines volutions et en dveloppant des
technologies spcifiques pour leur radication.

Dans ce livre blanc, vous apprendrez ce que vous devez

savoir sur ce type de menace et quelles technologies
Bitdefender utilise pour protger votre entreprise contre
lun des plus grands flaux en ligne auxquels elle est
confronte aujourdhui.

1
http://www.prnewswire.com/news-releases/report-identifies-ransomwares-biggest-cost-to-be-business-downtime-300236505.html
2
https://www.hotforsecurity.com/blog/only-38-of-businesses-believe-they-will-recover-from-a-ransomware-attack-13625.html
Livre blanc

Quest-ce quun ransomware ?

Les malwares tentent de sadapter leur environnement pour survivre. Certains chouent, dautres y parviennent. Ils peuvent alors se
rpandre et provoquer de vritables pidmies. En 2015, les ransomwares ont caus prs de 400 millions deuros de perte3, confirmant leur
rputation de cybermenace la plus srieuse rpertorie ce jour pour les particuliers et les entreprises.

De plus, 3 professionnels de scurit sur 4 dcrivent la rmergence des ransomwares comme la menace la plus importante des 12
derniers mois, selon une enqute BlackHat.

Le ransomware de dernire gnration est un type de malware qui verrouille et, gnralement, chiffre un systme dexploitation jusqu ce
que lutilisateur finisse par payer pour y avoir de nouveau accs. Le malware peut pntrer un systme via le tlchargement dun fichier
malveillant sur un site Web ou via une pice jointe dun e-mail, une vulnrabilit rseau ou mme un SMS.

En quoi est-il diffrent des malwares traditionnels ?

Il ne drobe pas les donnes des victimes, mais les chiffre ;

Il nessaye pas de se cacher une fois les fichiers chiffrs, car sa suppression ne permettra pas la rcupration des donnes perdues ;

Il demande le paiement dune ranon, gnralement en devise virtuelle ;

Il est relativement facile crer : il existe de nombreuses crypto-librairies bien documentes.

SOUS QUELLE FORME APPARAT-IL ?

Il existe deux principaux types de ransomwares en circulation.

Les Device Lockers. Ce type de ransomware verrouille lappareil et affiche une image en plein cran qui bloque son accs. Le message
exige un paiement, mais les fichiers ne sont pas chiffrs. Il apparat souvent sous la forme dun message de la police et menace lutilisateur
dune amende pour ses prtendues activits douteuses ou criminelles en ligne.

Source : theregister.co.uk - Certains hackers ont abandonn le crypto-ransomware. Dsormais, ils verrouillent simplement
votre appareil en esprant que vous payiez

3
http://businessresources.bitdefender.com/hubfs/2016_-_FR_-_Files/Livre_Blanc_-_Les_ransomwares_une_affaire_personnelle.pdf
[3]
Livre blanc

Les Crypto-Ransomwares. Les chiffreurs de fichiers sont bien plus volus que le simple verrouilleur dcran, allant jusqu un chiffrement
irrversible des dossiers et fichiers (documents professionnels et personnels, photos, vidos, etc.).

xxxxxx xxxxxxx xxxx

Source : blog.malwareclipboard.com Analyse du ransomware Nanolocker

Ces deux types de malwares bloquent laccs aux ressources de lordinateur, mais les verrouilleurs dcran peuvent gnralement tre
contourns via diffrentes techniques et outils de rcupration, tandis que le chiffrement des crypto-lockers est bien plus difficile
contourner, ce qui rend leur pouvoir de destruction bien suprieur.

CE QUE VOUS DEVEZ SAVOIR

Bitdefender suit de prs lvolution des ransomwares, en essayant den prdire les prochaines tapes et en dveloppant des technologies
de protection contre cette menace majeure.
Au cours des trois premiers mois de lanne 2016, le nombre de spams contenant des pices jointes malveillantes a augment de 50%, selon
les donnes des Bitdefender Labs. Laugmentation du nombre de pices jointes infectes est lie la prolifration des crypto-ransomwares.
Locky et Petya, deux ransomwares particulirement agressifs et en pleine expansion, infectent leurs victimes via des campagnes de spams
massives diffusant des documents Word dguiss en factures et des liens Dropbox redirigeant vers des applications malveillantes. Ces
deux nouveaux ransomwares se sont montrs particulirement prolifiques : Locky, par exemple, a infect plus de 400 000 postes de travail
en seulement quelques heures4.

4
https://blog.knowbe4.com/its-here.-new-ransomware-hidden-in-infected-word-files
[4]
Livre blanc

Un document infect par Locky, envoy en tant que pice jointe dans un e-mail de spam. Une fois que la victime a activ les macros, ces dernires vont
tlcharger un fichier excutable partir dun serveur distant et lexcuter.
Source : blog.knowbe4.com

LE RANSOMWARE SE RPAND DANGEREUSEMENT VERS DE NOUVELLES PLATEFORMES

Windows demeure la cible privilgie des ransomwares, qui disposent de nombreuses variantes suivant diffrentes transformations pour
faire face lvolution des lois et des mesures mises en place par les diteurs de solution de scurit pour contrer les effets des variantes
les plus prolifiques, dont CryptoLocker, TorLocker, BitLocker entre autres.
Bitdefender dispose actuellement dune base de donnes de plus de 2,8 millions dchantillons de ransomwares et de trois technologies
actives pour protger les systmes Windows contre cette menace.
Les ransomwares ne sont pas seulement prolifiques sous Windows, mais galement sous Android, Linux et mme macOS. Le systme
dexploitation Android a t reconnu comme tant lOS le plus susceptible de devenir la cible de la nouvelle gnration de ransomwares
mobiles, non seulement cause de son pourcentage impressionnant de part de march, qui slve 82,2% au deuxime trimestre de 2015
daprs IDC5, mais galement parce quil reprsente plus de 1,4 milliard dutilisateurs actifs sur 30 jours lchelle mondiale, selon le PDG
de Google, Sundar Pichai6.
Les statistiques internes de Bitdefender concernant Android, montrent que la famille
du ransomware Android SLocker reprsente 4,35% des infections au cours du
Bitdefender est le premier diteur de scurit
3me trimestre 2015 et 3,08% au cours du dernier trimestre 2015.
publier un outil de dchiffrement pour
La toute dernire volution des ransomwares montre quils sen prennent dsormais aux les victimes de ransomwares sous Linux -
systmes dexploitation Linux. Les serveurs Web sous Linux sont au cur dInternet, un gratuitement. Les chercheurs Bitdefender ont
grand nombre dentre eux hbergeant mme des dizaines de sites Web. Une infection pu dtecter des failles dans les algorithmes
de chiffrement utiliss pour verrouiller les
russie sur lun dentre eux, pourrait alors affecter de nombreuses victimes la fois
fichiers de chiffrement de Linux.Encoder.
et donc permettre une augmentation des revenus gnrs par les ranons. Lune de
nos prdictions pour 2016 concerne lvolution croissante du ransomware sous Linux,
faisant de lui lune des menaces les plus srieuses ce jour.

5
http://www.idc.com/prodserv/smartphone-os-market-share.jsp
6
http://techcrunch.com/2015/09/29/android-now-has-1-4bn-30-day-active-devices-globally/
[5]
Livre blanc

Bitdefender suit galement de prs lvolution des ransomwares visant les Mac. En dcembre 2015, Bogdan Dumitru, Directeur des
Technologies chez Bitdefender, a annonc quil sattendait lapparition du premier ransomware Mac courant 20167. Trois mois plus
tard, une quipe de chercheurs de Palo Alto Network dcouvrait KeRanger, un ransomware infectant un client BitTorrent trs pris par les
utilisateurs Mac. Cest le premier ransomware dtect sous macOS.

COMMENT BITDEFENDER PROTGE

LES ENTREPRISES CONTRE LES
RANSOMWARES ?
Toutes les solutions professionnelles Bitdefender utilisent non pas une, mais deux couches de protection contre les ransomwares. Les deux
technologies travaillent indpendamment. Ensemble, elles forment lun des boucliers anti-ransomwares les plus puissants du march.
Pour amliorer votre protection pour endpoint existante, vous pouvez aussi utiliser le vaccin anti-ransomware Bitdefender. Il fonctionne
avec nimporte quelle solution de scurit dj installe.

tape 2
tape 1
AVEC LES SOLUTIONS RANSOMWARE ACTIVE THREAT CONTROL
DTECTION PAR SIGNATURE
POUR ENTREPRISES FILTRE TOUS LES
DTECTE DES COMPORTEMENTS DE TYPE

BITDEFENDER RANSOMWARES CONNUS

RANSOMWARE DANS DES FICHIERS ET
PROCESSUS INCONNUS

VACCIN ANTI-RANSOMWARE
AVEC UNE SOLUTION EMPCHE LES RANSOMWARES QUI
DUN AUTRE DITEUR ONT CONTOURN VOS DFENSES DE

DE SCURIT CHIFFRER LES FICHIERS ET DOSSIERS

- COMPATIBLE AVEC TOUTE SOLUTION EPP -

7
http://businessinsights.bitdefender.com/predictions-for-2016
[6]
Livre blanc

UNE DTECTION BASE SUR LES SIMILITUDES DE SIGNATURES

BLOQUE LA PLUPART
DES RANSOMWARES
Intgre toutes les solutions Bitdefender GravityZone

POURQUOI UNE DTECTION BASE SUR LES SIMILITUDES DE SIGNATURES ?

La dtection base sur les signatures est la premire ligne de dfense contre les attaques de ransomwares. Certes, elle ne suffit pas se
protger totalement contre cette menace, mais elle joue nanmoins un rle important au sein de toutes les solutions de scurit pour lutter
contre les ransomwares en entreprise.

ELLE EMPCHE LEXCUTION DE TOUTES LES FAMILLES DE RANSOMWARES CONNUES. Elle dtecte et bloque tous les formes
connues de ransomwares.

ELLE BLOQUE LES NOUVELLES VARIANTES DE RANSOMWARES. Les ransomwares sont polymorphes et crent des variantes
diffrentes sur chaque appareil infect. Pour contrer cette capacit, Bitdefender indexe les injecteurs lorigine des infections plutt
que les fichiers.

ELLE STOPPE LES RANSOMWARES AYANT UN COMPORTEMENT SIMILAIRE AUX FAMILLES CONNUES. Grce sa technologie de
dtection des similitudes, Bitdefender peut dtecter des ransomwares jusqualors inconnus, sils prsentent des comportements
similaires ceux dj rpertoris.

DJ 2,8 MILLIONS DE NOUVEAUX RANSOMWARES COMPTABILISS. Bitdefender a dtect plus de 2,8 millions dchantillons
uniques de ransomware sur ces deux dernires annes seulement.

COMMENT CETTE DTECTION FONCTIONNE-T-ELLE?

Les ransomwares sont polymorphes, ce qui signifie que chaque exemplaire est unique, personnalis pour chaque victime. Cest la raison
pour laquelle rpertorier la signature de chaque souche ne serait pas logique dans le cas des ransomwares.

Signature de linjecteur
Pour optimiser cette mthode de dtection traditionnelle, outre lchantillon lui-mme, Bitdefender signe galement linjecteur, bloquant le
vecteur dattaque avant que le ransomware natteigne rellement votre appareil.

Quest-ce quun injecteur ?

Durant une attaque, le ransomware en lui-mme nest pas le premier lment malveillant atteindre votre appareil. Lorsque vous cliquez
sur un lien ou fichier malveillant, ce qui est tlcharg en premier lieu est un injecteur - un petit logiciel qui agit comme un tlchargeur
pour le vritable ransomware.
Un autre avantage de bloquer linjecteur au lieu du ransomware lui-mme, en plus danticiper linfection, est quun injecteur peut tre utilis
sur plusieurs appareils. Ainsi, chaque personne utilisant Bitdefender et qui est cibl par cet injecteur spcifique sera compltement protg
contre les ransomwares diffuss par son intermdiaire.

Similarit des signatures

Bitdefender dtecte galement les variantes de ransomwares dj rprtories, grce un algorithme appel simhash, dvelopp en
interne. En utilisant simhash, les attaques de ransomwares similaires peuvent tre bloques, mme si lchantillon tait inconnu jusquici.

[7]
Livre blanc

LA TECHNOLOGIE BITDEFENDER RANSOMWARE ATC

DTECTE DES RANSOMWARES

INCONNUS
Cette technologie qui complte le module danalyse comportementale ATC (Advanced Threat Control)

Intgre toutes les solutions Bitdefender GravityZone

BITDEFENDER - LES MEILLEURS SCORES DE DTECTION DES MENACES INCONNUES

Bitdefender obtient un score presque parfait dans la dtection des nouvelles menaces.
Lefficacit du moteur Bitdefender Advanced Threat Control est prouve par des tests heuristiques ou comportementaux, tels que ceux
raliss par AV-Comparatives. Les tests indpendants comparent les rsultats danalyse de solutions antimalwares face de nouveaux
malwares ou des attaques de type Zero-day et classent leur performance en fonction de leur capacit les bloquer. Parce que ces menaces
sont nouvelles, les signatures traditionnelles sont inutiles. Les rsultats de dtection se fondent ainsi uniquement sur les rsultats obtenus
par les technologies heuristiques des diffrentes solutions.
Dans le test dAV-Comparatives publi en 2015, Bitdefender a surpass toutes les autres solutions en bloquant 99% des chantillons de
malwares, le concurrent le plus proche nen bloquant que 93%. Bitdefender a galement obtenu plus de 97% de taux de dtection au cours
des trois dernires annes, alors que la moyenne des acteurs du secteur pour ce test, passait de 84% 75% sur la mme priode.

Bloqu Bloqu avec intervention de lutilisateur Non bloqu

AV-Comparatives, test de dtection comportementale/heuristique, 2015

[8]
Livre blanc

QUEST-CE QUE LA TECHNOLOGIE RANSOMWARE ATC ?

Depuis septembre 2015, Bitdefender a tendu sa technologie heuristique brevete, appele ATC, pour dtecter galement les ransomwares
inconnus. La technologie utilise des modles comportementaux avancs pour dtecter un ransomware, mme sil na pas t sign.

INCROYABLEMENT EFFICACE CONTRE LES NOUVEAUX RANSOMWARES ISSUS DU BLACK MARKET. Cette technologie dtecte
les nouvelles familles de ransomwares qui peuvent tre achetes et gnres sur le Black Market - car elles prsentent toutes des
similitudes comportementales.

ELLE DTECTE DES TYPES DE RANSOMWARES INCONNUS. Les comportements des ransomwares sont similaires, mme sils
sont polymorphes. Une technologie comportementale puissante peut dtecter de nouvelles variantes en utilisant des technologies
heuristiques adaptes.

ELLE FONCTIONNE AVEC DES TECHNOLOGIES DE DTECTION COMPORTEMENTALE COMPLEXES. Les nouvelles variantes de
ransomwares sont incroyablement faciles crer, cest pourquoi la dtection base sur les signatures ne peut pas suivre le rythme.
Pour pouvoir les dtecter, une technologie doit pouvoir les dtecter par leur comportement.

ELLE UTILISE LA TECHNOLOGIE ATC RECONNUE. Cette technologie sest rvle particulirement efficace pour la dcouverte de
malwares inconnus. ATC permet Bitdefender dobtenir constamment les meilleures notes en matire de dtection grce sa capacit
dcouvrir des menaces nouvelles.

ELLE PROTGE CONTRE LES RANSOMWARES SIGNS NUMRIQUEMENT. Mme si un ransomware est sign numriquement, il
prsentera toujours un comportement malveillant et sera bloqu.

COMMENT FONCTIONNE CETTE TECHNOLOGIE ?

ATC na pas besoin de se baser sur les signatures, car elle dtecte les ransomwares sur la base de leur comportement. Pour dterminer
si un processus est une menace avant quelle puisse attaquer rellement, ATC surveille tous les processus actifs et dfinit un score
tout comportement suspect. Si un processus agit plusieurs fois de faon suspecte, il verra son score augmenter. Une fois que son score
dpasse un certain seuil, ATC le signale dautres technologies pour quelles bloquent le processus.

UNE FOIS QUE LE

LE LE PROCESSUS SEUIL EST ATTEINT
RANSOMWARE
LE RANSOMWARE TENTE-T-IL DCRIRE,
TENTE DE
ATTEINT L'APPAREIL CHIFFRER DES RENOMMER,
DONNES DPLACER OU

SI LE
ATC COPIER DES
FICHIERS ?
L'ATTAQUE EST BLOQUE
ET L'APPAREIL EST NETTOY
RANSOMWARE
EST NOUVEAU OU
ATC ANALYSE SON EST-CE QUE LE
INCONNU
COMPORTEMENT
PROCESSUS TENTE

SI LE DE MODIFIER DES
RANSOMWARE FICHIERS AUDIOS,
EST CONNU
VIDOS OU IMAGES ?

AUTRES
HEURISTIQUES

L'ATTAQUE EST BLOQUE

ET L'APPAREIL EST
NETTOY

LE NOUVEAU
RANSOMWARE EST
AUSSI SIGN

[9]
Livre blanc

Voici quelques actions surveilles par Bitdefender et pouvant indiquer un comportement de type ransomware :

LE PROCESSUS ESSAIE-T-IL DCRIRE, DE RENOMMER, DE DPLACER OU DE COPIER DES FICHIERS ? Le seul objectif dun ransomware
est de chiffrer vos fichiers. Ainsi, les actions les plus communment associes aux ransomwares sont dcrire, de renommer, de dplacer
ou de copier. La technologie Bitdefender ATC surveille en continu le comportement de tout programme qui tente de raliser lune de ces
actions.

UN PROCESSUS ESSAIE-T-IL DE MODIFIER LES FICHIERS AUDIOS, VIDOS OU IMAGES ? Les ransomwares ciblent galement des fichiers
audios, vidos ou images. Ainsi, ATC devient particulirement suspicieux si un programme tente de raliser lune des actions cites plus
haut sur un fichier de ces types.

Ce ne sont l que quelques exemples, Bitdefender Ransomware ATC ralise en continu plus dune dizaine danalyses pouvant indiquer la
prsence de ransomwares.

La dtection ATC fonctionne localement et ne ncessite pas de connexion au Cloud Bitdefender. La technologie est autonome, car les
paramtres de dtection heuristique des ransomwares, dfinis par la technologie, fonctionnent de faon indpendante.

mesure que la menace ransomware continue dvoluer, Bitdefender amliore ses technologies heuristiques existantes et en ajoute de
nouvelles, afin de garder constamment une longueur davance.

[10]
Livre blanc

LE VACCIN ANTI-RANSOMWARE

EMPCHE LES RANSOMWARES

EXISTANTS DE CHIFFRER
DES DONNES
POURQUOI UN VACCIN ANTI-RANSOMWARE ?

Malgr les efforts des diteurs de scurit, les ransomwares parviennent parfois pntrer les couches de scurit en place. Le vaccin
anti-ransomware de Bitdefender est une dernire ligne de dfense contre les ransomwares - si votre solution de scurit na pas dtect
ou bloqu la menace, le vaccin parvient lempcher de chiffrer vos fichiers. Cette technologie est intgre dans la gamme Bitdefender
GravityZone et est galement disponible gratuitement, en tlchargement, pour tre excute en parallle de toute autre solution de
scurit pour endpoint du march. Pour quelle puisse fonctionner, elle doit tre installe avant linfection.

PROTECTION PRVENTIVE CONTRE LES RANSOMWARES. La solution agit comme un vaccin qui empche les modles de ransomwares
connus de chiffrer votre systme.

ELLE FONCTIONNE CONTRE LES RANSOMWARES CONNUS ET INCONNUS. Le vaccin anti-ransomware de Bitdefender est capable de
bloquer des nouveaux ransomwares en dtectant des comportements connus, mme sils utilisent des injecteurs inconnus.

ELLE EST COMPATIBLE AVEC NIMPORTE QUELLE SOLUTION DE SCURIT. Le vaccin anti-ransomware de Bitdefender est compatible
avec la protection pour endpoint que vous utilisez, quelle quelle soit, offrant ainsi un ultime rempart de scurit au cas o vos autres
niveaux de scurit chouent bloquer la menace.

ELLE ASSURE UNE DERNIRE LIGNE DE DFENSE. Le vaccin anti-ransomware de Bitdefender est lultime niveau de protection contre
les ransomwares ayant contourn tous les autres filtres de scurit.

ELLE NA AUCUN IMPACT SUR LES PERFORMANCES. La technologie a t dveloppe pour ne pas impacter les performances de votre
endpoint.

COMMENT LE VACCIN FONCTIONNE-T-IL ?

Le vaccin anti-ransomware de Bitdefender fonctionne en exploitant les failles au sein de la mthode de propagation des ransomwares afin
de les empcher de chiffrer vos donnes, dans le cas o le malware a dj pntr votre appareil. La solution fonctionne en combinaison
avec une solution de protection existante et agit comme une dernire ligne de dfense contre les ransomwares qui parviennent se glisser
au-del des autres niveaux de protection, mme si linjecteur est inconnu.
Le vaccin anti-ransomware de Bitdefender est actuellement disponible en tlchargement gratuit : https://labs.bitdefender.
com/2016/03/combination-crypto-ransomware-vaccine-released/

[11]
 BITDEFENDER, UNE APPROCHE
CIBLE CONTRE LES RANSOMWARES
Les ransomwares sont lune des menaces les plus graves que les entreprises ont eu grer ce jour et une approche de scurit
cible est cruciale pour dfendre votre business.
Bitdefender na pas un, mais trois niveaux de protection pour combattre les ransomwares, qui sont intgrs ses solutions ddies
aux entreprises. De plus, ils seront complts dans un avenir proche.
La technologie ATC, qui fournit une protection contre les nouvelles formes de ransomwares, participe activement aux excellents
scores que Bitdefender obtient en matire de dtection des menaces de type Zero-day. Bitdefender a galement obtenu un score de
dtection des menaces inconnues de plus de 97% au cours des trois dernires annes, alors que la moyenne du secteur pour ce test
passait de 84% 75% sur la mme priode.
Bitdefender a dtect un total de 2,8 millions dchantillons de ransomwares uniques pour ces deux dernires annes seulement.
Nous sommes le premier diteur de scurit publier gratuitement un outil de dchiffrement pour les victimes de ransomwares sous
Linux. Les Bitdefender Labs ont dcouvert des failles dans les algorithmes de chiffrement utiliss par Linux.Encoder pour verrouiller
les fichiers.

Bitdefender propose des technologies de scurit dans plus de 120 pays via un rseau de partenaires de premier plan, de distributeurs et de revendeurs valeur
ajoute. Depuis 2001, Bitdefender produit rgulirement des technologies leaders du march pour les entreprises et les particuliers et est lun des plus grands
fournisseurs de solutions de scurit pour les technologies de virtualisation et cloud. Bitdefender associe ses technologies primes des alliances et des partenariats
commerciaux et renforce sa position sur le march mondial via des alliances stratgiques avec des fournisseurs de technologies cloud et de virtualisation leaders
dans le monde.

Tous droits rservs. 2016 Bitdefender. Toutes les marques, noms commerciaux et produits cits dans ce document sont la proprit exclusive de leurs dtenteurs respectifs.
Document non contractuel - 2016. Pour plus dinformations, veuillez consulter www.bitdefender.fr

Plus de 500 millions dutilisateurs

sont protgs par les technologies Bitdefender