RansomwareLe Ransomware

La recrudescence des cyber-attaques, en particulier par le RANSOMWARE, touche autant les particuliers que les entreprises, même si les hackers ont plus à gagner du côté des grandes organisations.

C’est pourtant le public lambda, avec son manque de connaissance en sécurité, qui constitue la cible la plus facile à atteindre.

 

 

QU’EST-CE QUE LE RANSOMWARE ?

Le RANSOMWARE (rançongiciel en français), contraction de ransom et de software, est un logiciel malveillant qui va chiffrer tout le contenu du disque dur sur un ordinateur ou sur un réseau ciblé.

Il n’épargnera pas, non plus, les périphériques connectés.

Cette attaque donnera suite à une extorsion de fonds, généralement en Bitcoin, en échange de la clé de déchiffrement censée libérer les documents.

Sans aucune garantie.

Ce type particulier de malware prend donc en otage les données de l’utilisateur quel qu’il soit, particulier ou entreprise. Il se propage via des e-mails piégés ou via des failles de sécurité du système.

 

BUT D’UN RANSOMWARE

Vous extorquer de l’argent.

L’exploitation des ransomwares est une activité très rentable pour les cyber-criminels. Tout simplement parce que, faute de défenses adaptées, nombre d’utilisateurs paient la rançon.

C’est une terrible ERREUR !

IL NE FAUT SURTOUT PAS CÉDER ET PAYER POUR RÉCUPÉRER SES FICHIERS CHIFFRÉS

En envoyant l’argent aux cybercriminels, vous confirmez que les ransomwares fonctionnent.

Ce type de malware est particulièrement nocif et vicieux. Lorsqu’il s’attaque à un ordinateur, il crypte l’ensemble des documents qui lui sont accessibles. Ce seront donc tous les fichiers de votre disque dur, clés USB et même divers disques externes connectés qui seront rendus « illisibles » !

Si vous aviez branché un disque externe pour votre sauvegarde Time Machine, celui-ci n’échappera pas au cryptage.

• D’où l’importance de posséder deux sauvegardes Time Machine, dont l’une à garder « déconnectée » de votre ordinateur et du réseau électrique, et rangé dans un autre endroit « plus sûr ».

• Ainsi, si l’une des deux sauvegardes est infectée, il vous restera encore une sauvegarde intacte. Vous pourrez alors utiliser cette sauvegarde pour faire une restauration complète du Système et de vos fichiers après le reformatage de votre disque dur interne.

 

COMMENT S’INSTALLE UN RANSOMWARE ?

Pour s’installer, un ransomware va utiliser les failles de sécurité qui peuvent exister sur n’importe quel système d’exploitation. En l’occurrence, si cela arrive sur Mac, la firme de Cupertino règlera le problème et comblera ces failles.

Certaines grosses entreprises furent victimes de ce genre d’attaque car dès lors qu’un utilisateur attrape un ransomware, celui-ci s’attaque à l’ensemble des partages réseaux de l’entreprise auquel l’utilisateur à accès.

• L’infection passe par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un e-mail piégé, ou dans un lien. Contre cela, les mesures de sécurité traditionnelles comme les anti-virus sont inefficaces.

• Il peut aussi se propager par le biais de pages web piratées qui tentent d’utiliser les failles de sécurité des systèmes ou des logiciels. C’est la raison pour laquelle il est conseillé de faire les mises à jour proposées, par Apple ou par d'autres systèmes d'exploitation, lorsque des failles sont connues et corrigées.

Par ailleurs, la montée en puissance des crypto-monnaies (qui servaient à payer les ransomwares) a eu un impact sur le nombre de cybercriminalité.

Les « bitcoins » sont devenus le moteur de la cybercriminalité en rendant le transfert d’argent anonyme et sûr, sans laisser de traces.

 

LA PARADE CONTRE LES RANSOMWARES

FAIRE DES SAUVEGARDES

Faites des sauvegardes, si possible multiples, de vos données, dont l'une sur un périphérique non connecté à votre réseau.

En effet, les ransomwares peuvent également se propager aux supports de stockage connectés à l'appareil infecté.

La sauvegarde est valable pour les ransomwares, mais aussi pour l'informatique en général. Les systèmes de stockage ne sont pas infaillibles. Il convient donc d'avoir ses données importantes dupliquées à deux endroits différents en tout temps.

PRUDENCE avec les pièces jointes des courriels

En effet, l’une des méthodes les plus courantes, actuellement, consiste à utiliser des *MALSPAM.

*Malspam (abréviation pour spam de malware), désigne un e-mail de spam qui contient des pièces jointes infectées (PDF, fichiers Word, etc), des messages de PHISHING, ou des liens vers des sites Web malveillants.

Le courrier électronique est un « vecteur très performant » pour l'installation de logiciels malveillants auprès d'utilisateurs peu méfiants.

Pour éviter tout problème :

  • Ne téléchargez et n’affichez jamais de pièces jointes d'expéditeurs inconnus.
  • Traitez toujours les pièces jointes d'expéditeurs connus comme potentiellement suspectes, sauf si les informations ont été directement sollicitées.
  • N'exécutez jamais de fichiers exécutables. Et même si le document indique le contraire, n'activez pas les macros dans les produits Office. En cas de doute, contactez l'expéditeur avant d'ouvrir la pièce jointe pour plus d'informations.
  • Analysez les pièces jointes avec un produit anti-malware réputé, ou analysez le fichier avec une collection de produits sur le site www.virustotal.com.
  • N'installez jamais de logiciel sur les recommandations d'une personne inconnue.
  • Ne cliquez jamais sur les liens de personnes inconnues.

FAIRE RÉGULIÈREMENT LES MISES À JOUR

Assurez-vous que votre système d’exploitation, vos logiciels, votre navigateur, etc…, soient également à jour. C’est une garantie que vos appareils et vos fichiers ne seront pas infectés.

TÉLÉCHARGER LES APPLICATIONS À PARTIR DE L'APPSTORE OU À PARTIR DU SITE DE L'ÉDITEUR

C’est la garantie d’avoir la version officielle de l’application.

INVESTIR DANS UNE SOLUTION DE CYBERSÉCURITÉ

En l’occurrence, il s’agit ici de « MALWAREBYTES ».

Cette solution de sécurité est connue pour ses capacités de remédiation. Vos fichiers seront peut-être « perdus » car cryptés, mais vous aurez au moins l’assurance de vous débarrasser de l’infection.

De plus, la version Premium offre une protection en temps réel.

  • Lorsque Malwarebytes détecte une menace, il la met en quarantaine sans autre forme de procès.
  • Concernant les PUPs (Potentially Unwanted Program) (Applications Potentiellement Indésirables en bon français), celles-ci seront tout simplement bloquées pour les empêcher de fonctionner.

 

SOLUTION EN CAS D’INFECTION

Un ralentissement sans raison apparente de votre machine est souvent l’un des premiers symptômes de leur présence. Soyez donc particulièrement vigilant.

D’après les dernières recommandations officielles d’EUROPOL, la règle d’or est :

1 - NE JAMAIS PAYER LA RANÇON

Cela confortera les cyber-criminels dans l'idée que les ransomwares fonctionnent, et les encouragera, de ce fait, à continuer leurs attaques.

Par contre, il est possible de récupérer certains fichiers chiffrés à l'aide de déchiffreurs gratuits.

Des chercheurs en cyber-sécurité ont pénétré le code de certains types de ransomware.

« No More Ransom » (https://www.nomoreransom.org/fr/decryption-tools.html), société de sécurité technologique, propose des outils de déchiffrement gratuits pour plus d’une centaine de familles de ransomware.

Si vous êtes, ou avez été, victime d’un ransomware, allez visiter le site qui rassemble, en un seul et même endroit, pas moins de 160 000 clés de déchiffrement afin de récupérer des fichiers cryptés par un logiciel malveillant.

A noter cependant :

Il existe un nombre important de familles de ransomwares. Et il n’existe pas encore de déchiffreurs pour TOUTES ces familles.

Et même si un déchiffreur existe, il ne correspondra pas forcément à la version du malware qui vous a attaqué.
En utilisant un script de déchiffrement non-approprié, vous risquerez, au contraire, de chiffrer encore davantage vos fichiers. Ce qui n’est pas le but recherché !

Il existe néanmoins aujourd’hui 52 outils de décryptage disponibles gratuitement et qui peuvent être utilisés pour décrypter 84 familles de ransomwares.

Avant de tenter quoi que ce soit, demandez conseil à un expert en sécurité ou en informatique.

2 - DÉCONNECTEZ, AU PLUS VITE, L’ORDINATEUR INFECTÉ D’INTERNET

Même si le malware est encore actif au redémarrage, il ne pourra plus recevoir des instructions du serveur de contrôle ni en envoyer.

Sans clé ni autre moyen de vous extorquer un paiement, le malware pourrait rester inactif.
Vous pourrez alors lancer votre produit de sécurité pour une analyse complète et la suppression du malware en question.

3 - POUR TERMINER LE PROCESSUS

  • Formatez le disque dur infecté
  • Réinstallez le système d’exploitation
  • Faites les mises à jour indispensables
  • Restaurez vos fichiers à partir de votre sauvegarde intacte

 

CONCLUSION

LA VIGILANCE est parfois une mesure insuffisante…

Il faut donc adapter les comportements face à ce genre de danger, prendre des mesures « drastiques » pour la protection.

L’installation d’antivirus, d’antimalwares, VPN sur les points d’accès publics, sauvegardes régulières, mises à jour de sécurité, etc… deviennent une réelle NÉCESSITÉ.

Mac et PC ne sont plus à l’abri sans une protection adaptée. Trop d’utilisateurs oublient cette menace. Et la cybercriminalité s’étend à toute plateforme représentant un marché suffisamment large pour être « rentable ».

Et la part de marché des produits Apple ne cesse d’augmenter de jour en jour.

Protégez-vous et protégez vos données.

 

PARTAGEZ CET ARTICLE 🙂
Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

Merci