image ransomware
Pour nous contacter (+33) 02 90 38 04 42
Numéro non surtaxé

Qu'est ce qu'un Ransomware ?


Le saviez vous ?


De nos jours, être victime d'une demande de rançon peut se faire par des vecteurs radicalement différents, et notamment par le biais de votre ordinateur. Nous parlons ici de Ransomware, un type de logiciel particuliérement malveillants, et qui a fait ces derniers jours la une des actualités.

Petit condensé historique du ransomware.

Quand ces logicels ont ils commencés leurs tristes carrières ?

  • 1986: Apparition du tout premier ransomware, le 1989 AIDS Trojan (plus connu sous le nom de «PC Cyborg»), est écrit par Joseph Popp. Au bout de 90 redémarrage du pc, les répertoires étaient cachés et les noms des fichiers encryptés. L'utilisateur était invité à verser 189$ sur un compte au Panama.
  • 2005: Les premiers ransomware destinés à l'extortion apparaissent.
  • 2006: Le phénoméne s'accroit et en milieu d'année, et des vers tels que Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip et MayArchive commencent à utiliser des schémas de chiffrement RSA plus sophistiqués, avec des tailles de clefs d'encryption toujours croissantes.
  • 2011: Un vers ransomware worm imitant l'invite d'activation Microsoft fait son apparition.
  • 2012: En 2012, un Trojan de ransomware majeur connu sous le nom de Reveton a commencé à se propager. Basé sur le Citadel Trojan (qui lui-même, est basé sur le cheval de Troie Zeus ), il affiche un avertissement prétendument d'un organisme officiel affirmant que l'ordinateur a été utilisé pour des activités illégales, comme le téléchargement de logiciels non autorisés ou la pornographie juvénile. L'utilisateur est donc invité à payer une amende pour reprendre le contrôle de son ordinateur.
  • 2013: Un vers ransomware ,basé sur un exploit Kit Stamp.EK spécifique à Mac OS Xs, fait son entré en scéne. Ce CryptoLocker extorque environ 5 million de Dollars sur les quatres derniéres mois de l'année 2013. Fin de l'année, propagation de Cryptolocker, un vers affectant MS Windows. Un fichier ZIP attaché à un message électronique contient un fichier exécutable avec le nom du fichier et l'icone déguisée en fichier PDF. CryptoLocker a également été propulsé à l'aide du Trojan et du botnet Gameover ZeuS. En décembre 2013, ZDNet a estimé en fonction des informations sur les transactions de Bitcoin que, entre le 15 octobre et le 18 décembre, les opérateurs de CryptoLocker avaient acheté environ 27 millions de dollars US auprès d'utilisateurs infectés. En Juin 2014, la justice Américaines accuse le pirate russe Evgeniy Bogachev d'être à l'origine du Botnet.
  • 2015: Le phénoméne prend de l'ampleur au travers de multiple variantes touchant à présent plus de plateforme.
  • 2017:En mai 2017, l' attaque de ransomware de WannaCry s'est propagée par Internet, en utilisant un vecteur d'exploitation que Microsoft avait publié un patch "critique" pour ( MS17-010 ) deux mois. L'attaque de ransomware a infecté plus de 75 000 utilisateurs au-delà 99 pays, utilisant 20 langues différentes pour demander de l'argent aux utilisateurs. L'attaque a touché Telefónica et plusieurs autres grandes entreprises en Espagne, ainsi que des parties du British National Health Service (NHS), où au moins 16 hôpitaux ont dû renvoyer les patients ou annuler les opérations prévues,FedEx , Deutsche Bahn , einsi que le Ministère russe de l' Intérieur et MegaFon télécom en Russie. En France, le constructeur automobile Renault met son usine de Sandouville à l'arrêt pendant le Week-end.

Alors voici comment cela fonctionne

Une fois que le Ransomware est installé sur votre ordinateur, en général via une pièce jointe infectée ou par un cheval de Troie (Trojan). Il va chiffrer vos données d'une certaine manière et vous réclamer en échange une somme d'argent pour vous rendre le contrôle de votre système.

La forme la plus simple de Ransomware tentera seulement de vous inciter à croire qu'il y a quelque chose qui ne va pas avec votre ordinateur et que vous devez payez pour le réparer. Tactique préférée utilisée par ces bannières publicitaires qui vous indiquent que quelque chose vous a infecté. Dans ce cas de figure, vous avez toujours un contrôle de base de votre système, donc le seul réel problème est de faire face à des fenêtres publicitaires (Popups) qui apparaissent constemment et ce jusqu'à ce que vous trouviez un moyen de vous en débarrasser du malware en étant à l'origine.

La forme qui a frappé 75 000 Pcs dans plus de 100 Pays en 72 heures est bien évidemment plus évoluée et embarque les fonctionnalitées suivantes:

  • Il a un cryptage incassable, ce qui signifie que vous ne pouvez pas décrypter les fichiers par vous-même, mais certains outils peuvent décrypter certains types
  • Il peut crypter toutes sortes de fichiers, des images, des vidéos, des fichiers audio et tout ce que vous pouvez avoir sur votre ordinateur.
  • Il peut bloquer vos noms de fichiers, de sorte que vous ne pouvez pas savoir quelles données ont été infectées.
  • Il ajoutera une extension différente à vos fichiers
  • Il affichera un message ou une image d'arrière-plan qui vous permettra de savoir que vos données ont été chiffrées et que vous devez payer une certaine somme d'argent pour les restaurer.
  • Il demande toujours des paiements en Bitcoins, car les gouvernements ne peuvent pas le suivre, tracer la destination de cette rançon.
  • Il utilise des techniques compliquées d'évasion pour ne pas être détectées par un logiciel antivirus.
  • Il peut infecter d'autres PC connectés à un réseau local (LAN), générant encore plus de problèmes, plus de pertes de données. Plus de revenus supplémentaires pours les pirates.
À l'heure actuelle, il n'est pas possible de récupérer les fichiers cryptés par les Ransomware récents.

Infection d'un ordinateur en vidéo.

Vidéo montrant comment le ransomware se propage sur un ordinateur.

En Anglais.
Kasperky Labs.

Comment se prémunir d’une attaque par un ransomware?

  • Sauvegardez! Sauvegardez! Sauvegardez! Ayez un système de récupération en place de telle sorte qu’une infection par un ransomware ne détruise pas vos données personnelles pour toujours. Il est recommandé de créer deux copies de sauvegarde, l’une qui sera stockée dans un service de cloud – pensez à utiliser un service qui assure une sauvegarde automatique de vos fichiers) et une autre à stocker sur un support physique (disque dur portatif, clé USB, ordinateur secondaire, etc.). Déconnectez ceux-ci de votre ordinateur lorsque vous avez terminé. Vos copies de sauvegarde pourront aussi vous être utiles si jamais vous détruisez par erreur un fichier important ou êtes victime d’une défaillance de disque dur.
  • Utilisez un antivirus robuste pour protéger votre système des ransomwares. Ne désactivez pas les fonctions heuristiques, celles-ci permettant notamment de capturer des échantillons de virus informatiques qui n’ont pas encore été formellement détectées.
  • Tenez tous les logiciels de votre ordinateur à jour. Quand votre système d’exploitation (OS) ou vos applications proposent une nouvelle version, installez-la. Et si le logiciel contient une fonction de mise à jour automatique, activez-la.
  • Ne faites confiance à personne. Littéralement. Tout compte peut être compromis et des liens malveillants peuvent être envoyés depuis les comptes de vos amis sur les réseaux sociaux, par des collègues ou un partenaire dans un jeu en ligne. N’ouvrez jamais des pièces jointes dans des courriers électroniques provenant de personnes que vous ne connaissez pas. Souvent les cybercriminels diffusent de faux courriers électroniques qui semblent provenir d’une boutique en ligne, d’une banque, de la police, d’un tribunal ou d’une agence de collecte des impôts, incitant l’utilisateur à cliquer sur un lien malveillant qui amènera le virus informatique dans l’ordinateur. Cette technique est appelée le hameçonnage (ou phishing).
  • Activez la fonction ‘Afficher l’extension des noms de fichiers’ dans la configuration du système d’exploitation de votre ordinateur. Cela vous aidera à repérer plus facilement les fichiers potentiellement malveillants. Méfiez-vous des extensions telles que ‘.exe’, ‘.vbs’ et ‘.scr’. Les escrocs peuvent utiliser différentes extensions pour camoufler un fichier malveillant en vidéo, photo ou document (comme hot-chics.avi.exe ou doc.scr).
  • Si vous découvrez un processus suspect ou inconnu sur votre machine, déconnectez-la immédiatement de l’Internet ou de tout autre connexion réseau (comme le Wifi de votre domicile) — cela empêchera l’infection de se propager.