Le chantage au cryptage de disque dur revient en force ces derniers jours avec TeslaCrypt et CryptoLocker, qui appartiennent à la famille des ransomwares. Aussi, cet article explique comment se protéger des ransomwares et comment s’en débarrasser.
Ce n’est pas nouveau mais ça fait toujours autant mal.
Principe des ransomwares
Avant de voir comment se protéger des ransomwares, il est essentiel de comprendre son fonctionnement.
Un ransomware, ou rançongiciel en français, est un malware qui chiffre certains de vos fichiers en utilisant des clefs secrètes. Le chiffrement signifie évidemment que le contenu des fichiers n’est plus compréhensible.
De plus, le chiffrement concerne certains fichiers du disque dur (documents word, excel, images, etc.), ainsi que ceux des partages réseaux.
Le ransomware s’installe généralement grâce à une pièce jointe infectée d’un message électronique. Il suffit qu’un seul de vos utilisateurs clique sur la pièce jointe pour que le ransomware se déclenche et infecte votre réseau.
Demande de rançon
Lorsque le ransomware a fini de chiffrer vos fichiers, il affiche un écran qui vous invite à payer une rançon entre 100 $ et 1000 $ (voire plus) afin de déchiffrer les fichiers.
L’écran affiche aussi une minuterie indiquant que vous avez 2 ou 3 jours pour payer la rançon. Si vous ne payez pas avant ce délai, soit votre clé de déchiffrement sera supprimée et vous n’aurez plus aucun moyen pour déchiffrer vos fichiers, soit le montant de la rançon augmente.
Généralement, vous devrez payer la rançon à l’aide de bitcoins ou dans une autre crypto-monnaie. Cette méthode de paiement ne permet pas de retrouver facilement l’identité de l’encaisseur du paiement.
Une fois que vous avez envoyé le paiement, le programme doit déchiffrer les fichiers qu’il a chiffrés.
Cependant attention ! Vous n’avez aucune certitude de recevoir la clé de déchiffrement. C’est la raison pour laquelle, vous ne devriez jamais payer.
Par ailleurs, à ce jour, compte-tenu du chiffrage fort et de l’implémentation, il n’existe pas de solutions efficaces pour déchiffrer les fichiers chiffrés à l’aide d’un logiciel du commerce sans la clé de déchiffrement.
Enfin, les ransonwares s’attaquent à toutes les entreprises, de toutes tailles et de toutes natures, ainsi qu’aux particuliers. Personne n’est à l’abri.
Se protéger des ransomwares
La première démarche à faire pour se protéger des ransomwares est de disposer d’un antivirus à jour. Il existe des antivirus gratuits et des antivirus payants.
Un antivirus payant coûte souvent moins de 60 € / an et par utilisateur. Il peut même coûter beaucoup moins cher.
Si vous avez un antivirus, vous réduisez fortement les risques d’avoir un ransomware sur votre réseau. Toutefois, vous ne pouvez pas garantir que vous n’en aurez jamais.
Une autre mesure à prendre pour se protéger des ransomwares est de rappeler à vos utilisateurs de ne jamais ouvrir une pièce jointe qui provient d’un expéditeur inconnu. Il faut même leur apprendre à se méfier des pièces jointes inhabituelles mises par un expéditeur connu.
Enfin, si vous voulez vous protéger des ransomwares, pensez aussi à faire des sauvegardes régulières. L’absence de sauvegardes nuit gravement à la santé de votre système d’informations.
Pour se débarrasser du ransomware
Afin de revenir à une situation saine, vous devez suivre la procédure suivante :
- Supprimer le malware
- Repartir d’une sauvegarde
- Utiliser un point de restauration
Bien évidemment, vous pouvez être dans une situation plus complexe que celle qui est décrite ici. Dans ce cas, vous pouvez faire appel à nos services pour vous aider.
Notez que vous pouvez récupérer vos données d’une sauvegarde manuelle, ou d’un cliché instantané si la restauration du système est active. La restauration à partir d’un cliché instantané est simplifiée grâce à des outils gratuits comme ShadowExplorer.
Pour connaître la liste des fichiers chiffrés par le malware, vous pouvez utiliser http://download.bleepingcomputer.com/grinler/ListCrilock.exe. Pour en savoir plus, consultez l’article CryptoLocker Ransomware Information Guide and FAQ.
Lorsque vous faites des sauvegardes, pensez à les échelonner. En effet, vous devez faire des sauvegardes quotidiennes, hebdomadaires, mensuels (fin de mois), annuels (fin d’année).
Idéalement, triplez-les : les disques durs externes sont de moins en moins chers.
Comment se prémunir d’un ransomware comme CryptoLocker
CryptoLocker est un programme qui est apparu en septembre.
Ce malware se propage sous forme d’une pièce jointe au format Zip attaché à un email. Le fichier Zip contient un exécutable avec l’icône PDF pour faire croire à un fichier Acrobat PDF.
Si vous avez le moindre doute avec une pièce jointe, passez-la au crible de VirusTotal. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.
L’outil, gratuit pour les particuliers, CryptoPrevent vous aidera à éviter de vous faire contaminer.
En effet, cet outil interdit l’exécution de CryptoLocker à partir de ses emplacements préférés. Son éditeur Foolish IT propose aussi un service payant facultatif de mise à jour automatique de CryptoPrevent.
Les entreprises peuvent s’appuyer aussi sur Cryptolocker Prevention Kit pour protéger leurs domaines.
Liens utiles pour lutter contre les ransomwares
https://www.avast.com/fr-fr/c-ransomware
https://fr.malwarebytes.com/ransomware/
https://fr.norton.com/internetsecurity-malware-ransomware-5-dos-and-donts.html
https://www.kaspersky.fr/resource-center/threats/ransomware-threats-an-in-depth-guide
https://www.bitdefender.fr/tech-assist/self-help/removing-police-themed-ransomware-malware.html
https://www.cnetfrance.fr/produits/guide-protection-fichiers-ransomware-39836850.htm
https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel/
https://www.ssi.gouv.fr/actualite/ne-soyez-plus-otage-des-rancongiciels/
Laisser un commentaire