A l’ordre d’aujourd’hui, les rançongiciels véritable racket version numérique sont les armes informatiques d’une mafia bien organisé qui rafle tout sur leur passage à l’instar du coup de l’université canadienne de Calgary surnommé la « prise d’otage » où ce sont près de 14000Euros qui ont été dérobés.
Un rançongiciel est un programme malveillant transmis en pièce jointe (aux formats ZIP, RAR, SRC, CAB mais aussi des documents bureautiques) par email ou « caché » dans un document en PDF par exemple sur un site Internet. Une fois ouvert, il vise à chiffrer (on dit souvent par erreur « crypter ») partiellement ou entièrement les données sur le système cible, en l’occurrence un ordinateur (ou un serveur) ou plusieurs postes de travail dans des entreprises ou de particuliers.
Clairement, on se retrouve emprisonné ou plutôt nos données sont bloquées jusqu’à ce que l’on ai payé le tribu aux pirates qui nous délivreront la clé de chiffrage. Difficile de résister lorsque des données confidentielles ou le travail d’une vie est piégé de la sorte.
Cette technique pourtant est ancienne simplement elle n’était utilisé que sur de grosses structures alors que depuis un an elle se pérennise en touchant des petits PME, voire même des internautes Lambda.
La possibilité de gagner énormément d’argent rapidement contrairement à un malware classique qui demande beaucoup plus d’investissement en aval a attiré une pléthore de jeunes pirates en herbes fascinés par la facilité de la mise en œuvre du procédé.
Je ne vais pas vous détailler les principes, ce n’est pas un cours de piratage, je vais plutôt vous donner les bonnes actions à faire lors d’une infection puis aussi en prévention d’une future infection.
Les plus connus de ces rançongiciels s’appellent Teslacrypt, CTB-Locker et Cryptowall.
Je suis infecté que doit je faire ? Payer ?
Dans un premier temps ne vous affolez pas, vous avez été infecté le rançonlogiciel est en place, il a chiffré vos données donc vous ne pouvez rien faire pour l’instant et vous énervez ne résoudra aucunement votre problème.
Premier réflexe :
Déconnecter immédiatement l’ordinateur de l’Internet (arrêt du Wifi, câble Ethernet débranché). Ensuite, il ne faut pas payer la rançon : le paiement ne garantit en rien le « déchiffrement » des données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
- Ne pas cliquer sur les liens provenant de sources inconnues.
- Installer un logiciel antivirus
Si l’antivirus ne repère pas ce virus ou s’il n’est pas possible de trouver la clé qui permettrait de déchiffrer les fichiers, il faut formater le disque dur et réinstaller une sauvegarde qui n’aura pas été compromise.
S’il n’existe pas de sauvegardes, les données seront certainement perdues. Avec toutes les conséquences que l’on peut imaginer pour une entreprise…
Il est donc primordial de prévenir les risques en effectuant des sauvegardes fréquentes voire quotidiennes, pour les documents les plus sensibles. Autre précaution : ne jamais ouvrir les emails dont vous n’êtes pas certain de l’expéditeur et encore moins les pièces jointes au format zip ou SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER). Enfin, il convient de mettre à jour son antivirus.
Pour information la société Kapersky a lancer un service qui permet de réunir une base de donnée de déchiffrement au service des internautes malheureux, voici leurs commentaires et le lien :
RANSOMWARE DECRYPTOR
Face aux rançongiciels, des parades existent néanmoins. La dernière initiative en date est à mettre au crédit de Kaspersky, une entreprise russe spécialisée dans la sécurité en ligne. En coopération avec une unité de police néerlandaise (National High Tech Crime Unit), une base de données contenant de nombreuses clés de déchiffrement a été découverte lors d'une opération contre le rançongiciel CoinVault.
Avec cette base de données, un service a été mis en place ("Ransomware Decryptor") afin de permettre aux victimes d'extorsion d'avoir une chance de casser le chiffrement des fichiers pris en otage. Bien sûr, la base de données ne contient pas toutes les clés de déchiffrement utilisées par les rançongiciels. Mais l'outil permettra déjà d'aider certaines personnes en difficulté.
Kaspersky note que de nouvelles clés de déchiffrement seront certainement ajoutées à mesure que l'enquête visant CoinVault progressera.
Lien : https://noransom.kaspersky.com/
Face aux rançongiciels, des parades existent néanmoins. La dernière initiative en date est à mettre au crédit de Kaspersky, une entreprise russe spécialisée dans la sécurité en ligne. En coopération avec une unité de police néerlandaise (National High Tech Crime Unit), une base de données contenant de nombreuses clés de déchiffrement a été découverte lors d'une opération contre le rançongiciel CoinVault.
Avec cette base de données, un service a été mis en place ("Ransomware Decryptor") afin de permettre aux victimes d'extorsion d'avoir une chance de casser le chiffrement des fichiers pris en otage. Bien sûr, la base de données ne contient pas toutes les clés de déchiffrement utilisées par les rançongiciels. Mais l'outil permettra déjà d'aider certaines personnes en difficulté.
Kaspersky note que de nouvelles clés de déchiffrement seront certainement ajoutées à mesure que l'enquête visant CoinVault progressera.
Lien : https://noransom.kaspersky.com/
C’est la priorité, mettez la mise à jour automatique et surtout ne téléchargez que sur les sites officiels.
Pensez à modifier les mots de passe de vos différentes applications sur Internet (courrier électronique – notamment webmails, messageries instantanées, réseaux sociaux, banque en ligne, FTP…).
En effet, il se pourrait qu’ils aient téléchargé vos données avant de les chiffrer et donc avoir accès à vos services web personnels.
Le site Stopransomware propose un tutoriel explicite sur la manière de traiter l’infection :
https://stopransomware.fr/nettoyer-son-ordinateur/
Prémunir avant de guérir
Une solution, "le partitionnement du disque dur grâce à des logiciels qui permettent d'avoir plusieurs machines virtuelles, chacune avec des niveaux de sécurité différents", explique Stéphane Bortzmeyer.
Un rituel qui, pour l'heure, peut encore paraître obscur à l'internaute lambda.
Le site Openclassroom propose un tutoriel complet sur le partitionnement :
https://openclassrooms.com/courses/d...e-disque-dur-2
Le site Malekal’s propose également des scripts intéressant pour prémunir ce genre de situation :
- Bloquer les scripts malicieux avec Marmiton. http://telecharger.malekal.com/download/marmiton/
- Bloquer les sites malicieux avec Blockulicious.http://forum.malekal.com/blockulicio...nt-t46656.html
Il est important de sauvegarder ses données ailleurs que son Pc pour pouvoir remettre l’ensemble lors d’une attaquer et devant l’unique possibilité d’un reformatage.
Pour cela je vous ai préparé ces deux liens qui fournissent des logiciels ou scripts permettant gratuitement des back up de l’ensemble de vos DD. Cette sécurité supplémentaire permettant d’entériner l’épée de Damoclès des Ransomware. Si vous avez des données déjà chiffrer sur vos PC, mais des sauvegarde ailleurs en disponible, les pirates n’auront que des données inutilisables à récupéré et vous n’aurez qu’à remettre l’ensemble de vos données une fois désinfecter et remis à zéro votre ordinateur.
https://www.veeam.com/fr/endpoint-backup-free.html
http://backuppc.sourceforge.net/
Vous pouvez aussi utiliser un service en ligne pour sauvegarder comme :
https://drive.google.com/drive/#
https://mega.nz/#
Ce lien vous donne une liste complète :
http://www.cloud-gratuit.com/
Sécuribox fournit un jolie article sur la technique à utiliser et quelques exemples de crypter :
https://www.securibox.fr/securitycenter_crypt.aspx
Voilà j’espère que ces conseils vous aideront enfin j’espère surtout que vous n’en aurez pas besoin. Ceci est la base, elle doit être appliquée à partir du moment où vous utilisez une liaison internet ou un support externe.
Merci de m’avoir lu, à bientôt.
Commentaire