Windows 10 : le malware Snatch parvient à désactiver l’antivirus grâce au mode sans échec

 

Snatch est un ransomware d’un genre nouveau. Ce logiciel malveillant est capable de redémarrer Windows 10 en mode sans échec. Ainsi, il parvient à s’affranchir de la surveillance des antivirus et à effectuer sa sale besogne en toute impunité.

C’est un cas inédit dans le monde de la sécurité sur Windows. Snatch, un malware récemment découvert, est capable de contourner les protections les plus élaborées. Pour cela, il dépose une clé dans la base de registre de l’OS, laquelle programme un redémarrage du PC en mode sans échec de Windows. Dès lors, la machine se trouve complètement démunie, puisque le mode sans échec empêche l’antivirus de lancer au démarrage. Le ransomware se met alors en marche et peut tranquillement entamer son travail de chiffrement des données de l’utilisateur.

Snatch ne se contente pas de demander une rançon pour déchiffrer les données

Snatch exploite donc une faille de sécurité et repose sur le fait qu’en mode sans échec, Windows minimise le nombre de programmes au démarrage, et accessoirement celui des pilotes. La vidéo ci-dessous montre comment le malware opère sous Windows 10.

Les experts en sécurité de Sophos mettent en garde. L’équipe de Snatch n’en est pas à son coup d’essai depuis l’été 2018. Jusqu’à présent, elle était restée discrète aux yeux du grand public en privilégiant surtout ses victimes dans le milieu professionnel ou des organisations gouvernementales. Sophos précise par ailleurs que l’équipe de Snatch opère de manière plutôt inhabituelle. Là où les ransomwares se concentrent sur le chiffrement de données, puis sur la demande des rançons, Sophos a également découvert que Snatch fait aussi dans le vol de données. En conséquence de quoi, même si une entreprise ou un utilisateur paie la rançon, Snatch peut parfaitement tenter de revendre malgré tout les données dérobées.

Lire aussi : Windows, le malware Ryuk va faire disparaître vos données

La faille découverte concernant le mode sans échec de Windows n’a pas encore été commentée par Microsoft. Il ne reste plus qu’à espérer que le géant de Redmond publie rapidement un patch à destination de l’ensemble des versions de Windows et qu’il n’attende pas le Patch Tuesday du 14 janvier 2020 pour le déployer.

Rappelons enfin que la meilleure manière d’éviter les ennuis causés par les ransomwares reste de ne jamais ouvrir un exécutable dont la source est inconnue, et surtout d’effectuer des sauvegardes de vos données les plus sensibles sur un support externe ou sur le Cloud.

Source : ZDNet



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers articles !
top 200 pires mots passe 2020
Voici le top 200 des pires mots de passe de 2020

Le top 200 des pires mots de passe de l’année 2020 est désormais disponible. Comme tous les ans, l’indémodable 123456 arrive en tête du classement. Parmi les thématiques favorites des internautes, on trouve le divertissement, les grossièretés, les prénoms ou les suites de chiffres….

tesla powerwall faille
Tesla : une importante faille de sécurité menace les batteries Powerwall

Des chercheurs en sécurité informatique ont détecté une faille de sécurité importante dans le Tesla Backup Gateway, le système qui gère les connexions au réseau des Powerwall, les batteries de stockage d’énergie domestiques du constructeur. En 2015, Tesla a lancé…

carte sim arnaque
Elle se fait pirater sa carte SIM et perd 17 000 €

Un pirate a réussi à pirater la carte SIM d’une utilisatrice à de multiples reprises, interceptant à sa place les SMS de double authentification. Malgré de nombreuses tentatives pour stopper le processus, le hacker a réussi à voler 17 000…