Windows 10 : le malware Snatch parvient à désactiver l’antivirus grâce au mode sans échec

Maj. le 12 décembre 2019 à 7 h 48 min

Snatch est un ransomware d’un genre nouveau. Ce logiciel malveillant est capable de redémarrer Windows 10 en mode sans échec. Ainsi, il parvient à s’affranchir de la surveillance des antivirus et à effectuer sa sale besogne en toute impunité.

C’est un cas inédit dans le monde de la sécurité sur Windows. Snatch, un malware récemment découvert, est capable de contourner les protections les plus élaborées. Pour cela, il dépose une clé dans la base de registre de l’OS, laquelle programme un redémarrage du PC en mode sans échec de Windows. Dès lors, la machine se trouve complètement démunie, puisque le mode sans échec empêche l’antivirus de lancer au démarrage. Le ransomware se met alors en marche et peut tranquillement entamer son travail de chiffrement des données de l’utilisateur.

Snatch ne se contente pas de demander une rançon pour déchiffrer les données

Snatch exploite donc une faille de sécurité et repose sur le fait qu’en mode sans échec, Windows minimise le nombre de programmes au démarrage, et accessoirement celui des pilotes. La vidéo ci-dessous montre comment le malware opère sous Windows 10.

Les experts en sécurité de Sophos mettent en garde. L’équipe de Snatch n’en est pas à son coup d’essai depuis l’été 2018. Jusqu’à présent, elle était restée discrète aux yeux du grand public en privilégiant surtout ses victimes dans le milieu professionnel ou des organisations gouvernementales. Sophos précise par ailleurs que l’équipe de Snatch opère de manière plutôt inhabituelle. Là où les ransomwares se concentrent sur le chiffrement de données, puis sur la demande des rançons, Sophos a également découvert que Snatch fait aussi dans le vol de données. En conséquence de quoi, même si une entreprise ou un utilisateur paie la rançon, Snatch peut parfaitement tenter de revendre malgré tout les données dérobées.

Lire aussi : Windows, le malware Ryuk va faire disparaître vos données

La faille découverte concernant le mode sans échec de Windows n’a pas encore été commentée par Microsoft. Il ne reste plus qu’à espérer que le géant de Redmond publie rapidement un patch à destination de l’ensemble des versions de Windows et qu’il n’attende pas le Patch Tuesday du 14 janvier 2020 pour le déployer.

Rappelons enfin que la meilleure manière d’éviter les ennuis causés par les ransomwares reste de ne jamais ouvrir un exécutable dont la source est inconnue, et surtout d’effectuer des sauvegardes de vos données les plus sensibles sur un support externe ou sur le Cloud.


Source : ZDNet

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Chrome : 5 failles de sécurité mettent votre ordinateur en danger

Chrome est victime de 5 nouvelles failles de sécurité, mettent en garde les chercheurs de Tencent Blade. Baptisées Magellan 2.0, ces failles permettent théoriquement à un attaquant d’exécuter à distance du code malveillant sur votre ordinateur. Heureusement, Google a déjà déployé…

LeBonCoin : une nouvelle arnaque par SMS va vider votre compte bancaire

LeBonCoin est la cible d’une nouvelle arnaque particulièrement bien ficelée. Les pirates visent exclusivement les internautes ayant mis un article en vente sur le site d’annonces. Grâce à un faux SMS et une application factice, ils vont tenter de soutirer l’argent de…

Google Chrome vous avertit si votre mot de passe a été volé

Google a mis à jour les outils de protection intégrés à Chrome, notamment ceux liés aux mots de passe. La principale nouveauté est un message qui alerte l’utilisateur s’il a saisi ses identifiants sur un site dont la sécurité a…