Snatch Ransomware en mode Safe

Pourquoi le Malware utilise-t-il ce mode ?
Car Windows ne démarre qu’un minimum de programme et services dans ce mode de dépannage.

Comment procède le Rançongiciel ?
Il s’installe sur l’ordinateur en tant qu’utilitaire de sauvegarde sous le nom de « SuperBackupMan ».
« Ce service fait des sauvegardes tous les jours » est utilisé comme description.

Installé comme service persistant dans le registre, le Malware va œuvrer en redémarrant l’ordinateur en mode sans échec.

Dans ce mode servant surtout au dépannage et diagnostiques de Windows, « SuperBackupMan » va s’exécuter. L’antivirus, lui, ne démarrera pas.

Le logiciel malveillant pourra donc commencer son œuvre de chiffrement des fichiers de l’ordinateur.

Actuellement, Snatch est le seul Ransomware a utilisé cette technique.

Professionnels, les pirates utilisant ce malware sont également patients.
Ils peuvent identifier les éléments d’un réseau les plus vulnérables et sensibles avant d’y installer le Ransomware.

Ransomware Russe

Une société internationale a ainsi vu 5% de son parc informatique infecté par des spywares.
Pour s’introduire dans les réseaux, les hackers, probablement d’origine russe, utilisent la technique de « Force Brute » pour craquer les mots de passe Administrateur.

Les pirates, organisés, en profitent également pour piller les dossiers à la recherche de données sensibles.

Pour l’instant, les rançons varient entre 2 000 et 35 000 dollars.

Si les entreprises sont principalement visées, les particuliers ne sont pas à l’abri d’une attaque de  Snatch.

L’ordinateur devra être réinstallé.

Si un client de messagerie est installé sur le PC, après vérification de l’état des mails et dossiers, une sauvegarde sera faite.

Si elle a été installée avec le protocole IMAP, cette opération peut ne pas être faite.
Les contacts doivent être préservés sil ils ne sont pas sur le serveur de la messagerie.