Windows 10 : le malware Snatch parvient à désactiver l’antivirus grâce au mode sans échec

Snatch est un ransomware d'un genre nouveau. Ce logiciel malveillant est capable de redémarrer Windows 10 en mode sans échec. Ainsi, il parvient à s'affranchir de la surveillance des antivirus et à effectuer sa sale besogne en toute impunité.

C'est un cas inédit dans le monde de la sécurité sur Windows. Snatch, un malware récemment découvert, est capable de contourner les protections les plus élaborées. Pour cela, il dépose une clé dans la base de registre de l'OS, laquelle programme un redémarrage du PC en mode sans échec de Windows. Dès lors, la machine se trouve complètement démunie, puisque le mode sans échec empêche l'antivirus de lancer au démarrage. Le ransomware se met alors en marche et peut tranquillement entamer son travail de chiffrement des données de l'utilisateur.

Snatch ne se contente pas de demander une rançon pour déchiffrer les données

Snatch exploite donc une faille de sécurité et repose sur le fait qu'en mode sans échec, Windows minimise le nombre de programmes au démarrage, et accessoirement celui des pilotes. La vidéo ci-dessous montre comment le malware opère sous Windows 10.

Les experts en sécurité de Sophos mettent en garde. L'équipe de Snatch n'en est pas à son coup d'essai depuis l'été 2018. Jusqu'à présent, elle était restée discrète aux yeux du grand public en privilégiant surtout ses victimes dans le milieu professionnel ou des organisations gouvernementales. Sophos précise par ailleurs que l'équipe de Snatch opère de manière plutôt inhabituelle. Là où les ransomwares se concentrent sur le chiffrement de données, puis sur la demande des rançons, Sophos a également découvert que Snatch fait aussi dans le vol de données. En conséquence de quoi, même si une entreprise ou un utilisateur paie la rançon, Snatch peut parfaitement tenter de revendre malgré tout les données dérobées.

Lire aussi : Windows, le malware Ryuk va faire disparaître vos données

La faille découverte concernant le mode sans échec de Windows n'a pas encore été commentée par Microsoft. Il ne reste plus qu'à espérer que le géant de Redmond publie rapidement un patch à destination de l'ensemble des versions de Windows et qu'il n'attende pas le Patch Tuesday du 14 janvier 2020 pour le déployer.

Rappelons enfin que la meilleure manière d'éviter les ennuis causés par les ransomwares reste de ne jamais ouvrir un exécutable dont la source est inconnue, et surtout d'effectuer des sauvegardes de vos données les plus sensibles sur un support externe ou sur le Cloud.

Source : ZDNet