BeWare Detecteur de ransomware » History » Version 7

« Previous - Version 7/11 (diff) - Next » - Current version
Pierre Dupuis, 06/20/2017 04:31 PM


Détecteur de ransomware

A propos des ransomwares

Un ransomware est un logiciel malveillant qui exploite des failles de sécurité afin de s'introduire dans votre système. Une fois en place, il entreprendra de chiffrer l'intégralité de vos données, les rendant illisibles. Le pirate demandera alors une rançon en échange de la clé de déchiffrement. Il est impossible de trouver cette clé, d'où l'efficacité de ce genre de logiciels.
Lorsqu'un fichier est chiffré, il n'est alors plus possible de le récupérer autrement que par le paiement de la rançon. Pour se protéger de ce genre d'attaques de plus en plus fréquentes, il est recommandé d'effectuer des sauvegardes régulières des données sensibles.

Notre projet propose une autre méthode qui permet de détecter l'infection dès son intrusion dans le système et d'arrêter le chiffrement.

Principe général

Notre logiciel permet de mettre sous surveillance une liste de fichiers "martyrs" sélectionnés par l'utilisateur. Leur unique rôle est de servir de témoins : ils ne doivent pas être modifiés ni par l'utilisateur ou le système. Dès lors que l'un de ces fichiers est modifié (potentiellement, chiffré par un ransomware), l'utilisateur est averti et a la possibilité de mettre hors tension la machine afin d'éviter la propagation de l'infection. Il est alors conseillé de faire appel à un professionnel avant de redémarrer l'ordinateur car des mesures de sécurité supplémentaires seront nécessaires pour assurer la pérennité de vos données.

Fonctionnement du programme

Le logiciel a été réalisé en Python v3.6 et à l'aide de la bibliothèque Tkinter.
Le programme génère un hash quand un fichier martyr est ajouté par l'utilisateur. Un hash est une empreinte unique du fichier générée à partir de son contenu et qui permet de l'identifier. De ce fait, deux fichiers différent n'auront pas le même hash. Il existe plusieurs algorithmes de hachage, nous avons utilisé le SHA-256. Dans un intervalle 10 minutes, le programme calcule à nouveau les hash de tout les fichiers et les compare aux empreintes initiales. Ainsi, on détecte rapidement si un fichier a été modifié ou supprimé. Dans ce cas, l'utilisateur est averti et a la possibilité d'éteindre immédiatement son ordinateur.
Un bouton permet de vérifier l’intégralité des fichiers martyrs immédiatement si l'utilisateur soupçonne une infection.

Un fichier de log est généré afin de pouvoir déterminer la date et l'heure exacte de toute infection.

Images

Message d'avertissement

Capture_1.jpg - Fonctionnement normal (36.7 KB) Pierre Dupuis, 06/20/2017 04:32 PM

Capture_2.1.jpg - Fichier suprimé/modifié detecté (39.1 KB) Pierre Dupuis, 06/20/2017 04:32 PM

Capture_2.2.jpg - Message d'avertissement (32.2 KB) Pierre Dupuis, 06/20/2017 04:32 PM