Ransomware : 10 choses à faire pour s’en protéger

Ransomware : 10 choses à faire pour s'en protéger
Les ransomwares sont des logiciels malveillants que les cybercriminels utilisent pour demander une rançon sur votre ordinateur ou vos fichiers informatiques, en exigeant un paiement de votre part pour les récupérer. Malheureusement, les ransomwares deviennent un moyen de plus en plus populaire pour les auteurs de logiciels malveillants d'extorquer de l'argent aux entreprises et aux consommateurs. Les ransomwares peuvent s'introduire dans l'ordinateur d'une personne de diverses manières, mais comme toujours, ces techniques se résument à des tactiques d'ingénierie sociale ou à l'utilisation de vulnérabilités logicielles pour s'installer silencieusement sur l'ordinateur d'une victime.

Partager cet article

Table des matières

Pourquoi le ransomware "Cryptolocker" est-il si remarquable ?

Une menace spécifique de ransomware qui a fait couler beaucoup d’encre ces derniers temps est Cryptolocker. Les auteurs de Cryptolocker ont envoyé des e-mails à un très grand nombre de personnes, en ciblant particulièrement les États-Unis et le Royaume-Uni. À l’instar d’un criminel notoire, ce logiciel malveillant a été associé à divers autres acteurs malveillants – chevaux de Troie à porte dérobée, téléchargeurs, spammeurs, voleurs de mots de passe, ad-clickers, etc. Cryptolocker peut arriver seul (souvent par courrier électronique) ou par le biais d’une porte dérobée ou d’un téléchargeur, apporté comme composant supplémentaire.

Vous vous demandez peut-être pourquoi cette famille de ransomware fait tant de bruit. En fait, c’est parce que les auteurs de Cryptolocker ont été à la fois agiles et persistants. Ils ont déployé des efforts concertés pour produire de nouvelles variantes, en s’adaptant aux évolutions des technologies de protection et en ciblant différents groupes au fil du temps.

Depuis le début du mois de septembre, les auteurs du malware ont envoyé des vagues d’e-mails de spam ciblant différents groupes. La plupart des groupes ciblés se trouvaient aux États-Unis et au Royaume-Uni, mais il n’y a pas de limite géographique quant aux personnes pouvant être touchées, et de nombreuses personnes en dehors de ces pays ont été touchées. Au départ, les e-mails ciblaient les particuliers, puis les petites et moyennes entreprises, et maintenant les grandes entreprises.

Le malware se propage également via des ports RDP laissés ouverts à l’Internet, ainsi que par courrier électronique. Cryptolocker peut également affecter les fichiers d’un utilisateur qui se trouvent sur des lecteurs « mappés », c’est-à-dire auxquels on a attribué une lettre de lecteur (par exemple D :, E :, F : ). Il peut s’agir d’un disque dur externe, y compris les clés USB, ou d’un dossier sur le réseau ou dans le cloud. Si vous avez, par exemple, votre dossier Dropbox mappé localement, il peut également crypter ces fichiers.

À ce stade, des dizaines de milliers de machines ont été touchées, mais on estime que les criminels ont envoyé des millions d’e-mails. Il est à espérer que les autres destinataires ont simplement supprimé les courriels malveillants sans les ouvrir, plutôt que de les laisser en suspens, dans l’attente d’une nouvelle attaque.

Les personnes touchées ont vu un grand nombre de leurs fichiers cryptés. Ces fichiers sont principalement des formats de données populaires, des fichiers que vous ouvrez avec un programme (comme Microsoft Office, les programmes Adobe, iTunes ou d’autres lecteurs de musique, ou encore des visionneuses de photos). Les auteurs du malware utilisent deux types de cryptage : Les fichiers eux-mêmes sont protégés par un cryptage AES 256 bits. Les clés générées par ce premier processus de cryptage sont ensuite protégées par un cryptage RSA 2048 bits, et l’auteur du malware conserve la clé privée qui permettrait de décrypter à la fois les clés sur la machine de l’utilisateur et les fichiers qu’elles protègent. La clé de déchiffrement ne peut pas être forcée ou extraite de la mémoire de l’ordinateur concerné. Les criminels sont les seuls à posséder ostensiblement la clé privée.

Que pouvez-vous faire ?

D’une part, les ransomwares peuvent être très effrayants – les fichiers cryptés peuvent essentiellement être considérés comme endommagés au-delà de toute réparation. Mais si vous avez correctement préparé votre système, ce n’est rien de plus qu’une nuisance. Voici quelques conseils qui vous aideront à éviter que les ransomwares ne gâchent votre journée :

1. Sauvegardez vos données

Le meilleur moyen de vaincre un ransomware est de disposer d’une sauvegarde régulièrement mise à jour. Si vous êtes attaqué par un ransomware, vous risquez de perdre le document que vous avez commencé plus tôt dans la matinée, mais si vous pouvez restaurer votre système à un moment antérieur ou nettoyer votre machine et restaurer vos autres documents perdus à partir de la sauvegarde, vous pourrez dormir tranquille. N’oubliez pas que Cryptolocker crypte également les fichiers sur les lecteurs mappés. Cela inclut tous les lecteurs externes, tels que les clés USB, ainsi que tous les réseaux ou dans les clouds auxquels vous avez attribué une lettre de lecteur. Ce qu’il vous faut donc, c’est une sauvegarde régulière, sur un disque externe ou un service de sauvegarde, qui n’est pas affecté à une lettre de lecteur ou qui est déconnecté lorsqu’il n’effectue pas de sauvegarde.

Les trois conseils suivants sont destinés à contrer le fonctionnement de Cryptolocker. Il est possible que ce ne soit pas toujours le cas, mais ces conseils peuvent contribuer à améliorer votre sécurité globale par de petits moyens de prévention contre un certain nombre de techniques de logiciels malveillants les plus courants.

2. Afficher les extensions de fichiers cachés

Cryptolocker arrive fréquemment dans un fichier nommé avec l’extension « .PDF » ou « .EXE », en comptant sur le comportement par défaut de Windows qui consiste à cacher les extensions de fichiers connues. Si vous réactivez la possibilité de voir l’extension complète du fichier, il peut être plus facile de repérer les fichiers suspects.

Pour activer cette option (W10) :

  1. Cliquez sur le bouton « Démarrer » (icône Windows),
  2. Ouvrez le panneau de configuration,
  3. Sélectionnez Options des dossiers sous Apparence et personnalisation.
  4. Cliquez sur l’icône Options à droite du ruban.
  5. Dans la boîte de dialogue Options des dossiers, cliquez sur l’onglet Affichage.
  6. Sélectionnez Afficher les fichiers, dossiers et lecteurs cachés.
  7. Désélectionnez Masquer les extensions des fichiers dont le type est connu et cliquez sur OK.

3. Filtrer les fichiers ".exe" dans les e-mails

Si votre scanner d’e-mails permet de filtrer les fichiers par extension, vous pouvez souhaiter refuser les courriers électroniques envoyés avec des fichiers « .EXE », ou refuser les e-mails envoyés avec des fichiers qui ont deux extensions de fichier, la dernière étant exécutable (fichiers « *.*.EXE », en langage de filtre). Si vous avez légitimement besoin d’échanger des fichiers exécutables dans votre environnement et que vous refusez les e-mails contenant des fichiers « .EXE », vous pouvez le faire avec des fichiers ZIP (protégés par un mot de passe, bien sûr) ou via des services cloud.

4. Désactiver les fichiers exécutés à partir des dossiers AppData/LocalAppData

Cette partie est un peu plus technique mais vous pouvez créer des règles dans Windows ou avec un logiciel antivurs, pour interdire un comportement particulier et notable utilisé par Cryptolocker, qui consiste à exécuter son exécutable à partir des dossiers App Data ou Local App Data. Si (pour une raison quelconque) vous avez un logiciel légitime dont vous savez qu’il est configuré pour s’exécuter non pas à partir de la zone habituelle Program Files mais à partir de la zone App Data, vous devrez l’exclure de cette règle.

5. Vérifier si le RDP est bien désactivé

Le malware Cryptolocker/Filecoder accède souvent aux machines cibles à l’aide du protocole RDP (Remote Desktop Protocol), un utilitaire Windows qui permet à des tiers d’accéder à votre bureau à distance. Si vous n’avez pas besoin d’utiliser le protocole RDP, vous pouvez le désactiver pour protéger votre machine contre Filecoder et d’autres exploits RDP. De base, cette fonctionnalité est désactivée.

6. Mettre à jour ses logiciels

Les deux conseils suivants sont des conseils plus généraux sur les logiciels malveillants, qui s’appliquent aussi bien à Cryptolocker qu’à toute autre menace de logiciel malveillant. Les auteurs de logiciels malveillants comptent souvent sur les personnes qui utilisent des logiciels obsolètes présentant des vulnérabilités connues, qu’ils peuvent exploiter pour s’introduire silencieusement dans votre système. Si vous prenez l’habitude de mettre souvent à jour vos logiciels, vous pouvez réduire considérablement le risque de ransomware. Certains fournisseurs publient régulièrement des mises à jour de sécurité (Microsoft et Adobe le font généralement le deuxième mardi du mois), mais il existe souvent des mises à jour non programmées en cas d’urgence. Activez les mises à jour automatiques si vous le pouvez, ou rendez-vous directement sur le site Web du fournisseur de logiciels, car les auteurs de logiciels malveillants aiment aussi déguiser leurs créations en notifications de mise à jour de logiciels.

7. Utiliser des anti-virus/pares-feux réputés

Il est toujours bon d’avoir à la fois un logiciel anti-malware et un pare-feu logiciel pour vous aider à identifier les menaces ou les comportements suspects. Les auteurs de logiciels malveillants envoient fréquemment de nouvelles variantes, pour tenter d’éviter la détection, d’où l’importance de disposer des deux couches de protection. Et à ce stade, la plupart des logiciels malveillants s’appuient sur des instructions à distance pour accomplir leurs méfaits. Si vous tombez sur une variante de ransomware si nouvelle qu’elle passe outre les logiciels anti-malware, elle peut tout de même être repérée par un pare-feu lorsqu’elle tente de se connecter à son serveur de commande et de contrôle (C&C) pour recevoir les instructions de cryptage de vos fichiers.

Les programmes tels que Kaspersky, Bit Locker, WebRoot, BitDefender sont des logiciels que vous pouvez utiliser.

Je suis infecté, que faire?

Si vous vous trouvez dans une situation où vous avez déjà exécuté un ransomware sans avoir pris aucune des précautions précédentes, vos options sont un peu plus limitées. Mais tout n’est pas forcément perdu. Il y a quelques mesures que vous pouvez prendre pour limiter les dégâts, en particulier si le ransomware en question est Cryptolocker :

8. Se déconnecter du WiFi ou se débrancher immédiatement du réseau

Si vous exécutez un fichier que vous soupçonnez d’être un ransomware, mais que vous n’avez pas encore vu l’écran caractéristique du ransomware, si vous agissez très rapidement, vous pourrez peut-être arrêter la communication avec le serveur C&C avant qu’il ne finisse de crypter vos fichiers. Si vous vous déconnectez immédiatement du réseau (ai-je assez insisté sur le fait que cela doit être fait immédiatement ?), vous pourriez atténuer les dégâts. Il faut un certain temps pour chiffrer tous vos fichiers, vous pouvez donc peut-être l’arrêter avant qu’il ne parvienne à tous les brouiller. Cette technique n’est certainement pas infaillible, et il se peut que vous n’ayez pas assez de chance ou que vous ne puissiez pas agir plus rapidement que le logiciel malveillant, mais il vaut mieux se déconnecter du réseau que de ne rien faire.

9. Utiliser la restauration du système pour revenir à un état connu et propre.

Si la restauration du système est activée sur votre machine Windows, vous pouvez peut-être ramener votre système à un état de propreté connu. Mais, là encore, vous devez être plus malin que le malware. Les versions plus récentes de Cryptolocker peuvent avoir la capacité de supprimer les fichiers « Sauvegardes » de la restauration du système, ce qui signifie que ces fichiers ne seront pas présents lorsque vous tenterez de remplacer les versions endommagées par le malware. Cryptolocker lance le processus de suppression dès qu’un fichier exécutable est exécuté. Vous devrez donc agir très rapidement car les exécutables peuvent être lancés dans le cadre d’un processus automatisé. En d’autres termes, les fichiers exécutables peuvent être exécutés à votre insu, dans le cadre du fonctionnement normal de votre système Windows.

10. Antidater l'horloge du BIOS

Cryptolocker dispose d’un délai de paiement qui est généralement fixé à 72 heures, après quoi le prix de votre clé de décryptage augmente considérablement. (Le prix peut varier car la valeur du bitcoin est assez volatile). Vous pouvez régler l’horloge du BIOS à un moment antérieur à la fenêtre de 72 heures.  Nous vous conseillons vivement de ne pas payer la rançon. Si vous payez, vous récupérerez peut-être vos données, mais il y a eu de nombreux cas où la clé de décryptage n’est jamais arrivée ou n’a pas réussi à décrypter correctement les fichiers. De plus, cela encourage les comportements criminels ! La demande de rançon n’est pas une pratique commerciale légitime et les auteurs de logiciels malveillants ne sont pas tenus de tenir leur promesse. Ils peuvent prendre votre argent sans rien vous donner en retour, car il n’y a pas de contrecoup si les criminels ne tiennent pas parole.

Une couverture médiatique importante

Enfin, il convient de noter que la récente vague d’attaques par des ransomwares a suscité une couverture médiatique considérable, principalement parce qu’elle s’écarte des tendances précédentes en matière de logiciels malveillants à motivation financière (qui avaient tendance à être furtifs et donc à ne pas endommager les données). Les rançongiciels peuvent certainement faire peur, mais il existe de nombreux problèmes bénins qui peuvent causer tout autant de destruction. C’est pourquoi faire des sauvegardes régulières a toujours été, et sera toujours, la meilleure pratique pour se protéger contre la perte de données.

S'inscrire à notre Newsletter

Recevez des notifications et restez informés !

Lire plus d'articles

Conseils d'experts pour optimiser votre moteur de recherche interne
Site internet

Conseils d’experts pour optimiser votre moteur de recherche interne

L’optimisation du moteur de recherche interne est une stratégie importante pour améliorer l’expérience utilisateur et augmenter les ventes de votre site web. Les utilisateurs qui utilisent la recherche interne ont un taux de conversion plus élevé que ceux qui naviguent manuellement sur le site. C’est pourquoi il est crucial d’optimiser votre moteur de recherche interne pour offrir une expérience utilisateur fluide et efficace.

Google

4 étapes pour diagnostiquer les baisses de classements

Danny Sullivan, l’agent de liaison de Google pour les recherches, a récemment donné des conseils sur la manière de diagnostiquer les baisses de classement.

M. Sullivan a donné ces conseils sur X (anciennement Twitter) à Wesley Copeland, propriétaire d’un site web d’informations sur les jeux, qui a demandé de l’aide après avoir constaté une baisse significative du trafic provenant des recherches sur Google.

Voulez-vous faire évoluer votre entreprise?

Choisissez une entreprise qui obtiendra des résultats et qui vous parlera avec des mots compréhensibles au lieu de vous noyer sous le vocabulaire compliqué !
TechTurn : Marketing digital et informatique à Liège