Qu’est-ce qu’un crypto-ransomware ?

 

Cet article explique comment un crypto-ransomware peut rendre vos ordinateurs inutilisables et détaille les meilleures précautions à prendre pour en limiter les conséquences.

disque dur crypté

Nous expliquons ci-après le comportement d’un crypto-rançonware dans un ordinateur, les étapes utilisées pour encrypter vos fichiers et dossiers ainsi que les pratiques élémentaires que vous devriez prendre pour limiter les dommages au minimum .

Les crypto-rançonwares font partie des malwares les plus performants et les plus actifs pour le moment depuis 2016.  Leur activité a doublé entre 2015 et 2016.

Les rançonwares existent depuis de nombreuses années.  Au début, il s’agissait d’un simple écran de verrouillage de l’ordinateur affichant une demande de rançon.  Ensuite est arrivé le vol de données avec menace de diffusion publique en cas de non paiement.  On a même vu des voleurs, voler les serveurs et demander une rançon pour le restituer.  Depuis quelques temps, des variantes bien plus dangereuses appelées cryptorançonwares sont apparues sur le net.

À la différence des malwares traditionnels, les cryptorançonwares ne volent pas linformation. Plus simplement, ils encryptent vos documents, vos feuilles de calcul, vos photos, vos vidéos et parfois même le noms des dossiers.  Ensuite, ils exigent une rançon pour restituer les fichiers dans leur état original.  Il s’agit bien là d’un chantage numérique.

 

La rançon demandée varie, selon le cas, de 150 à 500 Euros pour un ordinateur personnel unique à plusieurs milliers d’Euros pour une organisation ou une entreprise.

Le paiement de la rançon est acheminée par des chemins complexes difficiles à tracer, comme des transferts occultes, des message textuels aux prix exorbitants, des services prépayés comme Paysafe-card, ou la devise numérique Bitcoin.

Bien que les attaques de rançonwares existent depuis de nombreuses années, les experts en matière de sécurité prétendent qu‘elles sont devenues beaucoup plus dangereuses en raison des avancées technologiques dans les méthodes de chiffrement

Demande de rançon

L’introduction d’un cryptorançonware dans un ordinateur provoque le chiffrement non seulement des données contenues sur les disques durs de l’ordinateur attaqué, mais va plus que probablement provoquer le chiffrement des données des différents ordinateurs connectés au réseau, en ce et y compris les fichiers contenus sur les serveurs locaux et ceux du cloud de la société.   Bref, tous les fichiers accessibles par un utilisateur depuis l’ordinateur seront encryptés et donc inutilisables en l’état.

Imaginez une entreprise sans facturier, sans carnet de commande, sans historique de paies, sans comptabilités, sans carnet d’adresse …

Quel que soit l’usage de l’ordinateur attaqué une telle attaque entraînera des pertes financières et des arrêts d’activité tout en laissant planer un doute  potentiel préjudiciable à la réputation de l‘entreprise.

Selon un rapport établi par la CTA, la version 3,0 de CryptoWall seul a déjà coûté à ses victimes plus de 325 millions d’Euros.  

Il y a un peu plus de 6 mois, nous avons vécu une telle attaque qui par chance a épargné les fichiers de sauvegarde dont l’extension était inconnue du cryptomalware.  La perte s’est donc limitée à l’activité d’une journée et aux frais de restauration des données après recherches d’un prétendu virus.

Plus récemment, nous venons de vivre une attaque qui a encrypté également les fichiers de sauvegarde. Ce qui a eu pour effet de rendre l’ordinateur non récupérable jusqu’à ce que nous contactions une société à l’étranger spécialisée dans le dé-encryptage des fichiers encryptés.

Cet ordinateur a été inutilisable pendant plus d’une semaine.

Nous concluons que l’encryptage se fait en quelques secondes et que celui-ci est le résultat d’une action humaine.  Dans ce cas précis, un clic sur un site Internet.

La dernière version du logiciel de sauvegarde que nous recommandons surveille en permanence ses fichiers de sauvegarde.

Toutefois, partant du principe qu’il n’est pas possible de crypter des fichiers inatteignables, nous étudions actuellement une solution automatique qui mettra hors ligne les fichiers de sauvegardes en dehors des périodes de leurs créations.

A suivre, . . . .   Jean Leroy

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *