Go to Top

« Locky », CryptoLocker et autres ransomwares. Ce que vous devez savoir

Un ransomware… Kezako ? Un ransomware, ou rançongiciel en français, est un logiciel informatique malveillant, prenant en otage les données informatiques d’un particulier, d’une entreprise ou de n’importe quelle organisation. Il va alors chiffrer et bloquer les données de l’ordinateur infecté. Elles  ne pourront être récupérées par la victime qu’en échange d’une rançon.

Le premier ransomware de l’histoire référencé est apparu en 1989. Il se nommait PC Cyborg Trojan. Cependant, les versions modernes sont apparues en 2010, d’abord en Russie, puis se sont développées dans d’autres pays comme l’Australie, l’Allemagne ou encore les Etats-Unis. Aujourd’hui, avec la démocratisation d’Internet, le monde entier est concerné par les ransomwares.

Les ransomwares les plus connus sont CryptoLocker, CryptoWall, Reveton ou Locky. Mais il existe une énorme quantité de ransomwares, étant des dérivés des plus connus. Il est alors intéressant de se poser plusieurs questions. Comment ces ransomwares fonctionnent-ils ? Comment arrivent-ils à pénétrer les systèmes informatiques ? Quels en sont les bénéfices ? Comment s’en protéger ?

Ransomware, mode d’emploi

La méthode de diffusion utilisée dans le cas d’un ransomware est l’email. De par leur utilisation dans toutes les entreprises du monde, l’email professionnel est une cible de choix. Pour infecter sa cible, au sein de l’email, sous forme de lien ou de pièce jointe (document en.doc .zip ou tout autre format), un fichier va être déposé dans le but d’attiser la curiosité ou de susciter l’inquiétude de l’utilisateur. Le blocage par le virus se fait de la même manière que celui dit du « cheval de Troie ». Par exemple, dans le cas du ransomware Petya, au sein de l’email envoyé, se trouvait une référence à un CV situé dans Dropbox. Une fois sur Dropbox et le fichier récupéré, il s’avérait que celui-ci était un exécutable Une fois lancé, il faisait planter l’ordinateur et cryptait ses données. Dans le cas de Locky, le fichier, écrit dans un français correct, contrairement à d’anciens ransomwares, peut être présenté comme étant une facture urgente ou bien une convocation au tribunal. Difficile alors pour l’utilisateur de ne pas être tenté de cliquer !

Des ransomwares plus développés comme SamSam ciblent directement les serveurs vulnérables. Samsam s’est notamment introduit dans le réseau de plusieurs hôpitaux en testant la vulnérabilité connue des serveurs non mis à jour. En cas de succès, le pirate a accès au réseau et prend possession des données clés du système pour les chiffrer – SamSam étant indétectable et causant un maximum de dégâts.

Une fois ce fichier exécuté, l’ensemble du disque dur interne ainsi que l’ensemble des périphériques connectés (clé usb, disque dur externe…) et des réseaux partagés deviennent alors cryptés. Afin de pouvoir les déverrouiller, l’utilisateur devra utiliser une clé, que seul le pirate possède. Cette clé sera donnée à la victime en échange d’une somme d’argent variable et souvent demandée en Bitcoin afin qu’il n’y ait aucune traçabilité et pour garantir l’anonymat du receleur.

Un sujet d’actualité qui n’épargne personne

Les ransomwares ont le vent en poupe ces derniers temps et le nombre de versions ainsi que de contaminations ne cesse d’augmenter. Ce type de malware n’épargne personne. Ainsi, des particuliers ont été touchés mais aussi des ministères, des agences fédérales, des entreprises ou bien des hôpitaux. Cela s’explique par plusieurs facteurs.

Tout d’abord, il est très difficile pour un antivirus ou tout autre logiciel de détection de bloquer ce type de malware. En effet, les technologies de détection ont généralement du retard sur des virus qui évoluent très vite. Ils ont aussi l’avantage, par leur diffusion via email, de toucher très vite une très grande quantité de potentielles victimes. Celles-ci se laissent piéger facilement par les titres accrocheurs des spams. Les menaces se dissimulent dans l’activité normale des gens, ils s’implantent sur des sites légaux et légitimes.

Ensuite, le ransomware peut être très rentable. En effet, si la rançon pour un particulier peut varier d’une centaine d’euros au millier d’euros, quand il s’agit de plus grandes organisations comme des entreprises ou alors des hôpitaux (une cible favorite de ce type de malware), la rançon peut alors atteindre plusieurs milliers d’euros voir le million d’euros pour les victimes les plus importantes. Tout cela en ne prenant aucun risque de traçabilité, grâce au bitcoin qui permet d’effectuer les transactions de façon anonyme.

Enfin, les pirates profitent du manque de connaissance et de protection des potentielles victimes. Si les hôpitaux sont des cibles prioritaires, c’est par leur manque de sécurité et la valeur des données présente dans leur système. De plus, la France est un des trois pays les plus touchés par les attaques de ransomware. Cela s’explique par le manque de sensibilisation, à l’école ou en entreprise, des internautes sur les dangers d’Internet. La France étant un pays riche, elle est aussi une cible de choix, les victimes préférant payer pour retrouver leurs données le plus vite possibles.

Comment se protéger des Ransomwares

Mais alors, comment se protéger de ces Ransomwares ?

La première défense contre ce type d’attaque est tout simplement vous ! Le fichier malveillant se trouvant dans vos emails, plus particulièrement en pièce jointe, il suffit de ne pas l’ouvrir afin de ne pas être infecté. Si vous n’êtes pas client d’une entreprise, pourquoi recevriez-vous une facture de cette entreprise ? Pourquoi recevoir des cadeaux d’un concours auquel vous n’avez pas participé ? Autant de subterfuges utilisés par les pirates qui pourraient être évité.

La deuxième méthode à votre disposition est la réalisation de sauvegardes régulières de vos fichiers. En effet, le meilleur moyen de conserver vos fichiers professionnels et privés est de réaliser une sauvegarde sur clé usb, disque dur ou serveur. Ainsi, même si le pirate a réussi à crypter vos données, celle-ci seront saines et sauves sur votre support de stockage. Il est aussi important de ne pas laisser connecter en permanence vos disques durs externes et vos serveurs. Cela permettra au pirate de seulement toucher votre ordinateur et non l’ensemble de votre installation.

Enfin, la troisième et dernière méthode, réside dans la mise à jour de votre antivirus. Il est un outil indispensable de la protection de votre ordinateur. Cependant il faut être prudent, car un virus mute rapidement, et même si votre antivirus est capable de contrer les anciennes versions des ransomwares, il existe souvent un retard dans les technologies de détection par rapport aux mutations.

Afin d’anticiper une attaque, il convient de sensibiliser régulièrement les employés d’une entreprise quel que soit le niveau de responsabilité exercé. Tout salarié connecté au réseau de l’entreprise est susceptible d’être le destinataire d’un email piégé pouvant infecter son ordinateur ou le réseau entier.  Effectuer une veille informatique peut vous sauver. Rien de mieux que d’être au courant d’une vague d’attaque de ransomware afin d’augmenter sa vigilance et ainsi éviter l’emprisonnement de vos précieuses données.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *