Article Interessant, Technologies

Ransomwares, Cryptolockers : qu’est-ce que c’est ? Par Alexandre en RISR

 

ransomware-2321665_640

Le ransomware, ou « rançongiciel », est un type de logiciel malveillant qui bloque l’accès à un PC, prenant en otage les données personnelles de l’utilisateur,


et demandant ensuite à celui-ci de payer pour y accéder de nouveau.

En entreprise, la forme la plus répandue de ce type d’infection est le « cryptolocker », dont le principe est de chiffrer les données de l’utilisateur, en visant prioritairement certaines extensions de fichiers (fichiers Microsoft Office, photos, vidéos, documents PDF…) et visant tout type de support : disque durs internes, externes, disques partagés sur le réseau, périphériques USB et parfois cloud (exemple : Dropbox).

Apparition et évolution des Ransomwares et Cryptolockers

Les 1ères références au ransomware tel qu’on le connaît de nos jours datent de 1989, avec l’apparition d’un malware appelé « AIDS Trojan », diffusé par l’intermédiaire de disquettes 5’’ ¼ envoyées par courrier. Une fois activé, celui-ci chiffrait tous les fichiers présents sur l’ordinateur puis demandait un paiement pour le déchiffrement.

Le développement d’internet, des échanges mails, du téléchargement, ont contribué dans les années 90 et 2000 à l’apparition de nouvelles menaces :

– Les faux anti-virus, avertissant l’utilisateur d’une infection sur son poste, et lui proposant de payer pour désinfecter la machine (en 2009, 43 millions d’attaques ont été recensées par Symantec),

– Les « encryption ransomware », qui chiffrent les fichiers présents sur la machine (doc, pdf, images….). On peut citer comme exemple Cryptolocker, TeslaCrypt, Locky, Cryptowall…

– Le « lock screen ransomware », qui verrouille l’accès à la machine en échange d’un paiement : par exemple Reveton, plus connu sous le nom de « Virus du Gendarme », qui accuse l’utilisateur d’activités de téléchargement illégales et réclame le paiement d’une « amende »,

– Le « MBR Ransomware », qui s’attaque directement au secteur de démarrage du disque et rend donc inutilisable la machine, à moins de céder au chantage…

Pour l’anecdote, le ransomware Cryptolocker a généré, d’après les estimations de chercheurs en sécurité, un montant d’au moins 5 millions de dollars pour son créateur au cours de l’année 2013.

Modes de diffusionhacked-1753263_640

– Par mail : faux mails d’entreprises réelles, comportant des pièces-jointes de type PDF se présentant comme une facture ou tout autre document,

– Clés USB (comme vu récemment du côté de Villeneuve d’Ascq, où des habitants ont retrouvé des clés USB infectées dans leurs boîtes aux lettres…)

– Pages Web malicieuses

– Bannières Publicitaires

– Téléchargements (films, musique, logiciels,…)

Comment se protéger de ces menaces ?

1. Réaliser des sauvegardes régulières

Disques durs internes, disques réseaux, NAS, SAN,.. Tous ces systèmes de stockages ne sont pas infaillibles : il convient donc de procéder à une sauvegarde régulière de ses données importantes (photos, documents etc…), afin de pouvoir récupérer tous les fichiers endommagés lors d’une infection. Dans l’idéal la sauvegarde doit être faite sur un support qui n’est lié à l’appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne, sauvegarde sur bandes…) afin d’éviter toute propagation des logiciels malveillants lors d’une attaque.

2. Mettre à jour son système et ses logiciels

Tout logiciel malveillant se diffuse en utilisant des failles logicielles ou système comme portes d’entrées. Il est important de tenir à jour les systèmes Windows, Mac, Android, iOS ou autres, mais aussi les logiciels qui y sont installés, en particulier les navigateurs Web.

3. Redoubler de prudence avec les pièces jointes

L’email est devenu au fil du temps un moyen indispensable à la communication en entreprise, mais aussi à l’échange de fichiers : c’est donc l’un des moyens que les pirates utilisent pour diffuser leurs logiciels malveillants, via le système de pièce-jointe. Il convient donc aux utilisateurs d’être attentifs aux pièces-jointes qu’ils téléchargent.

 

4. Utiliser un antivirus à jour

Les logiciels malveillants, virus et autres malwares, évoluent en permanence : utiliser un antivirus à jour permet de s’assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que celles-ci seront reconnues. Attention toutefois, un fichier téléchargé mais non signalé comme dangereux par l’antivirus ne signifie pas pour autant que celui-ci est sain.
5. Le Behavior Monitoring, une nouvelle arme

Les techniques de propagation et méthodes d’attaques des ransomwares évoluant rapidement au cours du temps, les éditeurs de logiciels de sécurité sont donc tenus d’être attentifs à toute nouvelle technique d’infection afin de pouvoir y pallier le plus rapidement possible.

C’est pour cela que les hackers se sont mis à créer de nouveaux logiciels malicieux, fonctionnant sur le même principe que le ransomware, mais n’ayant pas le même comportement : au lieu d’envoyer directement un fichier menaçant à l’utilisateur qui serait aujourd’hui détecté par l’anti-virus, on assiste ici à l’envoi de fichiers « propres » aux yeux de l’anti-virus, qui permettent, une fois hébergés sur l’ordinateur de l’utilisateur, de télécharger d’autres fichiers sur un serveur distant pour préparer son attaque, bernant complètement l’anti-virus. C’est là que le Behavior Monitoring va faire son travail. En analysant les comportements des applications, les processus et le trafic sur le réseau, l’anti-virus va s’apercevoir qu’un programme fait des requêtes vers un serveur inconnu et va donc stopper toutes ces transactions dans le but de parer à une éventuelle infection. De même, il sera capable de détecter que certains fichiers commencent à être cryptés, et pourra donc stopper la tâche exécutée pour neutraliser le programme malveillant.

En cas infection, que faire ?

1. Ne pas payercastle-1419280_640

Il peut être tentant de céder au chantage et de payer pour débloquer son ordinateur ou ses fichiers, mais il n’existe aucune garantie que cela fonctionne.

2. Arrêter la propagation

Dès le début de l’infection, il faut simplement débrancher les supports de stockage externes (disques, clés USB,…) et isoler l’ordinateur du réseau local afin d’éviter une propagation sur le LAN.

3. Désinfecter la machine

Il existe de nombreux outils anti-virus ou anti-malwares, permettant de se débarrasser des logiciels indésirables.

4. Comment retrouver ses fichiers ?

De nombreux éditeurs de logiciels ainsi que des chercheurs en sécurité ont mis au point des outils permettant en cas d’infection de décrypter ses fichiers. Il en existe désormais une multitude sur le net, on peut citer par exemple AVG Decryptor (qui agit notamment sur les ransomwares Bart, Crypt888, Legion, TeslaCrypt et ses variantes…), TrendMicro Ransomware File Decryptor (pour Locky, CryptXXX, Cerber, SNSLocker,..), mais aussi No More Ransom Project, qui propose à l’utilisateur d’uploader sur leur site l’un de ses fichiers chiffrés afin de déterminer quel malware a été utilisé et proposer l’outil adéquat au déchiffrement.

Conclusion

Avec la rapide expansion du phénomène Ransomware, mais aussi la simplicité avec laquelle les systèmes actuels de sécurité (anti-virus, anti-malwares) sont contournés par ceux-ci, de nombreuses questions de sécurité se posent.

En effet, avec l’apparition de la domotique, de l’Internet des Objets, de l’informatique industrielle, mais aussi des voitures autonomes, il ne serait pas surprenant de voir émerger, dans les prochaines années, de nouvelles versions de logiciels malicieux ayant pour but de prendre le contrôle de ces nouvelles technologies : le chiffrement des configurations et des infrastructures de contrôle permettra aux attaquants de prendre en otage des thermostats, des infrastructures d’éclairage ou même des automobiles contre le versement d’une rançon.

L’Internet Industriel des Objets (IIoT) court un danger encore plus grand : les ransomwares pourront paralyser la capacité de production d’une usine ou l’activité d’une entreprise de service public…

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s