Ransomware - Cryptolocker : 8 mesures pour protéger ses fichiers - Informatique Perpignan

Ransomware - Cryptolocker : 8 mesures pour protéger ses fichiers - Informatique Perpignan

Le nom de ransomware commence à être familier chez les internautes, en partie à cause de la communication faite autour de cette menace mais aussi parce que bon nombre y ont déjà été confrontés ou ont été ciblés par une tentative d'infection.

Pour ne pas se retrouver dans cette situation voici quelques conseils à appliquer en prévention et d'autres pour limiter les dégâts lorsqu'il est trop tard.

Qu'est-ce qu'un Ransomware ?

Le ransomware est un malware, appelé parfois à tort "virus", ou à raison s'il se duplique et propage de lui même, qui a pour but final de soutirer de l'argent à sa victime. L'infection passe par le téléchargement d'un logiciel malveillant parfois dissimulé dans la pièce jointe d'un email piégé ou au bout d'un lien. Il peut aussi se diffuser par le biais de pages web piratées qui tentent d'utiliser les failles des systèmes d'ordinateurs.

Lorsque le ransomware a pris place sur l'ordinateur (ou le smartphone, dans 20% des cas selon Kaspersky) de sa victime il applique un blocage du système ou un chiffrement (cryptage) sur les fichiers et dossiers personnels de l'ordinateur de telle sorte qu'ils deviennent illisibles. Une fois son travail terminé il indique à l'utilisateur piégé un moyen de débloquer l'ordinateur de récupérer ses fichiers, généralement en payant une rançon contre la clé de cryptage qui permettra d'ôter le chiffrement. Le logiciel tente de se faire passer pour une autorité : police, gendarmerie, FBI, lutte contre le téléchargement illégal etc.

Ransomware gendarmerie

cryptolocker.png

L'utilisateur n'a donc d'autres choix que de perdre ses fichiers ou de payer la rançon. La paiement ne garantit toutefois pas que les moyens permettant la récupération seront effectivement fournis par le pirate. Il est donc conseillé de ne pas payer et de tenter de récupérer quelques fichiers par d'autres moyens.

Comment le malware agit-il ?

Le fonctionnement d'un ransomware est un peu particulier car il doit mener à bien de multiples tâches pour être efficace. La première est probablement la plus importante mais la moins technique : elle consiste à s'introduire sur l'ordinateur d'une victime. Dans certains cas particuliers comme lors de l'attaque Petya/NotPetya/Petrwap les pirates ont utilisé le système de mise à jour d'un logiciel, MEDoc, pour s'introduire ne laissant aucune possibilité aux victimes pour prévenir l'infection.

Plus habituellement les pirates utilisent la ruse pour s'introduire sur l'ordinateur en se servant d'emails piégés (technique du phishing). Ils redirigent l'utilisateur vers un site infecté ou font télécharger une pièce jointe piégée. Une fois sur l'ordinateur, s'ils arrivent à passer le cap de l'antivirus, c'est là que le malware commence à faire son oeuvre, parfois en établissant la communication avec un serveur pour récupérer les éléments nécessaires à l'infection.

infographie ransomware

La suite est toujours la même avec seulement une petite variante. Soit les pirates affichent un message de menace et bloque quelques fonctionnalités, soit le malware chiffre les données personnelles pour les rendre inaccessibles. Un message s'affiche ensuite pour indiquer à l'utilisateur les conditions pour récupérer ses données, généralement via le paiement d'une rançon.

Comment se protéger ?

Il existe plusieurs variantes de ransowware baptisés avec des noms tels que : Wannacrypt, Cryptowall, Cryptolocker, Petya ou Locky etc. Ce dernier est particulièrement virulent selon l'éditeur de solutions de sécurité Kaspersky.

1. Sauvegarder ses fichiers
Le conseil est valable pour les ransomwares mais aussi pour l'informatique en général. Les disques durs ou autre systèmes de mémoire tout comme les systèmes ne sont pas infaillibles, il convient donc d'avoir ses données importantes (photos, documents etc...) dupliqués à deux endroits différents en tout temps. Dans l'idéal la sauvegarde doit être faite de façon régulière sur un support qui n'est liée à l'appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne...). En effet les ransomwares peuvent également se propager aux supports de stockage connectés à l'appareil infecté.

Note de Xinu-Informatic : Comme le virus s'attaquent à tous les lecteurs locaux ou vus comme locaux, nous vous recommandons de ne pas utiliser de partage SMB pour les sauvegardes. Contactez-nous pour plus d'informations.

2. Attention aux clés USB
Si quelqu'un vient avec une clé USB, ne jamais l'insérer dans un serveur sans l'avoir au préalable faite analyser sur un de vos ordinateur et avec un bon antivirus (comme mentionné au point 6).

3. Mettre à jour son système et ses logiciels
Le ransomware, ou plus généralement les malware, se diffusent en utilisant des failles de logiciels ou des systèmes comme porte d'entrée. C'est ce qui a permis aux pirates de mener la cyberattaque WannaCrypt. Tenez à jour vos systèmes Windows, Mac, Android, iOS ou autres et vérifiez régulièrement que vous utilisez la dernière version de vos logiciels favoris, notamment les navigateurs. Enfin, certains systèmes d'exploitation ou logiciels ne sont plus supportés et ne reçoivent plus de mises à jour de sécurité. C'est le cas notamment de Windows XP qui ne devrait plus être utilisé.

4. Redoubler de prudence avec les pièces jointes
Le système de pièces jointes des courriers électroniques est devenu au fil du temps un moyen indispensable pour échanger des fichiers mais c'est aussi un des moyens que les pirates utilisent pour diffuser leur logiciel malveillant. Comme on l'a vu avec le cas Locky une pièce jointe annoncée comme étant une facture peut contenir un malware, il convient donc d'éviter d'ouvrir ou d'exécuter des pièces jointes reçues si on a un doute sur le but du message. Demandez confirmation à l'expéditeur si vous n'êtes pas certains que l'envoi est légitime.

5. Redoubler de prudence avec les sites internet non ou peus connus

Soyez vigilant, même très vigilant lorsque vous surfez sur Internet. Certains sites type téléchargement illégal, streaming vidéo, ... sont bien souvent porteurs de ce genre de virus. Si un message apparaît sur l'écran, lisez le bien et ne cliquez pas n'importe ou. Au pire, fermez le navigateur si vous n'êtes pas sûr.

6. Utiliser un "VRAI" antivirus et à jour, pas un antivirus gratuit qui ne saura pas détecter une activité suspecte, ...
Les logiciels malveillants, virus et autres malwares, évoluent en permanence. Pour cette raison on pourra trouver différentes variantes d'un ransomware. Utiliser un antivirus à jour permet de s'assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que votre antivirus pourra le reconnaitre. Attention toutefois, un fichier téléchargé mais non signalé comme dangereux par l'antivirus ne signifie pas pour autant qu'il est sain.

Note de Xinu-Informatic : Les antivirus gratuits sont mieux que rien mais si vous voulez une véritable protection, optez pour un antivirus payant type BitDefender ou Kapersky (pas Avast et compagnie). Pourquoi ? Car les antivirus payant offreznt une meilleure protection car le morteur antiviral est bien plus évolué. Il va analyser le comportement des binaires (exe, ...) et si il voit un comportement anormal, soit il bloquera le processus, soit il avertira l'utilisateur. Cela permet donc de lever une alerte rapidement là où uin antivirus gratuit ne voit rien du tout.

 

Le risque zéro n'existe pas face à ce genre de virus. C'est à l'utilisateur d'être vigilant. Certes on peut mettre en place tout un tas de solution de sécurité mais cela n'enlèvera pas le risque.

Si vous êtes un professionnel, soyez vigilant à ne pas perdre vos données de travail. Si vous avez un serveur, n'utilisez jamais votre serveur pour naviguer sur Internet, lire vos mails, .... Avant d'insérer une clé USB, analysez là complètement.

Français