Il existe de nombreuses menaces de cybersécurité sur Internet, mais les rançongiciels (plus connu sous le nom de « Ransomware » en anglais) sont actuellement les plus prolifiques. Vu les risques que cela peut provoquer, c’est une bonne idée d’en savoir plus sur cette menace. De savoir ce qu’elle fait et ce qu’il faut faire lorsque nous sommes touché par ce type d’attaque.
Explorons ainsi en détail dans cet article ce qu’est un rançongiciel / ransomware et ce que nous pouvons faire pour rester en sécurité.
Qu’est-ce qu’un rançongiciel / ransomware?
Rançongiciel est un terme qui couvre tout virus ou programme malveillant qui retient notre ordinateur « en otage ». Il existe quelques méthodes différentes que les rançongiciel peuvent utiliser dans une attaque, mais le lien entre ces différents méthodes est qu’elles bloquent une partie ou la totalité de notre ordinateur.
Comment fonctionne les rançongiciels?
Pour explorer le fonctionnement des rançongiciels, nous devons d’abord nous plonger dans les différents types de rançongiciels, ce que chacun fait et ce qu’ils essaient de réaliser. Voyons cela en détail ci-dessous :
Rançongiciels basé sur le cryptage
Il s’agit de la version la plus courante des rançongiciels. Cette méthode fonctionne en bloquant les fichiers de notre ordinateur, et certains empêcheront même le système d’exploitation de démarrer.
Le ransomware demande ensuite un paiement à l’utilisateur pour récupérer ses fichiers. Pour nous empêcher de trouver un moyen de contourner le ransomware, le virus regroupe tous les fichiers dans un dossier puis les verrouille à l’aide d’un cryptage puissant.
Notez bien que les fichiers n’ont pas été supprimés pour toujours, mais l’utilisateur ne peut pas les utiliser sans la clé de passe appropriée.
Une fois que l’utilisateur a payé, le développeur de logiciels malveillants fournira alors le mot de passe pour déverrouiller son PC. Le développeur peut ajouter une incitation en ajoutant une minuterie au ransomware. Une fois que le minuteur atteint zéro, tous les fichiers sont supprimés.
Alarmiciel (scareware) usurpant l’identité d’une entité légitime
Parfois, un programme de rançongiciel pourra agir en usurpant l’identité d’une entité légitime dans l’espoir d’inciter l’utilisateur à agir plus facilement.
Par exemple, prenez le virus Reveton tel que rapporté par le FBI. Ce virus est un ransomware qui verrouille l’ordinateur mais prétend provenir du célèbre bureau d’investigation (ce qui est évidemment faux). Le virus prétend ainsi que la victime a été surprise en train de télécharger des fichiers illégaux, de sorte que son PC a été saisi pour empêcher toute activité illégale.
Pour continuer à utiliser son ordinateur, la victime doit virer de l’argent pour « payer une (fausse) amende », mais comme vous devez vous en douter, l’argent va directement dans les poches de l’escroc.
Les rançongiciel peuvent également prendre la forme d’entreprises technologiques. Dans cet exemple, une souche de malware signalée par Forbes n’a pas verrouillé tout l’ordinateur, mais cela a simplement provoqué le blocage du navigateur.
Le logiciel malveillant a affirmé qu’il provenait de Microsoft et qu’il avait verrouillé notre navigateur pour éviter les dommages causés par un virus. Le logiciel malveillant dit à l’utilisateur de téléphoner à une « ligne d’assistance » pour réparer l’ordinateur. Une ligne avec évidemment des frais d’appel élevés…
Ces souches de logiciels malveillants sont généralement appelées « Alarmiciel » (plus connu sous le nom de scareware en anglais), car elles visent à nous terrifier et à nous faire prendre une décision irréfléchie. Les faux avertissements de virus et de logiciels malveillants correspondent bien à cette catégorie, car ils nous poussent à faire quelque chose qui nous fait plus de mal que de bien.
Où attaque le rançongiciel?
En raison de la nature du rançongiciel, celui-ci ne distingue pas une personne en particulier lors du verrouillage d’un ordinateur. Tant que quelqu’un exécute accidentellement un fichier infecté et utilise un système d’exploitation non sécurisé, l’attaque se poursuivra.
Cependant, les développeurs de logiciels malveillants ont récemment commencé à choisir leurs cibles. À l’apogée des attaques de rançongiciel, les développeurs de logiciels malveillants publiaient des rançongiciel sur Internet en un temps record. L’idée était de faire passer la quantité au détriment de la qualité en infectant autant de personnes que possible pour augmenter les bénéfices des rançons.
Cependant, deux solutions ont obligé les développeurs de rançongiciel à changer leur mode opératoire. Ces solutions sont arrivées après que la méthode d’attaque par ransomware a commencé à devenir plus régulière et que les entreprises de sécurité ont commencé à répondre à la menace.
Le monde se prépare aux attaques de rançongiciel
Première solution
La premierère solution a été la montée en puissance des sites Web anti-rançongiciel. Des services de déchiffrement de rançongiciel comme PyLocky s’attaquent aux rançongiciel spécifiquement en libérant des programmes et des clés qui peuvent libérer un ordinateur verrouillé.
En tant que tel, une rançongiciel doit donc se faire discret afin d’éviter autant que possible d’être détecté. Plus il y a de personnes attaquées par une souche, plus le risque de déclenchement de l’alarme est élevé et plus vite une solution sera trouvée. En conséquence, un développeur de rançongiciel devait s’assurer que son programme touchait autant de victimes payantes que possible avant qu’il ne soit découvert.
Par exemple, tante Marta qui utilise son ordinateur pour regarder des mèmes de chat ne paiera pas et ne pourra probablement pas payer les frais de rançon. Cependant, une personne riche avec des documents sensibles sur son ordinateur est beaucoup plus susceptible de tousser.
Deuxième solution
La deuxième solution a été la sensibilisation accrue du public aux rançongiciel. Après que les rançongiciels soient devenus un sujet brûlant de cybersécurité, les gens ont été encouragés à créer des sauvegardes de leurs ordinateurs.
Après tout, à quoi sert une rançon si quelqu’un a une solution de rechange de côté? Non seulement cela, mais les systèmes d’exploitation ont commencé à offrir des outils anti-rançongiciel à leurs utilisateurs. Par exemple, si vous êtes sur un ordinateur Windows l’outil de sécurité Windows Defender permet dorénavant une protection efficace et cela sans frais supplémentaires.
Comment éviter les rançongiciels?
Les antivirus fiable ne permettent pas aux virus de pénétrer dans notre ordinateur en premier lieu. Si l’idée d’être infecté par un rançongiciel vous fait peur, notez qu’il existe des moyens de s’en protéger. Voici ci-dessous quelques recommandations pour s’en prémunir.
Conserver des sauvegardes de nos données
Une bonne sauvegarde empêchera toutes les attaques de rançongiciel qui ne sont pas des fuites de données. Dans ce cas, pourquoi payer une rançon alors que nous avons la possibilité de simplement tout effacer et réinstaller?
Cependant, avant de sauvegarder vos données importantes sur une clé USB ou un disque dur externe, pourquoi ne pas essayer de sauvegarder vos données dans un service cloud? En effet, de nos jours Il existe de nombreux services qui permettent de sauvegarder automatiquement l’intégralité de notre ordinateur (Windows, Mac).
De plus ces solutions Cloud permettent dorénavant à la fois de stocker, mais également de créer de nouveaux fichiers et de les organiser dans des dossiers par exemple. Cela tout en réduisant les risque de piratage. Car nos données sont alors présentes sur les serveurs sécurisés de ces services. Vous pouvez par exemple utiliser des solutions comme Google Drive (largement développé sur ce site 😉 ) ou encore Dropbox, MS OneDrive, etc…
Être attentif au rançongiciel
Maintenant que nos données sont sauvegardées, il est temps d’empêcher les rançongiciels d’infecter notre ordinateur. Malheureusement, il n’y a pas d’astuce unique pour nous protéger des rançongiciels, mais il faut simplement tâcher de suivre des règles simples comme les suivantes :
- Ne pas ouvrir pas les e-mails dont la provenance ou la forme est douteuse.
- Apprendre à identifier les extensions des fichiers douteuses (Exemples : pif ; .bat ; .exe ; .vns).
- Avoir son système d’exploitations et ses applications à jour.
- Utiliser un compte utilisateur plutôt qu’un compte administrateur.
Pour en savoir plus, vous pouvez notamment consulter cet excellent article du gouvernement.
Comment supprimer rançongiciel?
Si malgré tout, vous êtes victime d’un rançongiciel, tâchez avant tout de ne pas paniquer. Un développeur de rançongiciel joue sur la peur afin de nous encourager à payer.
Ne payez pas la rançon!
En lisant cet article, vous vous êtes peut-être demandé ce qui empêchait un pirate de prendre une rançon et de ne pas prendre la peine de déverrouiller l’ordinateur infecté? La réponse est évidemment rien…
Si nous payons la rançon, nous spécifions implicitement au pirate que son système fonctionne. Ce qui risque de l’envourager à développer et à diffuser davantage de logiciels malveillants. Dans le pire des cas, le pirate ne se souciera pas de nous fournir la clé pour déverrouiller votre machine.
Rechercher une solution de déchiffrement
Comme nous l’avons vu plus haut, il existe actuellement de nombreuses solutions comme PyLocky pour débloque une machine infectée. Voici également d’autres solutions qui propose ce type de service :
- Kaspersky Ransomware Decryptors
- Avast Ransomware Decryption Tools
- McAfee Ransomware Recover
- AVG Ransomware Decryption Tools
Notez que ces outils sont gratuits, alors n’hésitez pas à les essayer si votre machine est infectée.
Pour conclure…
Les rançongiciel sont une méchante souche de logiciels malveillants. Mais comme vous avez pu le constater, nous ne sommes pas impuissant face à ce type d’attaque. Suite à la lecture de cet article, vous savez comment ce type de logiciel malveillant fonctionne, comment vous en protéger et quoi faire si vous êtes malgré tout infecté.
Portez-vous bien, soyez vigilant et à bientôt! 😉
Source : image-unsplash