Atlantico, c'est qui? c'est quoi ?
Mercredi 31 Août 2016 | Créer un compte | Connexion
Extra

Comment se protéger de Cryptolocker et autres virus qui cryptent vos fichiers pour vous rançonner

Les "rançongiciels" sont des virus qui rendent l'ordinateur qui en est victime inutilisable, et ce jusqu'à ce que paiement soit effectué...

Coup d'Etat sur votre PC

Publié le - Mis à jour le 8 Janvier 2014
Comment se protéger de Cryptolocker et autres virus qui cryptent vos fichiers pour vous rançonner

Le Cryptolocker chiffre les données personnelles et demande ensuite une rançon contre leur déchiffrement. Crédit Reuters

Atlantico : Depuis quelques temps semble apparaitre une recrudescence d'attaques informatiques d'un genre assez nouveau pour le grand public : celles des ransomware, ou "rançongiciels", dont le plus célèbre est Cryptolocker, qui chiffre les données personnelles et demande ensuite une rançon contre leur déchiffrement. Que sont ces logiciels "preneurs d'otages" et comment fonctionnent-ils ?

Romain Castel : Les ransomware sont à la mode car il permettent de gagner de l'argent facilement en profitant de la crédulité ou de l'impuissance des gens face à des problèmes informatiques. En effectuant une petite rétrospective ont peut distinguer trois types de ransomware :

- Les premiers sont ceux qui sont apparus à la fin des années 80.

A cette époque ils ne prenaient pas le contrôle complet de l'ordinateur cible. Ils indiquaient simplement que la licence d'un logiciel lambda était expirée et qu'il fallait la renouveler. Évidemment le malware indiquait une adresse de paiement différente de celle du logiciel.

- Ensuite, vers la fin des années 2000, un autre type de ransomware est apparu : ceux qui ont pour but de bloquer complètement le fonctionnement de l'ordinateur infecté en remplaçant un élément primordial du système. Par exemple, le ransomware dit de la "gendarmerie nationale" qui affirme qu'une infraction a été commise sur l'ordinateur infecté et qu'il faut payer une amende immédiatement pour pouvoir continuer à l'utiliser. Pour fonctionner, ce malware remplace le bureau Windows par une image conçue pour tromper l'utilisateur et l'induire a payer la fausse amende sur le compte bancaire indiqué.

- Enfin le troisième type de ransomware que l'on peut observer aujourd'hui est celui de type Cryptolocker, qui n'a pas vocation à verrouiller complètement le fonctionnement de l'ordinateur mais rend inutilisable toutes les données (photo, vidéo, document, sauvegarde, etc.) stockées sur le disque dur. Cela donne au concepteur du malware un moyen de pression fort, car si la victime ne paye pas elle risque de perdre toutes ses données. En réalité, dans le cas ou le déchiffrement se fait avec la même clef que celle utilisée pour le chiffrement, un expert en sécurité informatique pourra retrouver la clef permettant de déchiffrer les données et, éventuellement, publier un outil qui permettra aux victimes de récupérer leurs données.

Quelles formes prennent les attaques des ransomware ? Comment les détecter et les prévenir en amont ?

Les vecteurs d'infection des ransomware ne sont pas différents des autres virus. En effet, comme la plupart d'entre eux, ils se propagent grâce a deux moyens principaux :

- Le premier vecteur d'infection virale est le téléchargement de données depuis Internet. Ce téléchargement peut être initialisé par l'attaquant au moyen d'une campagne de fishing mail (ce type d'attaque consiste à envoyer un grand nombre de mails en espérant qu'un pourcentage des receveurs effectuera les actions décrites dans le mail). Dans le cas d'un malware, l'objectif est de faire télécharger le logiciel malveillant par l'utilisateur. Le mail va donc soit contenir une pièce jointe à télécharger, soit envoyer l'utilisateur sur un site Web pour qu'il y télécharge le fichier. Dans les deux cas, l'utilisateur récupère le malware déguisé en quelque chose de cohérent qui, une fois le fichier utilisé, s'injecte et effectue ses "actions malveillantes" au redémarrage de l'ordinateur. Mais le téléchargement du ransomware peut également se faire sans aucune intervention de l'attaquant, par exemple lorsqu'un utilisateur télécharge un logiciel (légalement ou illégalement) et l'installe.

 
Commentaires

Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.

  • Par Ravidelacreche - 06/01/2014 - 09:30 - Signaler un abus Cryptolocker

    La France ne verse pas de rançon.

  • Par A.G - 06/01/2014 - 09:44 - Signaler un abus Tres dificile ...

    J'ai préféré payer un professionnel pour régler le problème 50 % moins chère que la rançon et éradication certaine. Peut-être d'autres solutions, merci de nous les indiquer.

  • Par fougalios - 06/01/2014 - 09:59 - Signaler un abus Une solution...

    ... peut être incomplète ( mais 5 reussites sur 5 ) Demarrer en mode sans echec Faire une restauration systeme à une date antérieure

  • Par anakyn - 06/01/2014 - 09:59 - Signaler un abus En cas d'infection

    Télécharger au préalable sur une clé USB les logiciels suivants gratuits) : - Roguekiller - Malwarebytes - Clamwin antivirus portable Démarrer en mode sans échec en tapotant (le plus souvent) la touche F8, puis installer sur le bureau les logiciels ci-dessus Faire un nettoyage complet en utilisant en premier Roguekiller En fin de nettoyage, redémarrer en mode normal, puis appliquer son antivirus habituel (à condition que ce dernier soit à jour) Aller dans le panneau de configuration pour désinstaller les programmes indésirables ou inconnus. Normalement, le rançonware devrait avoir disparu. En tout cas, cela a bien fonctionné chez moi avec le rançonware "gendarmerie nationale"

  • Par taramis - 06/01/2014 - 10:19 - Signaler un abus @anakyn

    Et quand votre computer est complétement bloqué?A savoir lorsque vous l'éteignez et redémarrez et que vous revient automatiquement la page du ranconneur sans aucune possibilité d'en sortir? Vous le faites reconfigurer de A à Z en ayant tout perdu et prenez un abonnement de protection sérieuse avec laquelle je n'ai plus aucun probleme. Il est vrai que maintenant je sauvegarde automatiquement ailleurs mes dossiers.

  • Par pierre325 - 06/01/2014 - 10:20 - Signaler un abus de toute manière

    Pour un ordinateur de particulier il est conseillé de sauvegarder ces infos sur un support ou un disque non connecté.

  • Par Baskerville - 06/01/2014 - 10:47 - Signaler un abus Protection civile

    Comme je travaille sur Mac, j'ai une sauvegarde automatique avec TimeMachine, et tous les 7 jours, je fais deux autres sauvegardes sur deux disques durs externes différents. Je supprime immédiatement tout e-mail d'un expéditeur inconnu, et je ne clique jamais en ligne sur des annonces qui comportent trop de fautes d'orthographe et de grammaire, ce qui est toujours suspect. Les chances de survie numérique sont meilleures pour les méticuleux obsessionnels paranoïaques.

  • Par anakyn - 06/01/2014 - 11:30 - Signaler un abus @ Taramis

    Lorsque vous redémarrez votre PC, tapotez la touche F8, dés le bip et AVANT l'affichage du logo Windows. Ainsi, vous n'arriverez pas sur la page d'accueil caviardée par le malware.....

  • Par sbgf43 - 06/01/2014 - 11:49 - Signaler un abus PC ASTUCES

    Une entre aide a la désinfection intéressante et gratuite efficace sur le site Pc astuces

  • Par Pickiboon - 06/01/2014 - 13:48 - Signaler un abus Pas de restoration Système c'est inutile

    Inutile de faire une restauration système, elle ne concerne que les fichiers systèmes et pas les fichiers docx et autres Xlsx ou PDF donc le problème reviendra.. RogueKiller est parfait si on récupère la dernière version. MBAM est bien mais demande une connexion internet pour mettre à jour sa base de données donc mode sans échec avec prise en charge réseau. C'est ce que j'utilise le plus pour nettoyer ces ransomwares et ça marche. Autre possibilité mais plus complexe à mettre en oeuvre: modifier les droits en écriture de certains répertoires comme c:\temp ou le profil local en interdisant l'écriture et l'exécution de fichier type .exe. Autre principe, toujours être à jour des versions de ses logiciels surtout pour Adobe, Java etc... Utiliser Qualys Browser pour vérifier les versions et les vulnérabilités. Voila mais ne révez pas les fichiers chiffrés ne sont pour l'instant pas déchiffrables donc perdus car la clé de chiffrement est générée lors de la première exécution du malware, donc impossile à recomposer après surtout en RSA1024bits.

  • Par A.G - 06/01/2014 - 15:26 - Signaler un abus Reponse a @ankyn

    La totalité de mon ordinateur était bloquée, je ne pouvais plus ouvrir Windows. Pourtant après restauration par un pro, cout 65 € je n'avais rien perdu ?

  • Par Ganesha - 06/01/2014 - 18:02 - Signaler un abus Linux

    La solution que j'utilise, avec succès, depuis des années : naviguer sur internet avec un petit ordi sur lequel est installé Linux (Ubuntu). Pour lui, les fichiers en ''.exe'' ne lui font ni chaud, ni froid ! Et je transfère mes téléchargements par une clef usb sur un ordi windows qui n'est jamais connecté à internet (il faudrait que je pense toujours à vérifier qu'il n'y a pas de ''fichiers cachés'' sur ma clef) Je n'utilise pas d'antivirus...

  • Par Non classé - 06/01/2014 - 18:19 - Signaler un abus Dingue, vous cherchez mille

    Dingue, vous cherchez mille astuces pour vous protéger, pourtant Ganesha vous donne la Solution. Depuis que je suis sous GNU/LINUX (8 ans) plus de soucis de virus, malwares et autres trojans. J'ai même pas d'anti-virus!

Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Romain Castel

Romain castel est expert référent en sécurité informatique chez Atheos dans le pôle "Audit et Conseil technique". Il travaille depuis trois ans dans le domaine de la sécurité des systèmes d’information avec pour secteur de prédilection l’analyse des failles applicatives et des malwares.

Voir la bio en entier

Je m'abonne
à partir de 4,90€