Une menace spécifique de ransomware qui a fait couler beaucoup d’encre ces derniers temps est Cryptolocker. Les auteurs de Cryptolocker ont envoyé des e-mails à un très grand nombre de personnes, en ciblant particulièrement les États-Unis et le Royaume-Uni. À l’instar d’un criminel notoire, ce logiciel malveillant a été associé à divers autres acteurs malveillants – chevaux de Troie à porte dérobée, téléchargeurs, spammeurs, voleurs de mots de passe, ad-clickers, etc. Cryptolocker peut arriver seul (souvent par courrier électronique) ou par le biais d’une porte dérobée ou d’un téléchargeur, apporté comme composant supplémentaire.
Vous vous demandez peut-être pourquoi cette famille de ransomware fait tant de bruit. En fait, c’est parce que les auteurs de Cryptolocker ont été à la fois agiles et persistants. Ils ont déployé des efforts concertés pour produire de nouvelles variantes, en s’adaptant aux évolutions des technologies de protection et en ciblant différents groupes au fil du temps.
Depuis le début du mois de septembre, les auteurs du malware ont envoyé des vagues d’e-mails de spam ciblant différents groupes. La plupart des groupes ciblés se trouvaient aux États-Unis et au Royaume-Uni, mais il n’y a pas de limite géographique quant aux personnes pouvant être touchées, et de nombreuses personnes en dehors de ces pays ont été touchées. Au départ, les e-mails ciblaient les particuliers, puis les petites et moyennes entreprises, et maintenant les grandes entreprises.
Le malware se propage également via des ports RDP laissés ouverts à l’Internet, ainsi que par courrier électronique. Cryptolocker peut également affecter les fichiers d’un utilisateur qui se trouvent sur des lecteurs « mappés », c’est-à-dire auxquels on a attribué une lettre de lecteur (par exemple D :, E :, F : ). Il peut s’agir d’un disque dur externe, y compris les clés USB, ou d’un dossier sur le réseau ou dans le cloud. Si vous avez, par exemple, votre dossier Dropbox mappé localement, il peut également crypter ces fichiers.
À ce stade, des dizaines de milliers de machines ont été touchées, mais on estime que les criminels ont envoyé des millions d’e-mails. Il est à espérer que les autres destinataires ont simplement supprimé les courriels malveillants sans les ouvrir, plutôt que de les laisser en suspens, dans l’attente d’une nouvelle attaque.
Les personnes touchées ont vu un grand nombre de leurs fichiers cryptés. Ces fichiers sont principalement des formats de données populaires, des fichiers que vous ouvrez avec un programme (comme Microsoft Office, les programmes Adobe, iTunes ou d’autres lecteurs de musique, ou encore des visionneuses de photos). Les auteurs du malware utilisent deux types de cryptage : Les fichiers eux-mêmes sont protégés par un cryptage AES 256 bits. Les clés générées par ce premier processus de cryptage sont ensuite protégées par un cryptage RSA 2048 bits, et l’auteur du malware conserve la clé privée qui permettrait de décrypter à la fois les clés sur la machine de l’utilisateur et les fichiers qu’elles protègent. La clé de déchiffrement ne peut pas être forcée ou extraite de la mémoire de l’ordinateur concerné. Les criminels sont les seuls à posséder ostensiblement la clé privée.
D’une part, les ransomwares peuvent être très effrayants – les fichiers cryptés peuvent essentiellement être considérés comme endommagés au-delà de toute réparation. Mais si vous avez correctement préparé votre système, ce n’est rien de plus qu’une nuisance. Voici quelques conseils qui vous aideront à éviter que les ransomwares ne gâchent votre journée :
Le meilleur moyen de vaincre un ransomware est de disposer d’une sauvegarde régulièrement mise à jour. Si vous êtes attaqué par un ransomware, vous risquez de perdre le document que vous avez commencé plus tôt dans la matinée, mais si vous pouvez restaurer votre système à un moment antérieur ou nettoyer votre machine et restaurer vos autres documents perdus à partir de la sauvegarde, vous pourrez dormir tranquille. N’oubliez pas que Cryptolocker crypte également les fichiers sur les lecteurs mappés. Cela inclut tous les lecteurs externes, tels que les clés USB, ainsi que tous les réseaux ou dans les clouds auxquels vous avez attribué une lettre de lecteur. Ce qu’il vous faut donc, c’est une sauvegarde régulière, sur un disque externe ou un service de sauvegarde, qui n’est pas affecté à une lettre de lecteur ou qui est déconnecté lorsqu’il n’effectue pas de sauvegarde.
Les trois conseils suivants sont destinés à contrer le fonctionnement de Cryptolocker. Il est possible que ce ne soit pas toujours le cas, mais ces conseils peuvent contribuer à améliorer votre sécurité globale par de petits moyens de prévention contre un certain nombre de techniques de logiciels malveillants les plus courants.
Cryptolocker arrive fréquemment dans un fichier nommé avec l’extension « .PDF » ou « .EXE », en comptant sur le comportement par défaut de Windows qui consiste à cacher les extensions de fichiers connues. Si vous réactivez la possibilité de voir l’extension complète du fichier, il peut être plus facile de repérer les fichiers suspects.
Pour activer cette option (W10) :
Le malware Cryptolocker/Filecoder accède souvent aux machines cibles à l’aide du protocole RDP (Remote Desktop Protocol), un utilitaire Windows qui permet à des tiers d’accéder à votre bureau à distance. Si vous n’avez pas besoin d’utiliser le protocole RDP, vous pouvez le désactiver pour protéger votre machine contre Filecoder et d’autres exploits RDP. De base, cette fonctionnalité est désactivée.
Les deux conseils suivants sont des conseils plus généraux sur les logiciels malveillants, qui s’appliquent aussi bien à Cryptolocker qu’à toute autre menace de logiciel malveillant. Les auteurs de logiciels malveillants comptent souvent sur les personnes qui utilisent des logiciels obsolètes présentant des vulnérabilités connues, qu’ils peuvent exploiter pour s’introduire silencieusement dans votre système. Si vous prenez l’habitude de mettre souvent à jour vos logiciels, vous pouvez réduire considérablement le risque de ransomware. Certains fournisseurs publient régulièrement des mises à jour de sécurité (Microsoft et Adobe le font généralement le deuxième mardi du mois), mais il existe souvent des mises à jour non programmées en cas d’urgence. Activez les mises à jour automatiques si vous le pouvez, ou rendez-vous directement sur le site Web du fournisseur de logiciels, car les auteurs de logiciels malveillants aiment aussi déguiser leurs créations en notifications de mise à jour de logiciels.
Il est toujours bon d’avoir à la fois un logiciel anti-malware et un pare-feu logiciel pour vous aider à identifier les menaces ou les comportements suspects. Les auteurs de logiciels malveillants envoient fréquemment de nouvelles variantes, pour tenter d’éviter la détection, d’où l’importance de disposer des deux couches de protection. Et à ce stade, la plupart des logiciels malveillants s’appuient sur des instructions à distance pour accomplir leurs méfaits. Si vous tombez sur une variante de ransomware si nouvelle qu’elle passe outre les logiciels anti-malware, elle peut tout de même être repérée par un pare-feu lorsqu’elle tente de se connecter à son serveur de commande et de contrôle (C&C) pour recevoir les instructions de cryptage de vos fichiers.
Les programmes tels que Kaspersky, Bit Locker, WebRoot, BitDefender sont des logiciels que vous pouvez utiliser.
Si vous vous trouvez dans une situation où vous avez déjà exécuté un ransomware sans avoir pris aucune des précautions précédentes, vos options sont un peu plus limitées. Mais tout n’est pas forcément perdu. Il y a quelques mesures que vous pouvez prendre pour limiter les dégâts, en particulier si le ransomware en question est Cryptolocker :
Si vous exécutez un fichier que vous soupçonnez d’être un ransomware, mais que vous n’avez pas encore vu l’écran caractéristique du ransomware, si vous agissez très rapidement, vous pourrez peut-être arrêter la communication avec le serveur C&C avant qu’il ne finisse de crypter vos fichiers. Si vous vous déconnectez immédiatement du réseau (ai-je assez insisté sur le fait que cela doit être fait immédiatement ?), vous pourriez atténuer les dégâts. Il faut un certain temps pour chiffrer tous vos fichiers, vous pouvez donc peut-être l’arrêter avant qu’il ne parvienne à tous les brouiller. Cette technique n’est certainement pas infaillible, et il se peut que vous n’ayez pas assez de chance ou que vous ne puissiez pas agir plus rapidement que le logiciel malveillant, mais il vaut mieux se déconnecter du réseau que de ne rien faire.
Si la restauration du système est activée sur votre machine Windows, vous pouvez peut-être ramener votre système à un état de propreté connu. Mais, là encore, vous devez être plus malin que le malware. Les versions plus récentes de Cryptolocker peuvent avoir la capacité de supprimer les fichiers « Sauvegardes » de la restauration du système, ce qui signifie que ces fichiers ne seront pas présents lorsque vous tenterez de remplacer les versions endommagées par le malware. Cryptolocker lance le processus de suppression dès qu’un fichier exécutable est exécuté. Vous devrez donc agir très rapidement car les exécutables peuvent être lancés dans le cadre d’un processus automatisé. En d’autres termes, les fichiers exécutables peuvent être exécutés à votre insu, dans le cadre du fonctionnement normal de votre système Windows.
Cryptolocker dispose d’un délai de paiement qui est généralement fixé à 72 heures, après quoi le prix de votre clé de décryptage augmente considérablement. (Le prix peut varier car la valeur du bitcoin est assez volatile). Vous pouvez régler l’horloge du BIOS à un moment antérieur à la fenêtre de 72 heures. Nous vous conseillons vivement de ne pas payer la rançon. Si vous payez, vous récupérerez peut-être vos données, mais il y a eu de nombreux cas où la clé de décryptage n’est jamais arrivée ou n’a pas réussi à décrypter correctement les fichiers. De plus, cela encourage les comportements criminels ! La demande de rançon n’est pas une pratique commerciale légitime et les auteurs de logiciels malveillants ne sont pas tenus de tenir leur promesse. Ils peuvent prendre votre argent sans rien vous donner en retour, car il n’y a pas de contrecoup si les criminels ne tiennent pas parole.
Enfin, il convient de noter que la récente vague d’attaques par des ransomwares a suscité une couverture médiatique considérable, principalement parce qu’elle s’écarte des tendances précédentes en matière de logiciels malveillants à motivation financière (qui avaient tendance à être furtifs et donc à ne pas endommager les données). Les rançongiciels peuvent certainement faire peur, mais il existe de nombreux problèmes bénins qui peuvent causer tout autant de destruction. C’est pourquoi faire des sauvegardes régulières a toujours été, et sera toujours, la meilleure pratique pour se protéger contre la perte de données.
Dans un monde où tout se digitalise, avoir un design responsive est un pré-requis. Voyons ensemble la définition, les avantages et des conseils. Cela est important pour vos visiteurs mais également pour les moteurs de recherche !
Danny Sullivan, l’agent de liaison de Google pour les recherches, a récemment donné des conseils sur la manière de diagnostiquer les baisses de classement.
M. Sullivan a donné ces conseils sur X (anciennement Twitter) à Wesley Copeland, propriétaire d’un site web d’informations sur les jeux, qui a demandé de l’aide après avoir constaté une baisse significative du trafic provenant des recherches sur Google.
De nombreuses personne pensent que les cybercriminels ne ciblent que les grosses entreprises mais celles-ci ont les moyens de se payer des mesures de sécurité qui découragent généralement les attaquants. Les petites entreprises, en revanche, ne peuvent pas toujours s’offrir ce luxe. Si elles ne sont pas préparées et éduquées, elles risquent de faire les frais des cyberattaques.
La gestion des mots de passe, la sauvegarde des informations, la surveillance et la gestion à distance, ainsi que la formation adéquate des employés sont des pratiques essentielles en matière de cybersécurité. Ces pratiques donnent aux petites entreprises l’assurance dont elles ont besoin pour travailler avec des informations confidentielles. Vous trouverez ci-dessous quelques bonnes pratiques en matière de cybersécurité et la manière de les mettre en œuvre.
