Rançongiciel (ransomware)

Ce terme désigne un virus/malware qui va s’exécuter sur votre poste, en utilisant une faille de sécurité non corrigée d'un logiciel et/ou après avoir ouvert une Pièce Jointe ou cliqué sur un lien dans un courriel.

Ce fichier va récupérer une clé de chiffrement via votre connexion internet et relancer automatiquement votre poste en chiffrant au passage tous vos fichiers lors du redémarrage.

Il est ensuite impossible d’y accéder/d’en lire le contenu sans la clé de déchiffrement. L'objectif du fraudeur est d'obtenir une rançon pour vous communiquer cette clé.

Comment fonctionne ce type d'attaque ?

Cette attaque prend la forme d’un fichier exécutable souvent en pièce jointe d’un courriel, avec comme objet tout ce qui peut inciter à vous faire ouvrir ce fichier (facture, bon de livraison, …). Il s’agit souvent de courriels contrefaits (phishing) à l’apparence de marques et/ou d’expéditeurs connus.

 

Le principe :

1 - Éxécution d’un fichier en PJ d’un courriel (ou lors d’un clic sur un lien dans le message, qui lance le téléchargement du fichier).

2 - Ce logiciel récupère alors une clé de chiffrement via votre connexion internet puis lance le redémarrage de votre poste et exécute le chiffrement de tous vos fichiers.

3 - Un écran apparait avec la marche à suivre, vous invitant à payer une rançon (en bitcoins, en raison de la difficile traçabilité des transactions effectuées avec cette monnaie électronique).

4 - Le délai pour payer la rançon est très court, rarement au-delà de 96 heures. Sans déchiffrement avant ce délais, les fichiers sont détruits. Certains pirates vont plus loin en menaçant de divulguer le contenu de votre poste de travail en ligne si la rançon n’est pas payée (notamment dans le cas d’entreprises).

Ces attaques progressent de façon exponentielle car elles sont très rémunératrices et faciles à mettre en œuvre par les pirates informatiques, et même par des novices qui achètent des kits tout prêts sur le « Darkweb ».



Comment se protéger ?

  • Les solutions d’Antivirus intègrent à présent des protections contre ce type d’attaque, mais la protection à 100% n’existe pas. Il est primordial d’effectuer une mise à jour régulière, car les pirates recherchent et créent en permanence de nouvelles techniques pour contourner les méthodes de détection. Le mieux est de configurer votre antivirus pour qu’il effectue automatiquement ses mises à jour dès leur disponibilités.
  • Effectuer des sauvegardes régulières de vos fichiers (disques externes, cloud sécurisé, …), et ne pas laisser branchées vos sauvegardes externes en permanence sur votre poste (particuliers) ou au réseau interne (entreprises). D’autant plus que les ransomwares les plus récents désactivent la restauration du système, suppriment les sauvegardes et empêchent l’utilisation de l’assistant de réparation de votre système d’exploitation.
  • Faire preuve de la plus grande vigilance sur les courriels reçus, et en premier lieu sur ceux non sollicités. Au moindre doute, il ne faut pas ouvrir une pièce jointe, ni cliquer sur un lien.
  • Pour les entreprises : sensibiliser vos collaborateurs au risque et à la vigilance lors de la réception de mails non sollicités et suspects.

 

A retenir...

  • Maintenez votre logiciel antivirus et votre pare-feu à jour, c’est indispensable.
  • Ne cliquez pas sur des liens dans des messages dont vous ne reconnaissez pas l’adresse de l’expéditeur ou dont vous reconnaissez l’adresse mail de l’expéditeur mais qui vous semblent suspects/inhabituels par le contenu ou la pièce jointe (dans le cas d’un piratage de la boite boîte mail de l’expéditeur / de l’un de vos contact).
  • Faites attention à l’extension des pièces jointes, une extension .pdf.z ou pdf.exe n’est pas une extension pdf, c’est ce qui se trouve derrière le dernier point qui est pris en compte.
  • Ne jamais ouvrir les pièces jointes avec les extensions suivantes : .pif, .bat, .com, .exe  (fichiers exécutables)
    Attention également aux fichiers de type word (.doc) ou pdf (.pdf) qui peuvent contenir une macro ou une ligne de commande pour télécharger le virus à votre insu.
  • En cas de présence d’un Ransomware sur votre poste, le site mis en place par Interpol nomoreransom.org peut vous aider à trouver une solution. Il regroupe plus de 150 000 clés de déchiffrement.
  • Payer une rançon en cas d’attaque de type ransomware ne garantit en rien que vous récupérerez la clé pour  déchiffrer les fichiers de votre ordinateur. Par ailleurs, cela encourage les malfaiteurs dans leurs méfaits et à recibler les personnes qui ont déjà payé.