{"id":6375,"date":"2016-12-01T16:09:11","date_gmt":"2016-12-01T16:09:11","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=6375"},"modified":"2020-02-26T15:55:33","modified_gmt":"2020-02-26T15:55:33","slug":"mamba-hddcryptor-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mamba-hddcryptor-ransomware\/6375\/","title":{"rendered":"Le ransomware Mamba permet aux usagers des transports en commun de San Francisco de voyager gratuitement"},"content":{"rendered":"<p>Le week-end dernier, les 26 et 27 novembre, les usagers empruntant les transports en commun de San Francisco ont \u00e9t\u00e9 surpris de d\u00e9couvrir qu\u2019ils <a href=\"https:\/\/www.tripwire.com\/state-of-security\/featured\/ransomware-hits-san-francisco-transport-system-free-rides-for-all-as-73000-demanded\/%2523\" target=\"_blank\" rel=\"noopener nofollow\">n\u2019avaient pas \u00e9t\u00e9 oblig\u00e9s de payer<\/a> leurs trajets. Tout le monde a voyag\u00e9 gratuitement pendant ces deux jours. Un r\u00eave socialiste serait-il devenu r\u00e9alit\u00e9\u00a0? Pas vraiment. La SFMTA (San Francisco Municipal Transportation Agency) plus connue sous le nom de Muni, ne pouvait plus vendre de tickets \u00e0 cause d\u2019un piratage provoqu\u00e9 par un ransomware.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-13540 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/12\/06093700\/muni-ransomware-featured-3.jpg\" alt=\"Mamba ransomware allows riders free entry to San Francisco Muni\" width=\"1280\" height=\"840\"><\/p>\n<p>Certains m\u00e9dias affirment que le probl\u00e8me s\u2019\u00e9tait manifest\u00e9 quelques jours plus t\u00f4t, juste avant Thanksgiving, lorsque des distributeurs de tickets avaient affich\u00e9 un message indiquant \u00ab\u00a0Vous pirat\u00e9\u00a0\u00bb. Comme d\u2019habitude, le ransomware est apparu avec plein de fautes grammaticales. Il semblerait que le ransomware appel\u00e9 Mamba, qui est une variante de <a href=\"http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds\/\" target=\"_blank\" rel=\"noopener nofollow\">HDDCryptor<\/a>, ait pris le contr\u00f4le de plus de 2000 ordinateurs appartenant \u00e0 la SFMTA.<\/p>\n<p>Mamba (et HDDLocker\u00a0; consid\u00e9rons que ce sont les m\u00eames pour le reste de l\u2019article) est un morceau de ransomware qui chiffre tout le disque dur et change le master boot record (MDR) pour emp\u00eacher des ordinateurs infect\u00e9s de charger leurs syst\u00e8mes d\u2019exploitation, en affichant \u00e0 la place le message des hackers.<\/p>\n<p>Les cr\u00e9ateurs de Mamba ont utilis\u00e9 des utilitaires open-source en tant que parties du Cheval de Troie, et ce, entre autres, en les aidant \u00e0 cr\u00e9er un algorithme fort. <strong>Il n\u2019y a donc pas dans ce cas d\u2019autre solution que celle de payer les cybercriminels pour r\u00e9cup\u00e9rer les fichiers chiffr\u00e9s par Mamba.<\/strong><\/p>\n<p>Les auteurs de Mamba ont pouss\u00e9 la SFMTA \u00e0 les contacter \u00e0 l\u2019adresse <em><a href=\"mailto:cryptom27@yandex.com\" target=\"_blank\" rel=\"noopener\">cryptom27@yandex.com<\/a>. <\/em>Un journaliste du <a href=\"http:\/\/www.sfexaminer.com\/alleged-muni-hacker-demands-73000-ransom-computers-stations-restored\/\" target=\"_blank\" rel=\"noopener nofollow\"><em>San Francisco Examiner<\/em><\/a> a utilis\u00e9 cet e-mail, lui permettant d\u2019\u00eatre en contact avec les cybercriminels, qui se sont pr\u00e9sent\u00e9s sous le pseudo d'\u00a0\u00bbAndy Saolis\u00a0\u00bb. Selon l\u2019histoire de Saolis, l\u2019attaque contre Muni n\u2019\u00e9tait pas cibl\u00e9e, le syst\u00e8me a \u00e9t\u00e9 infect\u00e9 tout simplement parce que quelqu\u2019un avec des privil\u00e8ges d\u2019administrateur a t\u00e9l\u00e9charg\u00e9 et infect\u00e9 un fichier torrent.<\/p>\n<p>Saolis a aussi rapport\u00e9 \u00e0 <em>Examiner <\/em>que la SFMTA avait d\u00fb payer 100 bitcoins (environ $73 000) pour rendre ses ordinateurs de nouveau op\u00e9rationnels. Mais il semblerait que la SFMTA ait r\u00e9ussit \u00e0 r\u00e9soudre le probl\u00e8me sans payer la ran\u00e7on. Plus dans tard dans la journ\u00e9e du dimanche, les distributeurs de tickets refonctionnaient.<\/p>\n<p>Les chercheurs antimalware de Kaspersky Lab suivent de pr\u00e8s l\u2019acteur de la menace responsable de l\u2019attaque. Il semblerait que Mamba soit g\u00e9n\u00e9ralement utilis\u00e9 pour attaquer des entreprises et soci\u00e9t\u00e9s. L\u2019attaque contre Muni n\u2019est pas le premier coup d\u2019essai de Mamba. En r\u00e9alit\u00e9, 100 bitcoins repr\u00e9sentent une petite ran\u00e7on pour ces standards des cybercriminels. En g\u00e9n\u00e9ral, ils demandent beaucoup plus.<\/p>\n<p>Par cons\u00e9quent, Mamba semble \u00eatre une menace vraiment n\u00e9faste. Que pouvez-vous faire pour vous prot\u00e9ger, vous et votre entreprise\u00a0?<\/p>\n<p>1. La SFMTA a \u00e9t\u00e9 en mesure de rendre op\u00e9rationnel Muni assez rapidement gr\u00e2ce \u00e0 des sauvegardes qu\u2019elle avait faites. Il convient de noter que ces sauvegardes n\u2019\u00e9taient pas sur des partages en r\u00e9seau, faute de quoi, Mamba aurait pu \u00e9galement les chiffrer.<\/p>\n<p>La le\u00e7on \u00e0 retenir ici\u00a0: Faites comme la SFMTA et sauvegardez vos donn\u00e9es r\u00e9guli\u00e8rement. Conservez vos sauvegardes soit sur le Cloud, soit sur des disques durs externes, pas sur un ordinateur ni sur des p\u00e9riph\u00e9riques de stockage en r\u00e9seau.<\/p>\n<p>2. Soyez encore plus intelligent que la SFMTA et \u00e9vitez d\u2019\u00eatre infect\u00e9 par Mamba ou tout autre ransomware. A la place, utilisez une solution de s\u00e9curit\u00e9 efficace. <a href=\"https:\/\/www.kaspersky.fr\/internet-security?redef=1&amp;reseller=fr_kdaily_pro_ona_smm__onl_b2c_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> d\u00e9tecte Mamba (et HDDCryptor, et autres du genre) comme \u00e9tant HEUR:Trojan.Win32.Generic et ne leur laisse aucune chance de chiffrer quoi que ce soit.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un ransomware infecte 2000 ordinateurs de la SFMTA (San Francisco Municipal Transportation Agency), permettant aux usagers de voyager gratuitement pendant le week-end.<\/p>\n","protected":false},"author":696,"featured_media":6386,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[1978,1977,204,353,1979],"class_list":{"0":"post-6375","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-hddcryptor","10":"tag-mamba","11":"tag-menaces","12":"tag-ransomware","13":"tag-san-francisco"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mamba-hddcryptor-ransomware\/6375\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/10519\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mamba-hddcryptor-ransomware\/8034\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/8050\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mamba-hddcryptor-ransomware\/9620\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mamba-hddcryptor-ransomware\/9424\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mamba-hddcryptor-ransomware\/2691\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mamba-hddcryptor-ransomware\/6770\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mamba-hddcryptor-ransomware\/5778\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mamba-hddcryptor-ransomware\/9302\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mamba-hddcryptor-ransomware\/13344\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mamba-hddcryptor-ransomware\/13663\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mamba-hddcryptor-ransomware\/13539\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mamba-hddcryptor-ransomware\/13539\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6375","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=6375"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6375\/revisions"}],"predecessor-version":[{"id":14378,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/6375\/revisions\/14378"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/6386"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=6375"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=6375"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=6375"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}