Le Vaccin contre le rançongiciel

Détection du rançongiciel et du hameçonnage

ZEROSPAM bloque efficacement les rançongiciels (ransomware) parce que nous surveillons les 2 vecteurs de propagation les plus communs : les exécutables déguisés et les documents Microsoft Office avec macros malicieux.

Les rançongiciels (ransomware) et leur source exécutable

Les fichiers exécutables sont la source de tout programme installé sur un ordinateur. Ceci inclut aussi les logiciels malveillants tels que les virus, Trojans, malware, spyware, adware, et vers (worms). Ces fichiers sont distribués soit en tant que fichier-joint à un courriel ou en tant que lien cliquable dans un courriel. Dès que le fichier se retrouve sur le poste de l'utilisateur, le fichier accomplira sa mission néfaste.

Astuces communes des spammeurs

Les spammeurs qui envoient des rançongiciels (ransomware) veulent à tout prix que vous mordiez à l'hameçon en ouvrant leurs fichiers exécutables malicieux. Pour se faire, ils utilisent différentes techniques d'obfuscation telles que la compression (c-a-d la mise en archive zippée) ou le masquage. De nombreuses solutions anti-spam ne prennent pas le temps d'analyser en profondeur le contenu de ces archives, tandis que de nombreux utilisateurs qui savent que les .exe pourraient être dangereux ne songent pas à ouvrir un .pdf, .txt, .eml, .gif, .jpg ou .png. Les spammeurs donnent même une allure légitime à leur courriel avec un sujet et contenu qui encourage les utilisateurs à ouvrir leur courriel.

Voici quelques exemples que nous avons observés :

Sujet : Facture non-payée - envoyé avec un exécutable renommé en tant que .pdf
Sujet : Message vocal - envoyé avec un exécutable renommé en tant que .wav
Sujet : FWD: Rapport - envoyé avec une archive .zip
Sujet : Avis de livraison UPS - envoyé avec un exécutable renommé en tant que .txt.

La vaste majorité des utilisateurs ne sont pas assez conscients du danger que peuvent représenter ces fichiers exécutables et se font prendre au piège par les spammeurs. Découvrez comment ZEROSPAM vous protège contre vos propres utilisateurs.

La protection blindée contre les exécutables

Comme un colis à l'aéroport, chaque fichier-joint envoyé à un client ZEROSPAM est analysé pour déterminer s'il présente un danger potentiel. Certes, les fichiers exécutables Windows et Mac OS sont les plus communs, mais nos filtres détectent aussi la présence d'exécutables Linux et autres avec notre analyse multifactorielle. Nos engins détectent du code exécutable caché dans n'importe quel type de fichier.

Aucune des astuces communes des spammeurs ne réussit à déjouer notre analyse. Si le fichier est comprimé, on dézippe l'archive pour analyser le contenu, même si l'archive contient plusieurs niveaux. Peu importe l'extension du fichier-joint ou le type MIME déclaré, nos engins détectent la nature réelle du fichier et du type MIME.

Notre configuration par défaut met en quarantaine tout courriel contenant un contenu exécutable. Ainsi, ces courriels ne représentent un danger seulement s'ils sont relâchés de la quarantaine par un utilisateur ou un administrateur.

Détection des liens de téléchargement d'exécutables dangereux

Chaque lien dans un courriel filtré est analysé de plusieurs façons pour déterminer qu'il est sécuritaire. Ceci inclut :

- une analyse par nos deux engins anti-virus
- une analyse contre les signatures Sane Security pour contrer les menaces Zero-Day et Zero-Hour
- une analyse en temps-réel contre la base de données de sites dangereux Google SafeBrowsing
- une analyse en temps-réel contre la base de données de campagnes d'hameçonnage (phishing) Phishtank
- comparaison contre un grand nombre d'URIBL (liste noire d'URL) hautement fiables

Quand un lien dangereux est détecté dans un courriel, ce dernier est automatiquement mis en quarantaine et identifié visuellement, pour éviter qu'un utilisateur le relâche par erreur.

ZEROSPAM détecte aussi les macros infectées

Depuis que les documents Microsoft Office peuvent contenir des macros, les cyber-criminels trouvent des façons d'exploiter cette fonction pour leurs besoins. Les fichiers Microsoft Office qui contiennent des macros sont identifiés par leur extension (les docx, pptx et xlsx deviennent des docm, xlsm et pptm). Cette identification n'est faite qu'à partir de Microsoft Office 2007, ce qui explique pourquoi les spammeurs préfèrent utiliser des vieilles versions d'office.

Les filtres ZEROSPAM permettent de détecter et bloquer automatiquement tout courriel contenant des documents Microsoft Office Pré-2007 qui contiennent des macros. Les courriels détectés de cette façon sont automatiquement mis en quarantaine.

Une analyse additionnelle est effectuée en utilisant les signatures Sane Security pour contrer les menaces Zero-Day et Zero-Hour.

Rétroaction et protection contre vos utilisateurs

Avec tous ces systèmes d'identification, ZEROSPAM diminue drastiquement le nombre de courriels malicieux relâchés par vos utilisateurs. De plus, notre équipe de création de règles réagit rapidement pour que des menaces Zero-Day soient rapidement bloquées, souvent 24 à 48 heures avant les mises-à-jour des signatures virales. Apprenez-en plus sur notre processus de rétroaction.

Liens utiles

" ZEROSPAM est fantastique pour les gens qui ne sont pas des experts en TI parce qu'il n'y a absolument rien à gérer et cela fonctionne extrêmement bien. "

- C. Martin Horizon Lussier
';