Le Ransomware, virus « star » du moment !

Posté par : Julie Grassin || 9 décembre 2016 à 17:28


(Source image : http://guides.uufix.com/know-about-teslacrypt-remove-teslacrypt-ransomware/)

Co-écrit par Pauline

Le Ransomware (ou rançongiciel) est un virus de la famille du cheval de Troie qui sévit actuellement dans le monde informatique. Les transports publics de San Francisco en ont fait les frais dernièrement

Le Ransomware prive la victime (particulier, entreprise ou institution) de ses données personnelles et l’oblige à payer une rançon afin de pouvoir les récupérer. Les rançongiciels apparaissent aujourd’hui sous deux principales formes :

 

·         le computer Locker qui verrouille l’écran de l’ordinateur ou de la machine et fait apparaître une image ou une fenêtre dans laquelle sont indiquées les étapes à suivre pour payer l’amende,

·         le data Locker qui chiffre les documents ou fichiers de la victime et l’empêche d’y accéder.

 

Même le puissant et intouchable Mac OS X fait désormais partie des nombreuses victimes. Le malware tente de soutirer de l’argent à l’utilisateur en l’accusant d’avoir consulté ou distribué du contenu pornographique interdit. Heureusement pour le système d’exploitation d’Apple, la solution pour contourner cette malveillance est simple : il suffit de réinitialiser le navigateur safari.

Les logiciels demandeurs de rançon, parmi lesquels Cryptowall, Cryptolocker, CTB-locker, etc., resteront une menace majeure, en croissance rapide en 2016, prévoit McAfee (http://www.lefigaro.fr/secteur/high-tech/2016/03/12/32001-20160312ARTFIG00014-locky-le-rancongiciel-qui-cible-les-abonnes-de-free.php).

L'un d'entre eux en particulier fait beaucoup parler de lui en ce moment : Locky. Il sévit dans des pays comme les Etats-Unis, la France et l’Allemagne.

 

Comment procède Locky?

 

Comme la plupart des ransomwares, Locky se dissimule derrière un e-mail contenant une pièce jointe malveillante, souvent un fichier zip contenant un document Word ou PDF (par exemple une fausse facture qui, une fois ouverte, télécharge le malware). On peut identifier ce type de mail frauduleux par le titre de l’objet qui suit généralement la règle de nommage suivante : «ATTN: Invoice J-XXXXXXX». L’opérateur Free a d’ailleurs récemment alerté ses abonnés sur l’envoi de fausses factures free via l’adresse freemobile@free-mobile.fr.

Outre la méthode qui consiste à se propager par courriel, Locky peut aussi se propager via une page web infectée ou de fausses notifications d’imprimantes ou de scanner. Ces dernières contiennent en effet des fichiers javascript qui téléchargent le malware lorsqu’ils sont exécutés.

Mais les abonnés Free n’ont pas été les seules victimes de Locky. Il y a quelques mois, un hôpital à Los Angeles s’est vu obligé de payer une rançon de 40 bitcoins - soit environ 17000 $ - pour récupérer les données sensibles de ses patients après une semaine de négociations (http://www.lemondeinformatique.fr/actualites/lire-le-ransomware-locky-propage-par-des-macros-word-fait-des-ravages-63952.html).

Aujourd’hui, il n’existe aucun moyen de récupérer les données chiffrées par Locky sans la clé de déchiffrement. Les experts cherchent activement des moyens pour le contourner. En attendant la solution, les recommandations qui sont faites portent sur la façon de réagir lorsque l’on en est victime.

 

Comment se protéger du ransomware?

 

Tout d’abord, il est important de savoir que le paiement de la rançon ne garantit aucunement que les données volées seront restituées. Si vous êtes infecté par un ransomware, il faut mettre de côté le disque dur infecté, au cas où il y aurait plus tard une solution de récupération des données volées, et nettoyer entièrement la machine pour repartir de zéro.

Pour éviter de tomber dans le piège du rançongiciel, il est fortement conseillé de n’ouvrir les pièces jointes que si et seulement si la fiabilité de l’expéditeur est assurée. Il est recommandé de faire des mises à jour régulièrement sur ses logiciels et s’assurer que les fichiers importants sont sauvegardés dans un endroit inaccessible par un ransomware (sur un disque dur externe par exemple). Pour les entreprises, s’il y a eu ouverture d’une pièce jointe malveillante, l’ANSSI recommande de couper très rapidement du réseau toutes les machines infectées (http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html). L'objectif étant de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Enfin, sensibiliser ses collaborateurs sur les bonnes pratiques devient la priorité n°1 face à la menace qui pèse sur les entreprises françaises.

Tags : , , , , ,

Catégorie(s) : Veille

Ajouter un commentaire

Les blogueurs

C'est à l'occasion de notre première participation aux Assises de la Sécurité que nous avons eu envie de créer un espace ouvert aux professionnels qui partagent nos centres d'intérêt.

Un espace d'échanges donc qui nous donne le loisir d'exprimer nos points de vue sur les problématiques Risque et Sécurité mais surtout - et nous l'espérons - de recueillir vos avis éclairés.

Twitter