Qu’est-ce qu’un ransomware ? | Critiques de confiance

Les ransomwares sont des logiciels malveillants qui cryptent secrètement les fichiers de votre PC pour vous obliger à payer le rançongiciel afin d’obtenir la clé de décryptage nécessaire pour retrouver l’accès à votre vie numérique.

Si les grandes entreprises et les organisations gouvernementales ont été les cibles les plus célèbres des attaques de ransomware, elles touchent également les particuliers. En 2021, les ransomwares ont coûté aux entreprises un montant estimé à 20 milliards de dollars en 2020.

Les ransomwares se propagent fréquemment par le biais de pièces jointes et de liens malveillants et parfois très ciblés, ainsi que de publicités malveillantes qui téléchargent des logiciels malveillants lorsque vous interagissez avec elles, de téléchargements drive-by qui téléchargent automatiquement la charge utile, et à travers les réseaux locaux où une infection s’est installée. Les publicités malveillantes et les téléchargements de type « drive-by » peuvent apparaître sur des sites légitimes.

De nombreuses attaques notoires, telles que celles du groupe Conti, ont volé des données avant de les crypter, ce qui a conduit à la publication de données privées en ligne. D’autres attaques de ransomware mentent sur l’aspect décryptage, laissant ceux qui paient la rançon avec des ordinateurs inopérants.

Si Windows reste la cible la plus populaire, des attaques ont également touché les systèmes macOS et Linux. Les ransomwares existent même pour les appareils mobiles et les systèmes embarqués.

Une brève histoire des ransomwares de chiffrement

Les ransomwares n’ont pas toujours utilisé le difficile cryptage asymétrique intégral des fichiers que nous connaissons aujourd’hui. La première attaque de ransomware enregistrée, créée en 1989 et destinée à perturber le travail des chercheurs sur le sida, chiffrait les noms de fichiers pour empêcher leur accès, rendant le système inutilisable à moins d’acheter une clé de déchiffrement de 189 dollars au créateur du malware.

En 2005, une famille de virus connue sous le nom de PGPCoder ou GPCode est apparue, des chevaux de Troie qui cryptaient tous les documents et fichiers d’archives qu’ils pouvaient trouver, laissant un fichier texte contenant des instructions pour payer une rançon via des sites d’échange d’or en ligne pour obtenir la clé de décryptage.

Les chercheurs de Kasperksy ont pu identifier le créateur de GPCode grâce à son adresse IP. Le créateur du malware a en fait contacté la firme antivirus et a essayé de lui vendre un outil pour décrypter le malware PGPCoder. Kaspersky a évidemment refusé et, après avoir examiné les systèmes de plusieurs victimes pour résoudre les adresses IP proxiées que le malware utilisait pour téléphoner à la maison, a localisé l’auteur du malware. À ce jour, on ignore si la police a donné suite aux informations fournies par Kaspersky. La dernière version connue de GPCode a été publiée en 2010.

Les développeurs de ransomwares ont adopté de nouvelles méthodes de paiement à mesure qu’elles devenaient populaires. Dans les années 2010, la famille de logiciels malveillants WinLock utilisait des SMS surtaxés pour obtenir des rançons bon marché d’environ 10 £.

La popularisation des crypto-monnaies, en particulier le Bitcoin, créé en 2008, a donné aux criminels une méthode relativement difficile à tracer pour recevoir les paiements des ransomwares, et maintenant la majorité des attaques demandent un paiement par crypto-monnaie.

Le ransomware le plus célèbre est sans doute Wannacry de 2017, utilisé dans une vaste attaque qui a touché quelque 200 000 ordinateurs dans le monde, selon Europol, jusqu’à ce qu’un kill switch soit découvert par le chercheur en sécurité britannique Marcus « MalwareTech » Hutchins.

Nous assistons actuellement à des centaines d’attaques de ransomware chaque année, et il y a peu de signes que la tendance s’atténue.

Ransomware sans cryptage

Les rançongiciels font peur et certains criminels tentent d’utiliser la menace de verrouiller votre PC, de vous dénoncer aux autorités ou de détruire vos fichiers les plus précieux pour obtenir une rançon sans rien faire.

Reveton, le « virus de la police » qui prétendait que votre système avait été verrouillé par les autorités locales jusqu’au paiement d’une « amende », utilisait en fait une clé de registre pour verrouiller votre système. Le gang responsable de ce virus a été arrêté par Europol en 2013, mais pas avant d’avoir escroqué les utilisateurs vulnérables de plus d’un million d’euros par an.

Pas plus tard que la semaine dernière, un collègue de la sécurité informatique a vu une nouvelle attaque de type « screen locker » dans le navigateur, mais très ancienne, qui s’emparait du focus de la fenêtre et demandait à l’utilisateur d’appeler « Microsoft » pour obtenir de l’aide, ce qui conduisait évidemment à une « réparation d’ordinateur » frauduleuse et coûteuse. Le message menaçait de conséquences désastreuses en cas de redémarrage… ce qui n’est guère surprenant, étant donné qu’il suffisait de redémarrer et d’effacer tous les onglets de navigateur ouverts pour se débarrasser de cet irritant particulier. Afin de s’assurer que le verrouillage d’écran ne reviendrait pas, le système a fait l’objet d’une analyse antivirus approfondie à l’aide d’outils anti-malware installés et amorçables, et son registre et ses applications de démarrage ont été vérifiés.

Que faire en cas de suspicion de ransomware crypteur ?

Si vous soupçonnez que vous avez été infecté par un ransomware mais que tout n’a pas encore été entièrement crypté, arrêtez ou éteignez immédiatement votre ordinateur. Il est peu probable que le redémarrage empêche le cryptage de vos données, car le processus de cryptage redémarre avec votre PC. Recherchez les logiciels malveillants sur le disque sans démarrer le système d’exploitation, par exemple en utilisant un disque de secours.

Si le disque de secours peut identifier le ransomware, mais pas déchiffrer les fichiers qu’il a verrouillés, tout n’est pas perdu. Les ransomwares sont constamment analysés par les spécialistes de la sécurité. Vos premiers contacts devraient être Emisoft, qui est spécialisé dans la création de décrypteurs, et No More Ransom d’Europol, qui vous aidera à identifier votre ransomware et à trouver un décrypteur pour celui-ci.

Si vous devez démarrer le système, déconnectez-le de tous les réseaux câblés et sans fil. Cela peut empêcher le ransomware de chiffrer les lecteurs du réseau, l’empêcher de se propager aux autres accès du réseau, empêcher le vol de copies de vos fichiers personnels et bloquer les activités secondaires du malware, comme l’utilisation de votre PC pour le minage de crypto-monnaies.

Si votre disque système a déjà été entièrement crypté et que vous ne pouvez pas le décrypter, il vous reste deux choix. Si le disque dur contenait des fichiers réellement importants ou irremplaçables, vous pouvez le retirer, l’étiqueter, le stocker dans un endroit sûr et surveiller la sortie d’un décrypteur. Ces décrypteurs peuvent faire l’objet d’une ingénierie inverse, être diffusés par des groupes de ransomware lorsqu’ils cessent leurs activités, ou même être volés et diffusés par des chercheurs en sécurité travaillant contre les créateurs de logiciels malveillants, comme dans le cas de la fuite Conti de mars 2022.

Si vous avez conservé des sauvegardes, la meilleure et la plus rapide façon de traiter un PC infecté par un ransomware est de réinstaller le système d’exploitation et de restaurer vos données à partir des sauvegardes.

Si vous êtes au Royaume-Uni, signalez l’attaque au Centre national de cybersécurité.

Ne payez pas la rançon. Votre argent va soutenir le crime organisé et il n’y a aucune garantie que vous obtiendrez un décrypteur fonctionnel.

Kaspersky Anti-Virus

Protection essentielle contre les virus

Notre antivirus classé 5 étoiles bloque les logiciels malveillants et les virus en temps réel et arrête les pirates, maintenant à 50% de réduction à seulement 12,49€.

• Kaspersky
• Était de 24,99
• 12,49 € par an

Voir l’offre

Comment se protéger contre les ransomwares ?

• Assurez-vous que votre logiciel antivirus, tel que Microsoft Defender, est à jour.
• Activez la protection contre les ransomwares dans les paramètres de sécurité de Windows.
• Assurez-vous de conserver des sauvegardes à au moins deux endroits, dont l’une est conservée hors site (hors de la maison, pour les utilisateurs à domicile). Les services de sauvegarde et de synchronisation dans le nuage sont idéaux pour cela.
• Ne laissez pas votre disque de sauvegarde local branché sur votre PC, car son contenu pourrait également être crypté.
• Utilisez le contrôle de version dans votre logiciel de sauvegarde pour vous assurer que, même si vous sauvegardez accidentellement des fichiers après qu’ils aient été cryptés, une version plus ancienne sera disponible au téléchargement.