Bien qu’à présent très populaires, les ransomwares ou « rançongiciels » en français ne datent pas d’hier.

On entend beaucoup parler des ransomwares dans l’actualité, mais comment peut-on en attraper un ? comment se protéger ? faut-il payer ou non ? Cet article tente de faire le point et d’apporter des réponses de façon simple et compréhensible.

Le premier du genre est sans doute le Trojan AIDS (aussi appelé PC Cyborg) qui infectait déjà des ordinateurs en 1989. Il chiffrait les fichiers sur les ordinateurs infectés puis indiquait que la licence d’un logiciel avait expiré, et qu’il fallait payer 189 dollars pour déverrouiller les fichiers.

Cela fait maintenant quelques années que ce type de logiciels malveillants est redevenu à la mode, notamment avec la médiatisation de Cryptocker qui chiffre les fichiers d’un ordinateur puis réclame une rançon pour les déchiffrer.

Trois types de ransomwares

On peut classer les ransomwares en deux grands types : ceux qui bloquent les programmes et ceux qui chiffrent les fichiers. Leur point commun étant de soutirer de l’argent à leurs victimes. Un troisième type moins radical existe également et agit via des sites web verrouillant du contenu.

Les ransomwares bloqueurs utilisent notamment des fenêtres pop-up par dessus les autres programmes (ou applications dans le cas des smartphones), les bloquant ainsi et empêchant l’utilisateur de continuer dans sa tâche. Ces ransomwares vous accusent habituellement d’avoir commis des infractions imaginaires. Comme le fait le virus de la gendarmerie, la version française du rançongiciel FBI Moneypak.

Bien entendu, il existe une multitude de variations de ransomwares dans la nature, qu’il est impossible de citer sous forme exhaustive.

Exemple du virus de la gendarmerie :

ransomware-gendarmerie

Pas d’accents, des fautes de français, et des services de paiement que la vraie gendarmerie n’utiliserait jamais sont des points qui mettent la puce à l’oreille.

Les ransomwares qui chiffrent les fichiers sont plus problématiques. Ils chiffrent discrètement les fichiers sur l’ordinateur, puis affichent un message vendant la clé de déchiffrement suivie d’un compteur, qui une fois arrivé à zéro détruit cette clé de déchiffrement.

cryptolocker

Le paiement par Bitcoin est souvent proposé de part sa nature dématérialisée et anonyme. En ce moment, 2 BTC = 820€.

Enfin, le troisième type de ransomwares est peut-être celui que l’on rencontre le plus facilement. Il s’agit des souscriptions obligatoires à des services payants pour pouvoir télécharger un fichier. Les sites web ShareCash et FileIce sont parmi les plus connus, voici un exemple de souscriptions obligatoires à choisir puis à remplir avant de pouvoir télécharger un fichier :

fileice

Bien entendu, un numéro de mobile existant est requis pour télécharger, et la souscription est payante.

On placera dans cette catégorie le nouveau rançongiciel appelé Ransom32 qui est plus précisément un créateur de ransomwares à la demande, utilisant JavaScript pour infecter les ordinateurs.

Voir :

http://blog.emsisoft.com/fr/2016/01/01/decouvrez-ransom32-le-premier-rancongiciel-decouvert-dans-javascript/

Payer ou ne pas payer ?

C’est une bonne question, mais il n’y a en fait pas de réponse universelle.

La plupart des rançongiciels demandent entre 200 et 500€. On peut se dire que cela vaut le coup de retrouver des documents personnels (vidéos du bébé, factures, photos de vacances, etc).

Dans l’autre sens, rien ne garantit le déchiffrement des documents après paiement, ni même qu’un deuxième paiement ne sera pas demandé par la suite.

Je cite tout de même « Oscar D » qui a été infecté par CryptoLocker et qui a payé la rançon :

« Dans mon cas, je confirme qu’après avoir payé une rançon de 300 dollars à CryptoLocker via MoneyPak, ça a fonctionné, cela a pris environ 1 jour pour traiter le paiement, et environ 1 jour pour déchiffrer tous les fichiers…« 

Cela dit, le fait de payer donne également raison aux créateurs de ces logiciels et les pousse à continuer. D’après les calculs de Norton, un pirate pourrait gagner autour de 390 000 dollars (~360 000€) par mois grâce à un ransomware.

« Un pirate pourrait gagner autour de 360 000€ par mois grâce à un ransomware »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Comment fonctionnent les rançongiciels ?

Les ransomwares s’installent comme d’autres programmes malveillants, c’est-à-dire via beaucoup de moyens différents.

Ils peuvent être joins dans des e-mails, téléchargés via des sites de partages, se faire passer pour des faux antivirus, se propager via des failles dans les navigateurs et bien d’autres. Il n’y a donc pas de façons très spécifiques de se faire infecter, la seule chose qui peut vous faire éviter le pire et de réfléchir avant d’effectuer un double clic sur un programme suspect. Les antivirus les détectent également, mais pas toujours.

On peut trouver les rançongiciels sous plusieurs extensions de fichiers différentes dont « .exe » mais aussi « .scr », entre autres. Les icônes sont souvent changées dans le but de vous faire croire qu’il s’agit d’un document légitime ou d’un dossier.

Dès leur exécution, les ransomwares chiffrent discrètement tous les fichiers classiques présents sur l’ordinateur mais aussi sur les clés USB éventuellement branchées ainsi que sur les lecteurs réseau.

D’un point de vue cryptographique, on a deux grandes façons de chiffrer des données : la façon symétrique et la façon asymétrique.

La façon symétrique est la façon qui nous vient naïvement à l’esprit : on utilise le même mot de passe pour chiffrer et pour déchiffrer.

Le problème c’est que pour pouvoir déchiffrer des données chiffrées avec une clé donnée, il faut justement cette clé. Et on n’a pas de façon sécurisée de partager cette clé (à part en mains propres).

La façon asymétrique règle ce problème, une clé dite « publique » est partagée, elle permet uniquement de chiffrer des données. La clé privée n’est pas partagée et permet de déchiffrer les données. Cette clé privée est donc gardée bien au chaud sur un serveur distant (et n’est pas livrée cachée dans le ransomware par exemple). Il faudra donc payer pour l’obtenir.

Le premier ransomware « AIDS » dont on parlait au début de l’article utilisait un chiffrement symétrique donc facilement cassable. Les ransomwares récents utilisent les mêmes techniques de chiffrement que celles utilisées habituellement pour chiffrer des communications entre machines, à savoir des chiffrements asymétriques.

Lorsque la victime paie, c’est la clé privée qui lui est fournie. Lorsqu’elle ne paie pas, la clé est probablement détruite et les fichiers se retrouvent chiffrés à jamais. Du moins, peu de personnes sur Terre disposent d’un supercalculateur suffisamment patient pour casser des clés RSA 2048 bits (utilisées par Cryptolocker). On dit que même Chuck Norris n’arriverait pas à cracker un chiffrement RSA 2048 bits…

Par ailleurs, vous trouverez beaucoup de méthodes de désinfection sur le net permettant de retirer le ransomware de votre ordinateur. Il faut bien savoir que même en supprimant le rançongiciel en question, vos fichiers chiffrés le resteront. La suppression du programme malveillant ne déchiffre pas les fichiers, sinon les ransomwares ne seraient même pas un problème.

Vous pouvez également tomber sur des outils permettant de « déchiffrer » les fichiers chiffrés…mais à condition de fournir la clé privée à ces outils. Limitant ainsi beaucoup leur champ d’action.

Tout cela pour dire que si le rançongiciel est bien pensé, vous avez très peu de chances de récupérer vos fichiers sans payer (et là encore rien n’est garanti comme on l’a vu).

Si vous souhaitez obtenir plus de détails techniques sur Cryptolocker, notamment sur le format des fichiers chiffrés, je vous invite à lire l’article suivant en anglais : http://www.kyrus-tech.com/2013/11/12/cryptolocker-decryption-engine/

Et si vous souhaitez simplement voir ce qu’il se passe lorsqu’on se fait infecter par CryptoWall (un clone de Cryptolocker), vous pouvez vous rendre ici (en anglais).

Puis-je tout de même récupérer mes fichiers sans payer ?

Oui, mais à condition d’avoir fait des sauvegardes auparavant. Ces sauvegardes peuvent être automatiques (par exemple : création de points de restauration) ou manuelles (sauvegardes via clé USB ou via le Cloud).

Concernant Windows 7 et en dessous, vous avez peut-être une chance via la Protection du système.

Sous Windows 8 et 10, vous avez peut-être une chance via l’Historique des fichiers.

Et d’une façon générale, vous pouvez récupérer vos fichiers à partir de sauvegardes.

Note importante :

Les derniers ransomwares comme CryptoWall 4.0 désactivent la restauration du système, suppriment les sauvegardes et empêchent l’utilisation de l’assistant de réparation de Windows. Sauvegardez donc au plus vite, et donc dès maintenant, vos fichiers importants sur le Cloud et/ou sur une clé USB. Si la question du partage de vos fichiers sur le Cloud vous inquiète, n’hésitez pas à utiliser le logiciel (gratuit)  BoxCryptor permettant de chiffrer automatiquement vos fichiers avant de les envoyer à distance.

Comment se protéger des ransomwares ?

La plupart des éditeurs de programmes de sécurité proposent leur propre outil de désinfection (non testés) :

Les ransomwares qui ne chiffrent pas les fichiers sont ainsi faciles à retirer, cependant et comme dit plus haut, les fichiers chiffrés par les ransomwares ne seront pas automatiquement récupérés en supprimant le programme ransomware lui-même.

De façon générale, voici les conseils à appliquer pour se protéger des ransomwares (les éviter et récupérer vos fichiers en cas de soucis) :

  • Sauvegardez régulièrement vos fichiers de façon chiffrée sur un service de stockage en ligne.
  • ou sauvegardez régulièrement les fichiers sur un support externe et non connecté en permanence au réseau.
  • Utiliser un antivirus et un système à jour (quel est le MEILLEUR antivirus ?).
  • Éviter de cliquer sur des liens trop alléchants.
  • Afficher les extensions des fichiers sur l’ordinateur.
  • Restez méfiants encore et toujours et ne cliquant que sur des programmes dont vous avez confiance.

92 Commentaires
Cliquez ici pour ajouter un commentaire

  • Rebonsoir Jeremy,

    Effectivement, tu as bien été infecté par un « ransomware » générique via une source vidéo ou un codec vidéo ou via site web.

    Première chose à faire tout de suite, LANCE UNE RECHERCHE DE MISE A JOUR WINDOWS UPDATE PUIS INSTALLE LES MISES A JOUR MANQUANTES. Au terme de l’installation des mises à jour, s’il y en a, redémarre ta machine.

    Ensuite cette histoire de mauvais programme par défaut me semble bizarre. Es-tu passé par « Panneau de Configuration » => « Programmes par défaut »=> « Associer un type de fichier ou un protocole à un programme » ?

    Si non, fais-le et change chaque type de fichier à ouvrir avec son programme associé.

    A tout de suite…

    Répondre
    • Jeremy,

      Après avoir fait tout ce que je t’ai posté plus haut, il va falloir réinitialiser ton navigateur internet explorer.

      Appuie simultanément touches « WINDOWS + R » et tapes:

      iexplore.exe -extoff

      Clique sur le bouton Outils, puis sur Options Internet.

      Clique sur l’onglet Avancé, puis sur Réinitialiser.

      Active la case « Supprimer les paramètres personnels », puis valide l’opération.

      Dans la boîte de dialogue Réinitialiser les paramètres d’Internet Explorer, clique sur Réinitialiser.

      Une fois la réinitialisation effectuée, clique sur Fermer, puis sur OK.

      Ferme Internet Explorer, tu peux le relancer et l’utiliser normalement..

      Répondre
      • Bonjur Jeremy,

        Je suppose que tu as terminé l’ensemble des opérations de nettoyage et de sécurisation de ta machine…

        Je te propose de terminer en beauté cette phase là en téléchargeant STOPZILLA ici:

        http://www.stopzilla.com/

        Installe STOPZILLA et lance une analyse. Certainement que AVIRA détectera quelque chose puisque c’est un fichier exécutable ‘.exe ». Rassure toi STOPZILLA est réputé et très connu. Evidemment, tu mettras en quarantaine tout ce qui aura été détecté par STOPZILLA.

        Ensuite il faudrait juste que tu ailles dans le gestionnaire de tâches WIndows pour vérifier si un processus nommé « TR\crypt.ZPACK.227311 » existe ??

        Normalement tu ne devrais pas l’avoir. Si oui, clique droit dessus et « Arrêter le processus » d’URGENCE! 🙂

        Maintenant que tout est OK, j’attends tes feedbacks… As-tu réussi à ouvrir avec le bon programme associé tes fichiers ? Si non, quelle est l’extension de tes fichiers infectés ?

        Répondre
  • depuis que internet est devenu un accès tout publiques, les virus et autres malwares spywares, les troyens etc.. ont fait leurs apparitions pour tenter de bloquer, pirater nos PC, surtout depuis windows. Les règles de base n’ont pas changé, il faut sauvegarder ces fichiers sensibles, photos perso etc.. Il faut aussi ne pas télécharger n’importe quoi n’importe ou, ne pas non plus ouvrir telle ou telle e mail sans être sur de l’expéditeurs, se m »fier des pièces jointes douteuse même si ont connait la personne qui l’a envoyé, éviter d’ouvrir les mails avec juste une pièce jointe sans que le dite mail ai un texte. Il vos mieux demander à l’expéditeur ce que contient le fichier avant de l’ouvrir. Se sont des petites choses toutes bêtes mais qui peuvent éviter bien des désagrément. Un autre moyen consiste à sauter le pas et passer de windows à un linux ou android. Bien qu’ils y ai quasiment pas de virus sous linux puisque la majorités des PC vendu dans le monde sont sous windows, la majorités des virus sont écris pour windows

    Répondre
    • Bonjour,

      Lorsque l’on évoque l’inventaire des différentes menaces et des multiples dangers de l’internet auxquels nous sommes potentiellement confrontés, il faut être conscient que l’internet est un très vaste Océan numérique.

      Depuis l’apparition des navires, des pirates ont choisi d’affronter des territoires inconnus pour s’approprier les biens d’autrui… Aujourd’hui, rien n’a changé hormis les moyens et les techniques de transport.

      Heureusement, l’Homme a su créer de nouveaux outils permettant aux utilisateurs de l’internet de naviguer grâce à des « machines virtuelles ». De nos jours, la virtualisation de « machines » offre aux internautes plus de liberté et de sécurité pour surfer sur l’internet.

      La « machine » de demain deviendra une extension numérique de chaque individu évoluant dans une mécanique sociétale numérisée, plus communément appelée: « Big Data ».

      La menace perdurera toujours, car l’Homme restera une menace pour lui-même et le monde qui l’entoure. Ça me fait penser à une série TV « Person of Interest », vous connaissez ? 🙂

      Revenons à des choses plus terre à terre ! 🙂

      Prochainement, je publierai un article intitulé « Initiation à la virtualisation »
      L’idée générale de cet article sera de vous conduire à mettre en place et utiliser simplement une « machine virtuelle » sur votre machine physique (ordinateur). A partir de là, la menace croissante et constante de piratage, d’intrusion ou d’infection virale sera quasiment éliminée, puisque seule la « machine virtuelle » sera visible sur l’internet… Toutes vos données ainsi que votre ordinateur physique seront confinés, sécurisés et désolidarisés de votre « machine virtuelle ».

      PS: j’espère que mes propos n’ont choqué personne !?! 🙂

      Répondre
  • […] de façon générale, il peut ainsi être un keylogger, un cheval de Troie, un rogue, un ransomware, un ver […]

    Répondre
  • salut Diki,

    je vois que tu as posté sur un autre site à propos de https://ransomfree de cybereason.com/ Utile ou pas ?

    Vu la galère lue ci-dessus pour Jérémy, et même si ce soft ne peut être parfait, il vaut mieux prévenir un minimum, non ?

    bon week end 😉

    Woody

    Répondre
  • Bonjour Woody,

    Sur le principe je suis d’accord avec toi Woody, mais croire que l’on peut faire totalement confiance à un logiciel de protection est un leurre. Le facteur clé déclencheur des attaques de type « rançongiciel » est l’être humain en personne et ses mauvaises habitudes…

    J’ai pu à maintes reprises constater que certains ransomwares notamment « Odin » sont capables de traverser n’importe quelle « ligne de défense » malgré toutes les mesures de protection hardware et software mises en place.

    De mémoire, j’avais déjà mentionné l’exemple d’un grand organisme de crédit français réputé où j’étais intervenu. Quelle fut ma surprise lorsque je me suis connecté sur un des postes utilisateur (salarié) pour finalement constater que la totalité du contenu de son lecteur réseau partagé avec d’autres utilisateurs (salariés) avait été attaqué par « Odin » ! 🙂

    Évidemment, j’ai de suite coupé ma connexion à distance pour ensuite me reconnecter avec une « machine mouton ».

    Tu vas certainement me dire: « Avec toutes les mesures de protection et de sécurisation déployées au sein de ce grand organisme de crédit français, comment un ransomware comme « Odin » a-t-il pu se propager et crypter la totalité des documents confidentiels de ce groupe d’utilisateurs !?! »

    La réponse est évidente, à l’origine quelqu’un n’a pas respecté les directives de sécurité de la boite ! 🙂

    Le plus surprenant durant mon investigation est d’avoir constaté que « Odin » avait réussi à se propager à travers toute la couche des versions antérieures de tous les documents du lecteur réseau utilisateurs attaqué !

    Veux tu savoir comment ? C’est encore à cause d’un idiot d’auditeur privé (prestataire externe) qui a eu l’idée géniale de redescendre sur le profil utilisateur (salarié) les versions précédentes des documents attaqués et cryptés par Odin 🙂 On appelle ça un « effet de cascade », Odin a donc automatiquement crypté les documents restaurés à partir du lecteur réseau utilisateurs ! LoL! 🙂

    Tu as certainement compris ici qu’il aurait fallu sécuriser au préalable le profil utilisateur en question avant de débuter de telles manipulations avec Odin en pleine action 🙂

    Tout ceci pour dire qu’aucune mesure de protection ou de sécurisation n’est en mesure d’anticiper et d’agir contre les erreurs accidentelles ou les mauvaises habitudes de l’utilisateur et de façon plus générale contre la « nature humaine »…

    A+!
    Diki

    Répondre
  • merci Diki, comme d’hab’ !

    est-ce que Jeremy aurait été protégé avec Ransomfree?

    Répondre
  • Rebonjour Woody,

    Visiblement, je doute que Ransomfree aurait pu le protéger au départ de l’attaque. Le principe de fonctionnement d’un tel programme ransongiciel est basé généralement sur le fonctionnement d’une e-bombe de décompression. Ce n’est pas un virus ! Et c’est la toute la subtilité 🙂 La contre mesure (antivirus et autres protections) va tenter d’analyser ce processus « e-bombe de décompression » ce qui va automatiquement impacter et monopoliser toutes les ressources de la machine (système, antivirus etc.). Pendant ce temps, le ransomware n’aura plus qu’à attendre le moment opportun pour s’introduire via une « porte ouverte » que la contre mesure n’a pas eu le temps de détecter ! 🙂

    Notons quand même que la machine de Jeremy n’avait aucun point de restauration système (désactivé). Par ailleurs vu son résultat rendu par Malwarebytes il ne fait aucun doute que sa machine était hautement fragilisée depuis belle lurette. Dans la mesure où un ransomware accède par une « porte ouverte » à une machine (via une clé USB ou un portail Web…) c’est déjà trop tard étant donné que le ransomware s’est déjà propagé sur le réseau de l’utilisateur.

    La meilleure mesure à prendre contre une attaque de type ransongiciel est de réinstaller complètement sa machine à partir d’un backup externe complet et sécurisé le plus récent, et bien évidemment de chiffrer ses disques durs.

    PS: tu remarqueras que Ransomfree ne parle par du ransomware « Odin »…, étrange non ? Pas tant que ça vu qu’il n’existe à ma connaissance que des parades logiciels permettant de supprimer les fichiers infectés par des ransomwares, et elles ne garantissent pas le résultat final ! 🙂

    A+!
    Diki

    Répondre
    • crypter avec DiskCryptor par exemple ?

      Répondre
      • Oui, DiskCryptor fait parti de l’éventail des logiciels de chiffrement de disque dur les plus connus. Il faut quand même garder à l’esprit qu’au moindre problème matériel ou système durant le chiffrement des données de son disque dur, on risque de tout perdre de façon irréversible !

        C’est pour cette raison que j’utilise pour l’instant la solution libre VeraCrypt. Elle me permet de chiffrer uniquement les données sensibles de mes disques durs par l’intermédiaire d’un « disque dur virtuel », sans pénaliser mon travail en cours.

        Avantage non négligeable, lorsque la machine démarre, aucun volume crypté n’est accessible, il faut obligatoirement lancer VeraCrypt en Administrateur pour monter son disque dur crypté et l’associer à un nouveau volume temporaire (« disque dur virtuel »). Ce dernier sera le point d’entrée des données à chiffrer ou inversement. Au terme du transfert des fichiers à chiffrer ou déchiffrer, il suffira de démonter le « disque dur virtuel » pour rendre inaccessible le disque dur physique chiffré. Ce dernier sera donc vu par la machine comme un volume « non formaté ». Cool! 🙂

        Répondre
  • Hello tout le monde,

    je voudrais vous poser 2 questions par rapport aux ransomwares.
    comment peut on en être sur qu’on est bien infecté par ransomware ? c’est-à-dire, il y’a des fois qu’on chope des erreurs sur notre navigateurs nous informant que notre système est infecté ou bien une défaillance détectée et faut contacter un numéro afin d’avoir de l’assistance ( je pense un num surtaxé ). comment je peux savoir que c’est uniquement une façade et une mascarade et qu’aucune clé de registre n’a été touchée ou des .dll ont été impactés afin de faire propager un truc malveillant ?
    Autre chose, si on crypte notre disque dur avec un outil de cryptage lié à un serveur d’autorité ( organisme pro ) générant des mots de passe ou des certifs en hebdo afin de maintenir la sécurité. Si on chope un ransomewar, est il possible qu’il peut crypter nos documents sur le disque?

    Merci d’avance.

    Répondre
    • Bonjour,
      Si tous les fichiers sur l’ordinateur se retrouvent chiffrés (avec un nouvelle extension), même après un redémarrage de l’ordinateur, c’est très certainement le coup d’un ransomware. Ça m’étonnerait qu’ils chiffrent juste quelques fichiers cachés, ils n’auraient aucun intérêt à le faire puisque le but est de prendre en otage le PC entier des victimes et de leur soutirer de l’argent. Même si vous chiffrez vos fichiers sur le disque, le ransomware peut toujours les re-chiffrer et cela ne changera rien au problème.

      Répondre
  • bonjour,
    Par curiosité, est-ce dangereux si je me prend un ransomware avec une machine virtuel ?

    Répondre
    • Bonjour Mathieu,
      Si l’on sépare totalement ses fichiers et informations personnelles de la machine réelle il y a peu de risques. Il existe des logiciels malveillants qui exploitent des failles dans les machines virtuelles pour réussir à « passer dans la vraie machine », mais aucun cas connu chez un ransomware qui a déjà suffisamment de victimes sur PCs réels…À bientôt 🙂

      Répondre
  • mon ordinateur a été piraté, tout est rentré dans l’ordre mais j’aimerais avoir une preuve , on m’a dit de joindre le service commercial ,mais personne a SFR veut me le passer. que dois je faire??.merci

    Répondre

Laisser un commentaire

Menu