Qu'est-ce qu'un Ransomware ?Le
ransomware est un malware, appelé parfois à tort "virus", ou à raison
s'il se duplique et propage de lui même, qui a pour but final de
soutirer de l'argent à sa victime. L'infection passe par le
téléchargement d'un logiciel malveillant parfois dissimulé dans la pièce
jointe d'un email piégé ou au bout d'un lien. Il peut aussi se diffuser
par le biais de pages web piratées qui tentent d'utiliser les failles
des systèmes d'ordinateurs ou des logiciels.
Lorsque le ransomware a pris place sur l'ordinateur (ou le smartphone, dans 20%
des cas selon Kaspersky) de sa victime il applique un blocage du
système ou un chiffrement (cryptage) sur les fichiers et dossiers
personnels de l'ordinateur de telle sorte qu'ils deviennent illisibles.
Une fois son travail terminé il indique à l'utilisateur piégé un moyen
de débloquer l'ordinateur de récupérer ses fichiers, généralement en
payant une rançon contre la clé de cryptage qui permettra d'ôter le
chiffrement. Le logiciel tente de se faire passer pour une autorité :
police, gendarmerie, FBI, lutte contre le téléchargement illégal etc.
D'autre exemples dans le sujet du forum sur les ransomware.
L'utilisateur n'a donc d'autres choix que de perdre ses fichiers ou de payer la
rançon. La paiement ne garantit toutefois pas que les moyens permettant
la récupération seront effectivement fournis par le pirate. Il est donc
conseillé de ne pas payer et de tenter de récupérer quelques fichiers
par d'autres moyens.
Comment le malware agit-il ?
Le
fonctionnement d'un ransomware est un peu particulier car il doit mener
à bien de multiples tâches pour être efficace. La première est
probablement la plus importante mais la moins technique : elle consiste à
s'introduire sur l'ordinateur d'une victime. Dans certains cas
particuliers comme lors de l'attaque de Petya/NotPetya/Petrwap
les pirates ont utilisé le système de mise à jour d'un logiciel, MEDoc,
pour s'introduire ne laissant aucune possibilité aux victimes pour
prévenir l'infection. Plus habituellement les pirates utilisent la
ruse pour s'introduire sur l'ordinateur en se servant d'emails piégés
(technique du phishing). Ils redirigent l'utilisateur vers un site
infecté ou font télécharger une pièce jointe piégée. Une fois sur
l'ordinateur, s'ils arrivent à passer le cap de l'antivirus, c'est là
que le malware commence à faire son oeuvre, parfois en établissant la
communication avec un serveur pour récupérer les éléments nécessaires à
l'infection.
La suite est toujours la même avec seulement une petite variante. Soit les
pirates affichent un message de menace et bloque quelques
fonctionnalités, soit le malware chiffre les données personnelles pour
les rendre inaccessibles. Un message s'affiche ensuite pour indiquer à
l'utilisateur les conditions pour récupérer ses données, généralement
via le paiement d'une rançon.
Comment se protéger ?Il
existe plusieurs variantes de ransowware baptisés avec des noms tels
que : Wannacrypt, Cryptowall, Cryptolocker, Petya ou Locky etc. Ce
dernier est particulièrement virulent selon l'éditeur de solutions de
sécurité qui fournit quelques conseils pour éviter de tomber dans la piège des ransomwares.
1. Sauvegarder ses fichiers Le
conseil est valable pour les ransomwares mais aussi pour l'informatique
en général. Les disques durs ou autre systèmes de mémoire tout comme
les systèmes ne sont pas infaillibles, il convient donc d'avoir ses
données importantes (photos, documents etc...) dupliqués à deux endroits
différents en tout temps. Dans l'idéal la sauvegarde doit être faite de
façon régulière sur un support qui n'est liée à l'appareil à
sauvegarder uniquement lors de la copie des fichiers (clé USB, disque
dur externe, sauvegarde en ligne...). En effet les ransomwares peuvent
également se propager aux supports de stockage connectés à l'appareil
infecté. 2. Mettre à jour son système et ses logiciels Le
ransomware, ou plus généralement les malware, se diffusent en utilisant
des failles de logiciels ou des systèmes comme porte d'entrée. C'est ce
qui a permis aux pirates de mener la cyberattaque WannaCrypt. Tenez à
jour vos systèmes Windows, Linux, Mac, Android, iOS ou autres et
vérifiez régulièrement que vous utilisez la dernière version de vos
logiciels favoris, notamment les navigateurs. Enfin, certains systèmes
d'exploitation ou logiciels ne sont plus supportés et ne reçoivent plus
de mises à jour de sécurité. C'est le cas notamment de Windows XP qui ne
devrait plus être utilisé, sans parler de l'antédiluvien Windows-7. 3. Redoubler de prudence avec les pièces jointes Le
système de pièces jointes des courriers électroniques est devenu au fil
du temps un moyen indispensable pour échanger des fichiers mais c'est
aussi un des moyens que les pirates utilisent pour diffuser leur
logiciel malveillant. Comme on l'a vu avec
une pièce jointe annoncée comme étant une facture peut contenir un
malware, il convient donc d'éviter d'ouvrir ou d'exécuter des pièces
jointes reçues si on a un doute sur le but du message. Demandez
confirmation à l'expéditeur si vous n'êtes pas certains que l'envoi est
légitime. 4. Utiliser un antivirus à jour Les
logiciels malveillants, virus et autres malwares, évoluent en
permanence. Pour cette raison on pourra trouver différentes variantes
d'un ransomware. Utiliser un antivirus à jour permet de s'assurer que les dernières signatures de logiciels
malveillants sont bien enregistrées et que votre antivirus pourra le
reconnaitre. Attention toutefois, un fichier téléchargé mais non signalé
comme dangereux par l'antivirus ne signifie pas pour autant qu'il est
sain. 5. Activer la protection des dossiers de Windows 10 Dans
sa dernière version majeure distribuée à l'automne 2017 Microsoft a mis
en place un nouveau moyen de défense qui vise particulièrement les
ransomware : le dispositif d'accès contrôlé aux dossiers. Il permet
d'indiquer au système que l'on souhaite protéger ses dossiers
personnels, ceux utilisés habituellement par Windows. Si d'autres
dossiers sont à protéger il est également possible de les désigner
manuellement. Activer cette protection, qui ne l'est pas par défaut, va
empêcher les applications non autorisées d'accéder aux dossiers pour y
apporter des modifications, exactement le type de fonctionnement des
malware qui veulent bloquer l'accès aux fichiers. En pratique :
En cas infection, que faire ?6. Ne pas payer Il
est tentant de payer si l'on possède les moyens de céder au chantage
mais c'est une fausse bonne idée. Tout d'abord rien ne garantit que les
pirates vous fourniront la clé qui permettra de déchiffrer vos fichiers
ou débloquer votre ordinateur. Ensuite cela encourage ce type d'attaques
et la mésaventure pourrait bien se répéter pour vous ou vos proches. 7. Arrêter la propagation Dès
que vous connaissance de l'infection, débranchez les disques externes
encore sains pour éviter le chiffrement de vos fichiers encore intacts
et isolez l'ordinateur dans votre réseau pour éviter que le logiciel
malveillant se propage à d'autres ordinateurs. Éteignez tout simplement
l'ordinateur et débranchez-le d'internet. 8. Désinfecter l'ordinateur
Si vous avez éteint l'ordinateur alors que tous les fichiers n'étaient pas
encore chiffrés utilisez un CD bootable qui va vous permettre de mettre en sécurité sur un disque
externe ou une clé USB ce qui a été préservé. Utilisez ensuite un autre
CD bootable de sécurité comme ceux proposés par les antivirus (exemple
avec Comodo ou BitDefender.
pour tenter de désinfecter l'ordinateur. Si l'infection ne bloque pas
l'ordinateur et que celui-ci est toujours en route et internet
accessible, cherchez un outil de désinfection en vous faisant aider
éventuellement en demandant de l'aide dans le forum désinfection.
9. Retrouver ses fichiers Les
éditeurs de logiciels et chercheurs spécialisés en sécurité ont mis au
point des outils et mis la main sur des clés de cryptage de certains
ransomware. Vérifiez avant tout en cherchant sur internet et en
demandant conseil dans les forums.
Si aucune solution n'existe vous pouvez tenter de récupérer quelques
fichiers en cherchant dans les fichiers temporaires ou en utilisant des
logiciels de récupération spécialisés.
10.Signaler l'attaque aux autorités, à votre hebergeur, à votre fournisseur
d'antivirus et à votre banque... Il
est peu probable que la gendarmerie ou le commissariat de votre
quartier mettre en oeuvre des moyens techniques dignes des experts pour
analyser votre ordinateur ou tenter d'arrêter les attaquants qui se
trouvent généralement à l'étranger. Le signalement ou dépôt de plainte
aura toutefois le mérite d'attirer l'attention sur ce fléau.
Il faudra changer vos mots de passe chez votre hébergeur et chez votre
établissement bancaire. Quant à votre fournisseur d'antivirus, il sera très
certainement intéressé par la structure du message de menace, voire par le
contenu de votre ordinateur.
|