Pourquoi se fatiguer à voler des données et les revendre au plus offrant, alors qu’il suffit de les bloquer et de vendre la clé de déchiffrement à la victime ? C’est la logique du Ransomware ! L’attaque informatique du moment…

Entreprises, ministères, service en ligne, tout le monde y passe et on ne compte plus les victimes de cette nuisance généralement provoquée par l’ouverture inconsidérée de pièces jointes malveillantes abritées dans des e-mails louches, ou les visites de sites frauduleux.

 

Vous avez dit Ransomware ?

 

Un Ransomware est un type de logiciel malveillant qui chiffre (a son insu) les données de la victime choisi, puis demande une rançon en échange de la clé permettant de déchiffrer ce contenu. Il peut également chiffrer tout un disque dur, rendant la machine inefficace tant que la clé de déchiffrement ne sera pas utilisée.

 

Les différents types de Ransomware :

Plusieurs méthodes sont utilisées pour obliger les utilisateurs à payer la rançon demandée par le pirate derrière cette manœuvre. Parmi lesquelles :

  • Le Ransomware à chiffrement de fichiers

Ce type de Ransomware se propage de la même façon qu’un cheval de Troie : il pénètre le système via un site piraté, un document contenant sur code malicieux (comme un fichier Word ou PDF) ou par e-mail. En cliquant sur un lien ou en ouvrant un document, une « Payload » s’active (charge utile) et va lancer le script de chiffrement des fichiers du disque dur. Quelques Ransomwares connus utilisant cette technique :

  • Locky : ce programme active sa « Payload » via des e-mails frauduleux avec des fausses factures de téléphonie (free mobile par exemple) et vise principalement les entreprises.
  • CryptXXX : apparu en avril 2016 et très actif en France, il chiffre les fichiers avec des extensions aléatoires et se déploie avec des sites web piratés.
  • Cerber : apparu début 2016, ce dernier utilise des sites web piratés et des e-mails frauduleux pour se propager. Depuis quelques mois, il utilise la faille apache struct pour chiffrer les hyperviseurs VMware via les appliances VMware vCenter.
  • Le Ransomware non-chiffré

Ce type de Ransomware (comme son nom l’indique) ne chiffre pas les données de la victime mais va scanner tout son disque dur afin de trouver du contenu illicite (comme des logiciels piratés, des films téléchargés illégalement ou du contenu pédopornographique par exemple). Si le programme trouve des données illicites, il va verrouiller l’ordinateur et il va afficher un message indiquant appartenir à une autorité gouvernementale (FBI, Gendarmerie, etc.). Pris au piège, l’utilisateur est invité à payer une rançon pour « éviter la prison ».

Un Ransomware célèbre qui utilise cette technique : Reveton.

Apparu en 2012, ce Ransomware se propageait par des publicités infectées. Il affichait un faux message d’avertissement du FBI indiquant que l’ordinateur avait été utilisé à des fins malveillantes et il lançait un pop-up indiquant à l’internaute qu’il devait acheter des coupons prépayés comme Ukash ou Paysafecard. Pour accroître l’illusion, le programme affichait l’adresse IP ainsi qu’un aperçu de la webcam pour faire croire à la victime que la police enregistrait son visage en temps réel.

  • Le Ransomware « Browser-Locking »

Ce type de Ransomware n’affecte pas la machine cible. Il utilise des modules Javascript qui bloquent le navigateur avec un message d’avertissement. Le fonctionnement est similaire aux Ransomware non-chiffrés, à la différence où c’est l’historique web qui est scanné. Couplé avec des techniques de « Social-Engineering« , le pirate va essayer de faire chanter sa victime (infidélités, site douteux…) en échange d’une rançon.

Comment s’en prémunir ?

Si vous n’êtes pas infecté par un Ransomware, voici quelques conseils qui vous éviteront bien des mésaventures :

  • Vérifiez que vous avez un antivirus ainsi qu’un anti-malware (comme malwarebytes…) à jour.
  • Sauvegardez régulièrement vos données sur un Cloud et/ou sur un support non connecté. Si vous stockez vos données sur un support externe qui est connecté à l’ordinateur, un Ransomware peut le bloquer !
  • N’ouvrez pas de pièces jointes provenant d’expéditeurs inconnus. Faites bien attention aux documents ou aux liens que vous ouvrez dans les e-mails.

 

En cas d’ATTAQUE

Si vous êtes infectés par un Ransomware, il ne faut en aucun cas payer la rançon (sauf si vous voulez faire un don non-déductible aux impôts à un hacker 😉 ). Il est important de retenir que la Police nationale, la gendarmerie, l’ANSSI ou la SACEM n’ont pas le droit de bloquer votre ordinateur à distance et ne vous demanderont jamais une amende.

Pour débloquer votre ordinateur, il faut :

  1. Redémarrer votre ordinateur en mode sans échec et installer un anti-malware.
  2. Restaurer les paramètres de votre système.
  3. Désinstaller le navigateur web affecté.

Vous pouvez également utiliser Microsoft Safety Scanner (gratuit) pour scanner votre ordinateur et détecter toute trace de ransomware : https://www.microsoft.com/security/scanner/fr-fr/default.aspx

 

 

About the author

Stan

Membre actif de la cyber sécurité en entreprise, c’est afin de limiter ma présence sur internet que j’ai choisi l’anonymat pour partager avec vous des actualités sécuritaires, des bonnes pratiques à suivre et des conseils pour vous protéger vous, votre entourage et votre entreprise.

View all articles