Les solutions avant l'infection
Pour tous les ransomwares comme pour les malwares en général, le plus important est de bien protéger votre système, et de prendre les bonnes habitudes.
Avant de passer au cas par cas pour chaque ransomware, vérifiez que votre machine est correctement protégée : antivirus, antimalware, logiciel de nettoyage…
Voilà quelques logiciels qui pourraient vous éviter bon nombre d'infections, et de très nombreux outils gratuits sont disponibles un peu partout.
> http://goo.gl/g1TqOl
Etre protégé est une bonne chose, avoir les bon réflexes en est une autre ! En effet Lorsque un ransomware s'attaque à vos données, vous n'irez pas très loin sans sauvegarde.
Ainsi, faire régulierment des sauvegardes, effectuer les mises à jour, prendre garde lors de l'installation d'un logiciel…
Voilà quelques bonne habitudes à prendre.
> http://goo.gl/l05Cuk
Analyse au cas par cas
Locky:
Locky vise les machines sous Windows, mais également les serveurs de fichiers sous OSX et Linux.
Une fois sur votre machine, l'ensemble de vos fichiers se retrouve crypté, et remplacé par des fichiers .locky.
Le fond d'écran est également modifié, vous trouverez dessus l'ensemble des instructions pour payer la rançon.
Pour crypter vos données, Locky utilise une méthode composée de RSA-2048 et AES-1024.
L'ancienne version de Locky comportait une faille qui permettait, grâce à certaines actions, d'appliquer un vaccin qui vous protégeait, et qui vous permettait de récupérer vos données.
La version actuellement en circulation corrige cette faille, mais il est toujours possible d'appliquer un vaccin dynamique.
Dans les fait, Locky crée une clé de registre qui dépend de l'identifiant de la machine.
Le vaccin se présente sous la forme d'un programme Python, et, en soumettant à ce dernier votre identifiant Locky, vous retrouverez vos données.
Petya:
Peya vise uniquement les machines sous Windows.
Après l'infection, Petya vous fait croire à une vérification de vos fichiers.
En vérité, le ransomware est en train de crypter l'intégralité de vos données.
Au redémarrage de votre PC, une énorme tête de mort sur fond rouge s'affiche sur votre écran, suivi d'un message vous indiquant de payer la rançon.
Dans cet état, votre PC est complétement inutilisable.
Pour crypter vos données, Petya utilise une méthode composée de RSA 4096 bits et AES-256.
Votre machine est infectée par Petya ? Il vous suffit de suivre les étapes suivantes:
- Récupérez le disque dur infecté et connectez-le à un autre ordinateur, grâce à un boîtier externe par exemple.
- Téléchargez le logiciel Petya Extractor en cliquant ici, décompressez-le puis lancez-le (ce dernier va scanner vos disques durs et déterminer lequel est infecté).
- Allez à cette adresse, et entrez les informations que Petya Extractor vous a transmises.
- Après avoir cliqué sur « Submit », la page vous communique la clé de déchiffrement que Petya vous demande. Gardez-la précieusement.
- Réinstallez votre disque dur infecté à son emplacement d'origine, lancez l'ordinateur et entrez la clé de déchiffrement lorsque Petya vous le demande.
Jigsaw:
Jigsaw cible uniquement les machines sous Windows.
Après l'infection, tous vos fichiers se retrouvent cryptés, les extensions de bases se retrouvent modifiées par des .FUN, .KKK, ou encore .BTC.
Un message avec la tête du personnage Saw, tiré des films d'horreur s'affiche, vous incitant à payer la rançon.
Jigsaw supprime un peu de vos fichiers toutes les heures, ce qui veut dire que plus tardivement vous payez la rançon, moins vous récupérerez de fichiers.
On ne sait pas vraiment avec quoi Jigsaw crypte les fichiers présents sur le système.
Votre machine est infectée par Jigsaw ? Il vous suffit de suivre les étapes suivantes:
- Tuez les processus firefox.exe et drpbx.exe via le gestionnaire de tâches pour empêcher de futures suppressions sauvages.
- Ensuite, lancez MSConfig et décochez le lancement automatique au démarrage de Windows, du programme firefox.exe appelé via ce chemin :
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - Puis, téléchargez le déchiffreur qui se trouve ici https://download.bleepingcomputer.co...wDecrypter.zip
ManameCrypt:
ManameCrypt cible uniquement les machines sous Windows.
Après l'infection, tous vos fichiers se retrouvent cryptés.
Mais en plus de cela, le ransomware bloque l'accès à certains programmes, qui auraient pu vous permettre de vous protéger.
Votre machine est complétement inutilisable.
Votre machine est infectée par ManameCrypt ?
Le ransomware crypte les données dans un fichier RAR, qu'il est possible de casser.
Le mot de passe pour le fichier RAR se compose des éléments suivants:
SHA1Hash (Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + nom d’utilisateur.
Le SHA1 est le nom du fichier .RAR. Le nom peut être déterminé comme suit: appuyez sur la touche Windows + R; puis entrez cmd et appuyez sur Entrée. Dans la fenêtre de ligne de commande nouvellement ouverte, entrez echo% username% et appuyez sur Entrée à nouveau. La chaîne affichée est le nom d’utilisateur.
Exemple: Le fichier .RAR créé par Manamecrypt est appelé 123456789DSB et le nom d’utilisateur est 92829.
Le mot de passe est donc 123456789DSB92829.
SamSam:
SamSam cible uniquement les machines sous Windows.
SamSam, ne chiffre pas les données d'un ordinateur, mais d'un serveur.
Le principe est le même mais les conséquences plus importantes.
En effet, une fois sur le serveur le ransomware va crypter tous les fichiers se trouvant sur ce dernier, et demander un rançon.
Pour crypter les fichiers, SamSam utilise une méthode composée de AES + clé en RSA.
Vous pouvez supprimer SamSam avec n'importe quel outil de suppression de malware, mais les chances de récupérer vos données ici sont très minces.
Vous pouvez essayer de reverser vos fichiers à une date datant d'avant l'infection.
Vous pouvez également procéder avec Récuva.
Le meilleur moyen de lutter contre les ransomwares reste la pré-protection.
Faites régulièrement des sauvegardes, c'est le moyen de protection n°1 contre ce type d'attaque.
CryptoLocker:
CryptoLocker cible uniquement les machines sous Windows.
Après l'infection, l'intégralité de vos fichiers se retrouve cryptée.
Un message s'affiche, vous demandant de payer la rançon, sous menace de supprimer tous les fichiers dans les 72 prochaines heures.
En vérité, le ransomware se contententera d'augmenter la somme de la rançon.
Pour crypter vos fichiers, CryptoLocker utilise une paire de clés de chiffrement RSA de minimum 2048 bits .
Votre machine est infectée par CryptoLocker ?
Pas de problème, il est possible de décrypter vos fichiers si vous êtes infecté par CryptoLocker.
Rendez vous sur ce site : https://decryptcryptolocker.com/, et uploadez un des fichiers cryptés pas le ransomware.
Le site vous enverra ensuite par mail, un petit utilitaire pour déchiffrer vos données.
TelsaCrypt:
TelsaCrypt cible uniquement les machines sous Windows.
Après l'infection, l'intégralité de vos fichiers se retrouve cryptée.
Un message s'affiche en vous indiquant commment payer la rançon.
Windows et les programmes installés ne sont pas affectés, et ce, pour vous permettre de payer la rançon.
Pour crypter vos fichiers, TelsaCrypt utilise une méthode à base de RSA 4096.
A ce jour, aucun moyen de décrypter les fichiers n'existe.
Vous pouvez néanmoins supprimer le malware pour éviter d'autres infections, et ce grâce à un logiciel de désinfection.
Keranger:
Keranger cible uniquement les machines sous Mac.
Une fois infecté, le ransomware attend trois jour avant de lancer la procédure de chiffrement.
Une fois cette dernière réalisée, le ransomware vous réclame la rançon.
Pour crypter vos fichiers Keranger utilise une méthode à base d'AES.
Votre machine est infectée par Keranger ?
Pas de problème, KeRanger n'est présent que dans la version 2.9 du logiciel de Torent Transmission.
Il vous suffit d’installer la version 2.92 qui ne contient pas le malware, mais qui contient également un outil de suppression de ce dernier.
CTB-Locker:
CTB-Locker cible uniquement les machines sous Windows, mais des variantes existent sous Linux.
Après l'infection, le ransomware scanne vos fichiers, et en sélectionne un grand nombre de manière aléatoire, qu'il va copier dans une archive, avant de supprimer les originaux.
Un message apparaît ensuite, vous réclamant la rançon.
Nous n'avons aucune idée de la méthode utilisée par CTB-Locker pour crypter vos fichiers.
Votre machine est infectée par CTB-Locker ?
Il vous suffit d'analyser votre machine avec un anti-spyware pour stopper l'infection.
Supprimez tous les exécutables du dossier %Temp% et supprimez le travail caché dans le Gestionnaire de tâches de Windows.
Cryptowall:
Cryptowall cible uniquement les machines sous Windows. Après l'infection, l'intégralité de vos données se retrouve cryptée. Un message s'affiche sur votre écran, avec toutes les explications pour payer la rançon. Pour crypter vos fichiers Cryptowall utilise une méthode à base de RSA 2048. Votre machine est infectée par Cryptowall ? Il est facile de le supprimer, avec n'importe quel outil de suppression de malware. Mais récupérer vos données est plus compliqué. Vous avez une chance si le versionnage était activé avant l'infection de votre machine. Vous pouvez également procéder avec Récuva, si vous possédiez le logiciel avant l'infection de la la machine.
Après l'infection
Après une infection votre système est fragilisé.
Le mieux est de repartir de zéro avec vos données fraîchement récupérées.
Le but est de sécuriser au maximum votre système.
Commencez par faire des sauvegardes régulières de vos documents les plus précieux.
Installez également des logiciels de nettoyage, faites vos mises à jour, lancez plusieurs scans à l'aide de votre Anti-Virus...
Bref: mettez toutes les chances de votre côté.
Lire la suite : Dossier Ransomware 2016 : 3. Conclusion et liens utiles
Commentaire