Détection d’infection par Ransomware, un projet ISIMA de première année

Depuis quelques années, un logiciel malveillant sévit dans le monde informatique : le ransomware (lien: https://fr.wikipedia.org/wiki/Ransomware).

Ce logiciel de rançon chiffre les données d’un ordinateur à l’insu du propriétaire et sans la clé de chiffrement il est impossible de les retrouver. Cette clé qui permettra de déchiffrer ses informations, peut être envoyée à la victime en échange d’une somme d’argent.
Des étudiants de première année de l’ISIMA ont travaillé sur le mise en place d’un logiciel de détection d’infection par ransomware.

L’idée de ce projet est de mémoriser la signature de fichiers martyrs. Celle-ci est ensuite vérifiée régulièrement et dès qu’une modification a lieu un message d’alerte invitant à éteindre l’ordinateur est affiché. Cela permet de détecter relativement tôt l’opération de chiffrement. Actuellement, le code source disponible permet de détecter et d’avertir l’utilisateur.

Les perspectives de ce travail sont multiples : il serait intéressant de lancer un crash avec dump mémoire, pour retrouver la clef de chiffrement dans le dump ou réaliser rapidement un frozen boot (théoriquement cela devrait fonctionner). L’arrêt de l’ordinateur permet de figer les dégâts. Plusieurs fonctionnalités avancées peuvent être rajoutées afin de modifier les paramètres de surveillance: fréquence de vérification, choix de la fonction de hashage, …
Le code source de ce projet est disponible sur le lien suivant: https://forge.clermont-universite.fr/projects/projets_zz1/repository/entry/trunk/main.py .