Snake: pourquoi ce ransomware est différent des autres

0

Dernier d’une longue liste de ransomwares, Snake a été découvert récemment par  MalwareHunterTeam. Cette nouvelle menace est conçue pour rendre les fichiers et les exécutables illisibles et ainsi soutirer une rançon à la victime.

Le niveau d’obfuscation de Snake est bien plus élevé que ce qui est habituellement observé pour ce type d’infection. Il procède au chiffrement des fichiers sur la machine, à l’exception de ceux qui se trouvent dans les dossiers système de Windows et dans divers fichiers système (Recycle.Bin, ProgramData, Users\All Users, Program Files, Local Settings etc). 

Une de ses spécificités de Snake est donc d’encrypter les données au niveau des fichiers et non du système de fichiers. Cette caractéristique a plusieurs conséquences:

  • Premièrement elle multiplie les points d’encryption et rend donc la tâche de restauration bien plus difficile.
  • Deuxièmement, elle lui permet d’être efficace, y compris sur les systèmes de fichiers propriétaires et/ou exotiques, largement répandus sur les systèmes SCADA, les clouds publics et les solutions de protection et de gestion des données secondaires.

Mais contrer cette nouvelle menace, n’est pas impossible et les nouvelles architectures de systèmes de protection peuvent y participer. Plutôt que de s’appuyer sur les droits des utilisateurs, elles privilégient l’approche WORM (write once read many) avec une écriture des données gérée par le système et non au niveau de l’utilisateur. Dans la langue de Shakespeare, on pourrait dire : “to beat the snake, you must use the worm !

About Author

Christophe Lambert

Ingénieur Système et Responsable grands comptes chez Cohesity

Leave A Reply