Bien qu’à présent très populaires, les ransomwares ou « rançongiciels » en français ne datent pas d’hier.

On entend beaucoup parler des ransomwares dans l’actualité, mais comment peut-on en attraper un ? comment se protéger ? faut-il payer ou non ? Cet article tente de faire le point et d’apporter des réponses de façon simple et compréhensible.

Le premier du genre est sans doute le Trojan AIDS (aussi appelé PC Cyborg) qui infectait déjà des ordinateurs en 1989. Il chiffrait les fichiers sur les ordinateurs infectés puis indiquait que la licence d’un logiciel avait expiré, et qu’il fallait payer 189 dollars pour déverrouiller les fichiers.

Cela fait maintenant quelques années que ce type de logiciels malveillants est redevenu à la mode, notamment avec la médiatisation de Cryptocker qui chiffre les fichiers d’un ordinateur puis réclame une rançon pour les déchiffrer.

Trois types de ransomwares

On peut classer les ransomwares en deux grands types : ceux qui bloquent les programmes et ceux qui chiffrent les fichiers. Leur point commun étant de soutirer de l’argent à leurs victimes. Un troisième type moins radical existe également et agit via des sites web verrouillant du contenu.

Les ransomwares bloqueurs utilisent notamment des fenêtres pop-up par dessus les autres programmes (ou applications dans le cas des smartphones), les bloquant ainsi et empêchant l’utilisateur de continuer dans sa tâche. Ces ransomwares vous accusent habituellement d’avoir commis des infractions imaginaires. Comme le fait le virus de la gendarmerie, la version française du rançongiciel FBI Moneypak.

Bien entendu, il existe une multitude de variations de ransomwares dans la nature, qu’il est impossible de citer sous forme exhaustive.

Exemple du virus de la gendarmerie :

ransomware-gendarmerie

Pas d’accents, des fautes de français, et des services de paiement que la vraie gendarmerie n’utiliserait jamais sont des points qui mettent la puce à l’oreille.

Les ransomwares qui chiffrent les fichiers sont plus problématiques. Ils chiffrent discrètement les fichiers sur l’ordinateur, puis affichent un message vendant la clé de déchiffrement suivie d’un compteur, qui une fois arrivé à zéro détruit cette clé de déchiffrement.

cryptolocker

Le paiement par Bitcoin est souvent proposé de part sa nature dématérialisée et anonyme. En ce moment, 2 BTC = 820€.

Enfin, le troisième type de ransomwares est peut-être celui que l’on rencontre le plus facilement. Il s’agit des souscriptions obligatoires à des services payants pour pouvoir télécharger un fichier. Les sites web ShareCash et FileIce sont parmi les plus connus, voici un exemple de souscriptions obligatoires à choisir puis à remplir avant de pouvoir télécharger un fichier :

fileice

Bien entendu, un numéro de mobile existant est requis pour télécharger, et la souscription est payante.

On placera dans cette catégorie le nouveau rançongiciel appelé Ransom32 qui est plus précisément un créateur de ransomwares à la demande, utilisant JavaScript pour infecter les ordinateurs.

Voir :

http://blog.emsisoft.com/fr/2016/01/01/decouvrez-ransom32-le-premier-rancongiciel-decouvert-dans-javascript/

Payer ou ne pas payer ?

C’est une bonne question, mais il n’y a en fait pas de réponse universelle.

La plupart des rançongiciels demandent entre 200 et 500€. On peut se dire que cela vaut le coup de retrouver des documents personnels (vidéos du bébé, factures, photos de vacances, etc).

Dans l’autre sens, rien ne garantit le déchiffrement des documents après paiement, ni même qu’un deuxième paiement ne sera pas demandé par la suite.

Je cite tout de même « Oscar D » qui a été infecté par CryptoLocker et qui a payé la rançon :

« Dans mon cas, je confirme qu’après avoir payé une rançon de 300 dollars à CryptoLocker via MoneyPak, ça a fonctionné, cela a pris environ 1 jour pour traiter le paiement, et environ 1 jour pour déchiffrer tous les fichiers…« 

Cela dit, le fait de payer donne également raison aux créateurs de ces logiciels et les pousse à continuer. D’après les calculs de Norton, un pirate pourrait gagner autour de 390 000 dollars (~360 000€) par mois grâce à un ransomware.

« Un pirate pourrait gagner autour de 360 000€ par mois grâce à un ransomware »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Comment fonctionnent les rançongiciels ?

Les ransomwares s’installent comme d’autres programmes malveillants, c’est-à-dire via beaucoup de moyens différents.

Ils peuvent être joins dans des e-mails, téléchargés via des sites de partages, se faire passer pour des faux antivirus, se propager via des failles dans les navigateurs et bien d’autres. Il n’y a donc pas de façons très spécifiques de se faire infecter, la seule chose qui peut vous faire éviter le pire et de réfléchir avant d’effectuer un double clic sur un programme suspect. Les antivirus les détectent également, mais pas toujours.

On peut trouver les rançongiciels sous plusieurs extensions de fichiers différentes dont « .exe » mais aussi « .scr », entre autres. Les icônes sont souvent changées dans le but de vous faire croire qu’il s’agit d’un document légitime ou d’un dossier.

Dès leur exécution, les ransomwares chiffrent discrètement tous les fichiers classiques présents sur l’ordinateur mais aussi sur les clés USB éventuellement branchées ainsi que sur les lecteurs réseau.

D’un point de vue cryptographique, on a deux grandes façons de chiffrer des données : la façon symétrique et la façon asymétrique.

La façon symétrique est la façon qui nous vient naïvement à l’esprit : on utilise le même mot de passe pour chiffrer et pour déchiffrer.

Le problème c’est que pour pouvoir déchiffrer des données chiffrées avec une clé donnée, il faut justement cette clé. Et on n’a pas de façon sécurisée de partager cette clé (à part en mains propres).

La façon asymétrique règle ce problème, une clé dite « publique » est partagée, elle permet uniquement de chiffrer des données. La clé privée n’est pas partagée et permet de déchiffrer les données. Cette clé privée est donc gardée bien au chaud sur un serveur distant (et n’est pas livrée cachée dans le ransomware par exemple). Il faudra donc payer pour l’obtenir.

Le premier ransomware « AIDS » dont on parlait au début de l’article utilisait un chiffrement symétrique donc facilement cassable. Les ransomwares récents utilisent les mêmes techniques de chiffrement que celles utilisées habituellement pour chiffrer des communications entre machines, à savoir des chiffrements asymétriques.

Lorsque la victime paie, c’est la clé privée qui lui est fournie. Lorsqu’elle ne paie pas, la clé est probablement détruite et les fichiers se retrouvent chiffrés à jamais. Du moins, peu de personnes sur Terre disposent d’un supercalculateur suffisamment patient pour casser des clés RSA 2048 bits (utilisées par Cryptolocker). On dit que même Chuck Norris n’arriverait pas à cracker un chiffrement RSA 2048 bits…

Par ailleurs, vous trouverez beaucoup de méthodes de désinfection sur le net permettant de retirer le ransomware de votre ordinateur. Il faut bien savoir que même en supprimant le rançongiciel en question, vos fichiers chiffrés le resteront. La suppression du programme malveillant ne déchiffre pas les fichiers, sinon les ransomwares ne seraient même pas un problème.

Vous pouvez également tomber sur des outils permettant de « déchiffrer » les fichiers chiffrés…mais à condition de fournir la clé privée à ces outils. Limitant ainsi beaucoup leur champ d’action.

Tout cela pour dire que si le rançongiciel est bien pensé, vous avez très peu de chances de récupérer vos fichiers sans payer (et là encore rien n’est garanti comme on l’a vu).

Si vous souhaitez obtenir plus de détails techniques sur Cryptolocker, notamment sur le format des fichiers chiffrés, je vous invite à lire l’article suivant en anglais : http://www.kyrus-tech.com/2013/11/12/cryptolocker-decryption-engine/

Et si vous souhaitez simplement voir ce qu’il se passe lorsqu’on se fait infecter par CryptoWall (un clone de Cryptolocker), vous pouvez vous rendre ici (en anglais).

Puis-je tout de même récupérer mes fichiers sans payer ?

Oui, mais à condition d’avoir fait des sauvegardes auparavant. Ces sauvegardes peuvent être automatiques (par exemple : création de points de restauration) ou manuelles (sauvegardes via clé USB ou via le Cloud).

Concernant Windows 7 et en dessous, vous avez peut-être une chance via la Protection du système.

Sous Windows 8 et 10, vous avez peut-être une chance via l’Historique des fichiers.

Et d’une façon générale, vous pouvez récupérer vos fichiers à partir de sauvegardes.

Note importante :

Les derniers ransomwares comme CryptoWall 4.0 désactivent la restauration du système, suppriment les sauvegardes et empêchent l’utilisation de l’assistant de réparation de Windows. Sauvegardez donc au plus vite, et donc dès maintenant, vos fichiers importants sur le Cloud et/ou sur une clé USB. Si la question du partage de vos fichiers sur le Cloud vous inquiète, n’hésitez pas à utiliser le logiciel (gratuit)  BoxCryptor permettant de chiffrer automatiquement vos fichiers avant de les envoyer à distance.

Comment se protéger des ransomwares ?

La plupart des éditeurs de programmes de sécurité proposent leur propre outil de désinfection (non testés) :

Les ransomwares qui ne chiffrent pas les fichiers sont ainsi faciles à retirer, cependant et comme dit plus haut, les fichiers chiffrés par les ransomwares ne seront pas automatiquement récupérés en supprimant le programme ransomware lui-même.

De façon générale, voici les conseils à appliquer pour se protéger des ransomwares (les éviter et récupérer vos fichiers en cas de soucis) :

  • Sauvegardez régulièrement vos fichiers de façon chiffrée sur un service de stockage en ligne.
  • ou sauvegardez régulièrement les fichiers sur un support externe et non connecté en permanence au réseau.
  • Utiliser un antivirus et un système à jour (quel est le MEILLEUR antivirus ?).
  • Éviter de cliquer sur des liens trop alléchants.
  • Afficher les extensions des fichiers sur l’ordinateur.
  • Restez méfiants encore et toujours et ne cliquant que sur des programmes dont vous avez confiance.

Articles similaires

Menu