Cryptolocker : La menace est loin d’être écartée


Identifié pour la première fois en 2013, Cryptolocker a ouvert la voie aux désormais célèbres Ransomware. Une tendance qui n’est pas prête de s’arrêter.

Actualités // 09/07/2015

CETTE IMAGE VOUS RAPPELLE DE MAUVAIS SOUVENIRS ?

Cryptolocker-une-prise-d-otages-en-2.0

Si ce n’est pas le cas nous vous conseillons de lire attentivement ce qui va suivre (et si c’est le cas, une petit piqûre de rappel ne fait jamais de mal).

QU’EST-CE QUE C’EST ?

Cryptolocker fait partie de la famille des ransomware, ou rançongiciel dans la langue de Molière. C’est une catégorie de virus qui chiffre les fichiers présents sur l’ordinateur de la victime et sur les serveurs rattachés (généralement les fichiers textes, tableurs, PDF, images, vidéos etc…) et qui cible plus particulièrement les entreprises.

Ces virus sont tout simplement transmis par email, imitant un expéditeur connu (magasin, organisme gouvernemental, société immobilière…) et incitant au téléchargement ou à l’ouverture d’une pièce jointe (dans 80% à 90% des cas, il s’agit d’un PDF). Une fois activé, le ransomware va ensuite réclamer une rançon contre la clé de déverrouillage qui permettra de décrypter les fichiers de l’utilisateur. Généralement cette demande de rançon s’accompagne d’un délai de prescription (entre 72 et 90 heures selon le ransomware) au-delà duquel l’utilisateur ne pourra plus payer la rançon.

Le premier réflexe à adopter face à cette situation est de ne surtout pas payer ! Et ce, pour deux raisons. Premièrement parce que payer pour un ransomware, c’est envoyer le message aux cybercriminels que cette technique marche, ce qui les incite encore plus à l’employer. Et deuxièmement, parce que rien ne garantit que le pirate informatique vous rendra accès à vos fichier une fois la rançon payée.

POURQUOI LES RANSOMWARE PROSPÈRENT-ILS ?

En février 2015, nous avons pu constater une hausse des attaques de CTB-Locker, un ransomware clone de Cryptolocker.

stats

Et en Août 2014, c’est un autre ransomware, CryptoWall, qui faisait parler de lui avec 600000 ordinateurs infectés à travers le monde, 5 milliards de fichiers cryptés et un joli pactole de 1 million de dollars pour son créateur.

Un business plutôt juteux pour les cybercriminels ce qui explique en partie la popularité et la prolifération de ces attaques. Tellement que le créateur supposé du Cryptolocker original est aujourd’hui activement recherché par le FBI, puisqu’il s’agit du cyber-ennemi numéro 1. Le FBI serait même prêt à se délester de 3 millions de dollars pour le voir tomber. Pas étonnant qu’Evgeniy Mikhailovich Bogachev fasse des émules puisque ses manœuvres frauduleuses lui ont rapporté environ 100 millions de dollars.

Aujourd’hui, il existe tellement de variantes et de clones de cryptolocker qu’il est devenu impossible pour les anti-spam de filtrer tous les ransomware présents sur le web. Il est très difficile de chiffrer le nombre de ransomware existants mais en moyenne, des milliers voire des centaines de milliers de nouvelles versions sont créées par jour. Ce chiffre n’a rien d’officiel et reste une estimation « à la louche » mais avec la découverte récente de Tox et les diverses manœuvres frauduleuses permises par le « Dark Web », il reste parfaitement plausible.

Pour résumer : appât du gain + prolifération de clones = prospérité des ransomware.

COMMENT S’EN PRÉMUNIR ?

Car oui, il s’agit bien de se prémunir : une fois infecté, il est impossible de récupérer l’accès à ses fichiers ! La clé de chiffrement étant de 256 bits, il est impossible de les décrypter (à moins d’y passer 2.84 milliards d’années). Les ransomware sont l’illustration parfaite de l’expression : « le mal est fait ». Voici donc les quatre précautions essentielles à prendre pour se prémunir :

  1. Sensibilisez vos employés

Dans le cas des rançongiciels, ce sont eux les meilleurs remparts de protection ou les plus importants vecteurs de risques (au choix). Il faut donc qu’ils soient en mesure de les identifier rapidement et d’avoir les bons réflexes : ne pas ouvrir les emails et les pièces-jointes machinalement, vérifier l’adresse email, sa correspondance avec le nom de l’expéditeur, le contenu de l’email (l’orthographe et la syntaxe notamment) et l’extension de l’adresse email (extensions classiques .com, .fr, .net, .org ou plus exotiques).

  1. Vérifiez vos paramètres de sécurité

Dans l’idéal, vos utilisateurs ne devraient pas avoir les droits d’administrateur sur leur poste de travail. Cela évite le lancement et l’installation d’exécutables (qu’ils soient malicieux ou non). En plus de vous prémunir contre des risques éventuels, cela vous permettra de mieux piloter la sécurité au sein de votre société. En revanche, pour des logiciels plus vicieux comme les ransomware, l’exécutable est automatiquement téléchargé dans le répertoire temporaire de l’ordinateur. Pour l’empêcher de s’exécuter, n’hésitez pas à utiliser Windows Applocker. Et bien sûr, faites en sorte de garder vos logiciels à jour et à leur apporter les correctifs nécessaires (les systèmes d’exploitation tout comme les applications tierces).

  1. Assurez-vous une bonne protection antivirale

Si les anti-spam ne sont pas en mesure de bloquer tous les ransomware, c’est parce qu’ils détectent des virus déjà connus. Or, quand ce sont plusieurs milliers de déclinaisons qui naissent chaque jour, les anti-spam sont totalement débordés. Il en va de même pour les antivirus qui fonctionnent sur base de signatures. Pour vous garantir une protection optimale contre les ransomware, préférez l’utilisation d’un antivirus basé sur l’analyse heuristique (l’analyse des comportements d’un programme). Cette méthode permet de vous prémunir contre la création de variantes des virus puisqu’elle ne prend pas en compte uniquement la signature du virus, mais aussi son mode opératoire pour détecter ses variantes.

  1. Réalisez des sauvegardes régulières

Assurément le seul moyen de limiter les dégâts si vous êtes victime d’un ransomware. Sauvegardez régulièrement vos fichiers et effectuez des sauvegardes non connectées.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s