Mar 8, 2016
1 Heures
Moyen

Un ransomware est un logiciel malveillant dont l’objectif est de prendre en otage vos données en échange d’une rançon. Pour ce faire, un rançongiciel chiffre vos données personnelles puis les méchants vous demande de payer pour récupérer vos précieux fichiers.


Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d’attaques de ce type a grandement augmenté dans d’autres pays, entre autres l’Australie, la France, les États-Unis.

En novembre 2012, McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de Malware.

Comment fonctionne les ransomwares ?

Un rançongiciel se propage typiquement de la même manière qu’un ver informatique qui va charger un programme malicieux. Il pénètre le système via un fichier téléchargé par mail ou une faille dans le réseau. Ce dernier va cibler les types de fichiers ayant une valeur sentimentale ou pratique (photo, vidéo, DOC, PDF, etc.) et les chiffrer avec une double clé très solide (RSA 2048 bits). Au bout de quelques minutes, vos fichiers les plus sensibles deviennent inaccessibles et un message s’affiche à votre écran. Ce dernier vous invite à payer une somme d’argent pour récupérer la clé privée ayant servi au chiffrement et ainsi retrouver vos données. Bien sur le moyen de paiement est discret: Paypal, Bitcoin, etc.

malware-ransomware-protection

Il existe en effet d’autres fonctionnements des ransomware. Certains vont saturer votre écran d’images pornos pour vous faire payer. Les utilisateurs passent alors à la caisse pour éviter d’être pris pour des pervers.

D’autres vont interdire l’accès à Windows. Les ransomware n’hésitent pas à se faire passer pour la police ou pour organisation gouvernementale ! Sur la fenêtre d’avertissement, vous pourrez voir le logo de la police de votre pays et un message qui vous expliquera qu’un pirate a utilisé votre PC pour télécharger des films illégalement et qu’il faut payer une amende. La plupart du temps, les gens payent de peur de finir devant les tribunaux.

ransomware-interface

Que faire lorsque vos données sont pris en otage ?

Etape 1:

Avant toute infection vous pouvez « vacciner » votre PC avec CryptoPrevent, mais s’il est déjà trop tard, déconnectez votre ordinateur d’internet, quitte à débrancher la box. Vous pouvez tenter une désinfection avec votre antivirus ou MalwareBytes.

Etape 2:
Pour connaitre l’étendue des dégâts, vous pouvez utiliser CryptoLocker Scan Tool qui vous dira quels fichiers ont été chiffrés. Si vous êtes infecté, que vous n’avez pas de sauvegarde et tout espoir semble perdu, ne payez pas les méchants pirates ! Des victimes ont rapporté que même après un paiement dans le temps imparti, la clé de déchiffrement envoyée par les pirates n’a pas fonctionné!

Etape 3:

Faites une recherche sur Internet car avec un peu de chance votre ransomware n’est pas très sophistiqué: certains fonctionnent en fait avec la même clé de chiffrement pour toutes les victimes. Vous pourriez donc récupérer vos données avec la clé d’une victime qui a déjà payé! Le site Ransomware Decryptor contient des clés privés saisies lors de descentes de police chez les pirates…Pourquoi ne pas essayer ?

kaspersky-ransomware-decryptor

Interface Ransomware Decryptor

 

Etape 4:

Si vous pensez que tout est perdu, il reste encore quelques pistes pour garder l’espoir. Le site Malware Tips dispose d’une section entière sur les ransomwares et propose des protocoles de désinfections. Si, une fois désinfecté, vous n’avez pas eu d’autre choix que de payer le rancon, il arrive que certains fichiers ne soient pas correctement déchiffrés (clé de registre obsolète, etc.) La solution consiste alors à les déchiffrer à la main avec crypto-un-locker, un script Python qui détectera et déchiffrera les fichiers récalcitrants.

Comment se protéger contre les ransomware ?

Faites des sauvegardes réguliers

Nous avons vu que les ransomwares ciblent les fichiers qui vous sont chers (photos, document, PDF,etc). Le plus simple est donc de faire des sauvegardes régulières sur un disque dur externe déconnecté du PC en temps normal. Le logiciel gratuit paragon s’acquittera très bien de cette tâche. Pour plus de confort, et à moins d’avoir un disque dur suffisamment gros, on peut aussi faire un clone de son système avec XXClone.

Avoir un antivirus misa à jour

Pas besoin de passer à la caisse pour disposer d’une protection antivirus résidente. Les rasomwares attaquent souvent avec un simple fichier EXE contenu dans un ZIP. Des antivirus gratuits comme Avira ou Avast mettront le fichier en quarantaine dès qu’il bougera une oreille. Il faudra tout de même être sûr de renouveler votre license et de mettre à jour la base de données virale.

Faites attention à courriels

Soyez vigilants lors de l’ouverture des pièces jointes de vos courriels, tout particulièrement si ces dernières sont compressées (zippées) et si elles contiennent des fichiers exécutables.