Ransomware

Les ransomwares (ou rançongiciels en français) sont des logiciels malveillants qui vont bloquer l'accès à l'ordinateur ou à vos fichiers.

Types de ransomwares

Scareware

Un scareware va se faire passer pour un logiciel de sécurité. Il vous affichera un message d'alerte vous indiquant qu'un malware a été détecté. Le seul moyen de l'effacer est de payer pour sa suppression. En réalité, vos fichiers sont en securité mais le scareware voudra vous faire croire le contraire et insistera lourdement :)

Verrouilleurs d'écran

Un ransomware verrouilleur d'écran va, comme son nom l'indique, vous empêcher d'accéder à votre ordinateur. Vous aurez généralement un écran calqué sur celui d'une institution gouvernementale, telle que le FBI ou le ministère de la justice, qui vous informe d'une activité illégale a été détectée et que vous devez payer une amende.

Ransomwares chiffreurs

Ca se complique si vous avez à faire avec un ransomware chiffreur. Le concept est le suivant : l'auteur du ransomware vole vos fichiers, les chiffrent et réclame une rançon. Un dilemne se pose, même si vous payez la rançon, vous n'avez aucune garantie de récupérer l'ensemble de vos fichiers. Les ransomwares chiffreurs ont beaucoup élolué et cherchent maintenant à se propager sur le réseau et infecter les sauvegardes. Ils sont de plus en plus sophistiqués.

Mode opératoire

Un ransomware va avoir un mode opératoire similaire au cheval de Troie en exécutant une payload. Pour se faire, le ransomware pourra exploiter une ou plusieurs vulnérabilités connues ou passer par une campagne de phishing. Il pourra également se cacher dans une application, c'est souvent le cas des ransomwares sur mobile.

Ryuk

Fin 2018, le ransomware Ryuk s'est imposé avec de nombreuses attaques sur des quotidiens américains. Son mode opératoire :

• Campagne de phishing
• Exploitation de la faille Zerologon (CVE-2020-1472)
• Utilisation des malwares Emotet ou TrickBot

Plus d'informations :

• Zerologon (CVE-2020-1472) : https://kb.prohacktive.io/index.php?action=detail&id=CVE-2020-1472&lang=fr
• Emotet : https://kb.prohacktive.io/index.php?action=malware&id=emotet&lang=fr
• TrickBot : https://kb.prohacktive.io/index.php?action=malware&id=trickbot&lang=fr

Une des plus grandes attaques par ransomware

Cela s'est passé au printemps 2017, WanaCry a fait environ 200 000 victimes originaires de 150 pays. Ils ont été invités à payer une rançon en bitcoins.

Plus d'informations concernant WanaCry : https://kb.prohacktive.io/index.php?action=ransomware&id=wannacry&lang=fr

Que faire en cas d'infection ?

Faut-il payer la rançon ? Telle est la question ! Le débat vient d'être relancé avec le gouvernement qui autoriserait les assureurs à indemniser les victimes de ransomware. C'est un jeu dangereux, si on joue le jeu de payer les rançons, cela va encourager les cybercriminels. Et si on n'est pas préparé à une telle crise, l'entreprise pourrait mettre les clés sous la porte.

Actuellement, quelques déchiffeurs existent et permettent de récupérer les données mais ils ne sont pas nombreux. Voici les préconisations si vous êtes victimes d'un rançongiciel :

• Débranchez la machine d'Internet ou du Réseau informatique (débranchez le câble Ethernet ou désactivez le Wifi)
• En entreprise, alertez immédiatement votre service ou prestataire informatique si vous en disposez
• Ne payez pas la rançon
• Conservez ou faites conserver les preuves par un professionnel
• Déposez plainte
• Professionnels ? Notifiez cette infection à la CNIL s'il y a eu une violation de données à caractère personnel
• Identifiez la source de l'infection et prenez les mesures nécessaires pour qu'elle ne puisse pas se reproduire
• Faites une analyse antivirale complète de votre appareil
• Essayez de déchiffrer les fichiers si une solution existe (Piste => No More Ransom)
• Réinstallez les systèmes touchés
• Faites-vous assister au besoin par des professionnels qualifiés

Comment se protéger des ransomwares ?

Voici quelques idées :

• Appliquez de manière régulière et systématique les mises à jour de sécurité
• Tenez à jour l'antivirus et configurez votre pare-feu
• N'ouvrez pas les courriels, leurs pièces jointes et ne cliquez par sur les liens
• N'installez pas d'application ou de programme « piratés »
• Évitez les sites non sûrs ou illicites
• Faites des sauvegardes régulières
• N'utilisez pas un compte avec des droits « administrateur »
• Utilisez des mots de passe suffisamment complexes et changez-les régulièrement
• Éteignez votre machine lorsque vous ne vous en servez pas

On peut envisager d'aller plus loin dans la prévention en utilisant des solutions contre le phishing (comme Mailinblack) ou pour prévenir le risque d'exploitation de vulnérabilités (comme Sherlock®)