Dossier Ransomware : Introduction
Vous l'aurez sans doute remarqué, mais en ces mois de mars et d'avril 2016, nous avons une énorme recrudescence de ransomwares. Après Locky est venu Petya, suivi de prêt par Keranger et Jigsaw. Ils sont présents sur la toile et ne semblent pas vouloir en partir. Quand une solution est trouvée, une nouvelle mouture fait son apparition apportant avec elle son lot de nouveaux vecteurs d'infections et d'effet sur votre machine.
Mais que sont réellement les ransomwares ?
Quels en sont vraiment les risques ?
Quels sont leurs effets sur votre ordinateur ?
Que faire si vous êtes infecté ?
Comment se prémunir d'une infection ?
Voici une partie des questions auxquelles nous allons répondre dans ce dossier spécial dédié aux ransomwares.
Qu'est-ce-qu'un ransomware ?
Avant de nous lancer dans de plus amples explications, il est bien de savoir ce qu'est une ransomware.
Un ransomware ou rançongiciel en français est un malware ayant pour but de vous extorquer de l'argent.
Il en existe de deux types :
1. Les ransomwares sans chiffrement
2. Les ransomwares avec chiffrement ou cryptoransomwares
Les ransomwares sans chiffrement effectuent des actions sur votre machine dans le but de vous faire payer une rançon.
Ainsi, WinLock affichait des images pédopornographiques sur les machines infectées et demandaient à ceux-ci de payer une rançon via des sms surtaxés afin de débloquer la machine.
Un autre exemple, Windows Product Activation, prévenait l'utilisateur que son Windows devait être réactivé et pour ce faire, l'utilisateur devait appeler 6 numéros surtaxés. Les ransomwares sans chiffrement n'infligent donc pas de dommages irrémédiables à votre machine.
De leur côté, les cryptoransomwares cryptent vos données (et parfois d'autres parties de votre système) avant de vous demander une rançon pour le déchiffrement.
Dépendant du ransomware qui vous a infecté, vous aurez donc plus ou moins de dégâts (comme nous le verrons dans la partie 4).
Ce qui est certain, c'est que ce type de ransomware cryptera vos données.
L'historique des ransomware
Le premier ransomware référencé est PC Cyborg Trojan (en 1989), le malware prévenait l'utilisateur que sa licence pour un certain logiciel n'était plus valide.
Les cibles étaient alors invitées payer 189 dollars à une société pour que leurs fichiers soient déchiffrés.
Cependant, erreur de conception ou chance pour les victimes, le chiffrement était symétrique donc relativement facile à casser.
C'est en 1996 que Adam L.Young et Moti Yung ont évoqué l'idée d'introduire un chiffrement asymétrique tel que le RSA dans ce genre d'attaques.
Cette idée ne fut cependant exploitée qu'à partir de 2005 environ. En 2006, GPcode.AG utilisait un chiffrement RSA avec une clé de 660 bits. En 2008 est sortie une nouvelle version de ce malware qui utilisait une clée de 1024 bits.
C'est à ce moment que les efforts nécessaires au déchiffrement sont devenus bien trop important pour être envisageable.
En effet, casser une clé de 1024 bit nécessiterait une puissance de calcul titanesque et massivement distribuée.
Parallèlement à ce gamme de ransomware utilisant le chiffrement pour prendre en otage les données des victimes, un second groupe de malware de ce type s'est développé.
Des ransomwares ne chiffrant pas les données mais ayant d'autres effets néfastes sur les machines des victimes.
Par exemple, en 2012, le malware Reveton infectait les machines des victimes et leur indiquait que leur ordinateur avait été repéré comme faisant du téléchargement illégal. Les victimes étaient alors invitées à payer via des coupons en lignes.
Avec l'évolution des technologies, les ransomwares utilisent maintenant des moyens de payement en bitcoin et font transiter les données échangées avec les serveurs pirates via les réseau Tor. Ces deux moyens permettant aux cyber criminels de rester relativement anonymes.
En cette année 2016, nous voyons une recrudescence de ransomware dont pour la toute première fois un malware de ce type s'attaquant aux machines sous OSX (Keranger).
Pourquoi cette recrudescence de ransomwares ?
La réponse à cette question est simple.
Parce que ça rapporte beaucoup d'argent.
En effet, dans ce monde du numérique, chacun d'entre nous stocke une impressionnante quantité de données.
Celles-ci peuvent aller du plus insignifiant fond d'écran à votre fichier texte contenant l'intégralité de vos mots de passe (ce qui est d'ailleurs, au passage, loin d'être conseillé).
Perdre toutes ces données, c'est donc perdre toute une partie de sa vie. La plupart des gens donneraient donc beaucoup pour récupérer leurs données perdues.
Petit rappel théorique
Dans ce dossier, deux vecteurs d'infection vont fréquemment être abordés : le phishing et le spear-phishing.
Voici donc un petit rappel théorique dédié aux plus tête en l'air d'entre-vous.
Le phishing ou hameçonnage en français , est une méthode utiliser par les pirates, dans le but de vous soutirez des informations personnelles (votre mot de passe, votre numéro de carte…).
Ou encore de vous faire téléchargez un logiciel, d'ouvrir une pièce jointe, ...
Le phishing est utilisé principalement par mail.
Le but de cette méthode consiste à se faire passer pour une banque ou une entreprise, afin de vous soutirez des informations.
Dans une tentative de phishing, le message est dit générique, il est fait pour être envoyé à un grand nombre de personnes. Les personnes ne sont pas repérées à l'avance, on espère que l'une d'entre elles tombera dans le panneau.
Le spear-phishing, quant à lui, reprend les bases du phishing, mais en plus poussées et en plus ciblées.
Il s'appuie également sur du social engineering.
En spear phishing, le message n'est plus générique, il n'est plus destiné à un grand nombre de personnes, mais à un petit groupe, voir même une seule personne (repérée au préalable).
On sait que le victime va donner ses informations, car on se sera renseigné sur elle, pour paraître le plus crédible possible.
Organisation du dossier
Chaque partie de ce dossier a pour but de vous faire découvrir un nouvel aspect du monde des ransomwares.
Ce dossier sera donc composé de 3 parties :
1. Une introduction au monde des ransomwares (cette page)
2. Une description des ransomwares les plus connus accompagnée des techniques pour la protection pré et post infection
3. Une conclusion munies de lien pour aller plus loin.
Lire la suite : Dossier Ransomware 2016 : 2. Méthodes de protection et désinfection pour chaque ransomware
Vous l'aurez sans doute remarqué, mais en ces mois de mars et d'avril 2016, nous avons une énorme recrudescence de ransomwares. Après Locky est venu Petya, suivi de prêt par Keranger et Jigsaw. Ils sont présents sur la toile et ne semblent pas vouloir en partir. Quand une solution est trouvée, une nouvelle mouture fait son apparition apportant avec elle son lot de nouveaux vecteurs d'infections et d'effet sur votre machine.
Mais que sont réellement les ransomwares ?
Quels en sont vraiment les risques ?
Quels sont leurs effets sur votre ordinateur ?
Que faire si vous êtes infecté ?
Comment se prémunir d'une infection ?
Voici une partie des questions auxquelles nous allons répondre dans ce dossier spécial dédié aux ransomwares.
Qu'est-ce-qu'un ransomware ?
Avant de nous lancer dans de plus amples explications, il est bien de savoir ce qu'est une ransomware.
Un ransomware ou rançongiciel en français est un malware ayant pour but de vous extorquer de l'argent.
Il en existe de deux types :
1. Les ransomwares sans chiffrement
2. Les ransomwares avec chiffrement ou cryptoransomwares
Les ransomwares sans chiffrement effectuent des actions sur votre machine dans le but de vous faire payer une rançon.
Ainsi, WinLock affichait des images pédopornographiques sur les machines infectées et demandaient à ceux-ci de payer une rançon via des sms surtaxés afin de débloquer la machine.
Un autre exemple, Windows Product Activation, prévenait l'utilisateur que son Windows devait être réactivé et pour ce faire, l'utilisateur devait appeler 6 numéros surtaxés. Les ransomwares sans chiffrement n'infligent donc pas de dommages irrémédiables à votre machine.
De leur côté, les cryptoransomwares cryptent vos données (et parfois d'autres parties de votre système) avant de vous demander une rançon pour le déchiffrement.
Dépendant du ransomware qui vous a infecté, vous aurez donc plus ou moins de dégâts (comme nous le verrons dans la partie 4).
Ce qui est certain, c'est que ce type de ransomware cryptera vos données.
L'historique des ransomware
Le premier ransomware référencé est PC Cyborg Trojan (en 1989), le malware prévenait l'utilisateur que sa licence pour un certain logiciel n'était plus valide.
Les cibles étaient alors invitées payer 189 dollars à une société pour que leurs fichiers soient déchiffrés.
Cependant, erreur de conception ou chance pour les victimes, le chiffrement était symétrique donc relativement facile à casser.
C'est en 1996 que Adam L.Young et Moti Yung ont évoqué l'idée d'introduire un chiffrement asymétrique tel que le RSA dans ce genre d'attaques.
Cette idée ne fut cependant exploitée qu'à partir de 2005 environ. En 2006, GPcode.AG utilisait un chiffrement RSA avec une clé de 660 bits. En 2008 est sortie une nouvelle version de ce malware qui utilisait une clée de 1024 bits.
C'est à ce moment que les efforts nécessaires au déchiffrement sont devenus bien trop important pour être envisageable.
En effet, casser une clé de 1024 bit nécessiterait une puissance de calcul titanesque et massivement distribuée.
Parallèlement à ce gamme de ransomware utilisant le chiffrement pour prendre en otage les données des victimes, un second groupe de malware de ce type s'est développé.
Des ransomwares ne chiffrant pas les données mais ayant d'autres effets néfastes sur les machines des victimes.
Par exemple, en 2012, le malware Reveton infectait les machines des victimes et leur indiquait que leur ordinateur avait été repéré comme faisant du téléchargement illégal. Les victimes étaient alors invitées à payer via des coupons en lignes.
Avec l'évolution des technologies, les ransomwares utilisent maintenant des moyens de payement en bitcoin et font transiter les données échangées avec les serveurs pirates via les réseau Tor. Ces deux moyens permettant aux cyber criminels de rester relativement anonymes.
En cette année 2016, nous voyons une recrudescence de ransomware dont pour la toute première fois un malware de ce type s'attaquant aux machines sous OSX (Keranger).
Pourquoi cette recrudescence de ransomwares ?
La réponse à cette question est simple.
Parce que ça rapporte beaucoup d'argent.
En effet, dans ce monde du numérique, chacun d'entre nous stocke une impressionnante quantité de données.
Celles-ci peuvent aller du plus insignifiant fond d'écran à votre fichier texte contenant l'intégralité de vos mots de passe (ce qui est d'ailleurs, au passage, loin d'être conseillé).
Perdre toutes ces données, c'est donc perdre toute une partie de sa vie. La plupart des gens donneraient donc beaucoup pour récupérer leurs données perdues.
Petit rappel théorique
Dans ce dossier, deux vecteurs d'infection vont fréquemment être abordés : le phishing et le spear-phishing.
Voici donc un petit rappel théorique dédié aux plus tête en l'air d'entre-vous.
Le phishing ou hameçonnage en français , est une méthode utiliser par les pirates, dans le but de vous soutirez des informations personnelles (votre mot de passe, votre numéro de carte…).
Ou encore de vous faire téléchargez un logiciel, d'ouvrir une pièce jointe, ...
Le phishing est utilisé principalement par mail.
Le but de cette méthode consiste à se faire passer pour une banque ou une entreprise, afin de vous soutirez des informations.
Dans une tentative de phishing, le message est dit générique, il est fait pour être envoyé à un grand nombre de personnes. Les personnes ne sont pas repérées à l'avance, on espère que l'une d'entre elles tombera dans le panneau.
Le spear-phishing, quant à lui, reprend les bases du phishing, mais en plus poussées et en plus ciblées.
Il s'appuie également sur du social engineering.
En spear phishing, le message n'est plus générique, il n'est plus destiné à un grand nombre de personnes, mais à un petit groupe, voir même une seule personne (repérée au préalable).
On sait que le victime va donner ses informations, car on se sera renseigné sur elle, pour paraître le plus crédible possible.
Organisation du dossier
Chaque partie de ce dossier a pour but de vous faire découvrir un nouvel aspect du monde des ransomwares.
Ce dossier sera donc composé de 3 parties :
1. Une introduction au monde des ransomwares (cette page)
2. Une description des ransomwares les plus connus accompagnée des techniques pour la protection pré et post infection
3. Une conclusion munies de lien pour aller plus loin.
Lire la suite : Dossier Ransomware 2016 : 2. Méthodes de protection et désinfection pour chaque ransomware
Commentaire