Votre PC pris en otage, les joies du Ransomware

Dans la vaste famille des choses susceptibles de vous pousser à prendre la sécurité au sérieux et envisager de sauvegarder vos données à l’abri, le ransomware se place en tête de liste. Loin d’être un phénomène récent il a fortement évolué depuis ses timides débuts avec AIDS dans les 90’s, poursuivant son explosive expansion à un rythme inquiétant. Sur certains sites spécialisés, on lui consacre même un point hebdomadaire pour suivre son actualité.

Il n’y a rien d’étonnant à cette progression spectaculaire, le rançongiciel, en bon français, est un business fort lucratif pouvant rapporter des millions de dollars, le chiffre d’affaire de ce nouveau style de prise d’otage atteignant même plusieurs milliars de dollars annuel selon le FBI. Une peste moderne si inquiétante que les logiciels de protection se spécialisent dans sa prévention et que les compagnies de sécurité travaillent main dans la main avec les forces de police. Même si mon but avoué est de rendre l’utilisateur lambda « nul » paranoïaque, le ransomware est réellement une saleté qiu ppour les « copains qui savent faire » pourrait remplacer la désinstallation des barres d’outils avec redirection publicitaires dans les navigateurs.

La protection contre les ransomwares est devenue un argument de vent pour les anti-virus. Ici, G-Data, le "Deutsche Technologie" de l'anti-virus.

La protection contre les ransomwares est devenue un argument de vente pour les anti-virus. Ici, G-Data, le « Deutsche Technologie » de l’anti-virus. (payant, efficace, mais d’expérience personnelle un peu trop chatouilleux avec certains programmes « exotiques ».)

Définition : L’extorsion 2.0 – payez ou perdez tout

ctblocker2-10Un ransomware, c’est un malware, un logiciel malveillant ou, comme on dit vulgairement, un virus. Une fois une machine contaminée, tout ou partie des données qu’elle contient sera chiffrée et inaccessible. Son propriétaire, en plein désarroi, ne peut que lire un message lui expliquant ce qui vient de se produire, à savoir que sa seule chance de retrouver ses données est de verser une rançon en suivant la procédure indiquée. Les sommes réclamées variant de 50 euros à 300 voire plusieurs milliers… tout dépend si la victime est un particulier ou une entreprise, la question du ciblage demeurant encore relativement obscure (j’ai ici supprimé un paragraphe consacré au cas des hôpitaux, devenue cible favorite des attaques, pour faire plus court). Pour ajouter au stress de la victime, un délai est généralement imposé, avec en prime la menace de la suppression d’une partie des documents à chaque jour qui passe. Un peu comme dans un thriller ou de vils kidnappeurs menacent de couper un à un les doigts de leur otage.

Le point Bernard Pivot 3.0 : Chiffrer des données ??

Chiffrer des données ou un document, c’est en substance changer la phrase « ma thèse que je ne conserve que sur mon disque dur » en g6d5v_èkjj4:;#' »é »‘2572fdq5373(yzdfvmloi&2135sf391qsfd5(-4sdSDq. Un charabia que l’on ne peut décoder que si l’on possède la clef de chiffrement idoine. Selon la méthode employée, il est au mieux très, très difficile et au pire impossible de casser un bon chiffrement. Ce n’est pas nécessairement une nuisance mais plutôt un excellent moyen de protéger ses données sensibles, surtout sur un PC portable en cas de vol. Dans le cas présent, celui qui détient la clef, c’est malheureusement l’auteur du programme.

Le ransomware est l’une des pire saletés apparues ces dernières années et elle peut frapper n’importe qui et n’importe quoi, votre PC comme votre téléphone (les infections Android grimpant en flèche sur les appareils rootés,  ou un serveur web. A l’heure où je complète ce billet, le cas d’une vieille TV LG sous Android bloquée par un ransomware a secoué le petit monde Twitter de l’infosec.

Si les affaires les plus médiatisées concernent le pays de l’Oncle Sam, la France n’est toutefois pas épargnée, même si elle est moins touchée. Il suffit de faire un tour sur quelques forums ou aiment se retrouver les administrateurs de parcs informatiques pour voir que les infections, même sans succès, sont régulières. Aux dernières nouvelles, l’hexagone est 7ème au classement mondial des infections. Et peu importe qui vous êtes, une association, le ministère des transports ou juste… vous.

Le point Bernard Pivot 3.0 : virus ou malware ?

Par soucis de simplicité de lecture on emploie souvent à tort et à travers le terme virus, devenu un mot à tiroir. En pratique, les virus font partie de la famille des malwares, soit tout type de logiciels malveillant : adware, spyware, cheval de Troie, ransomware etc. Initialement, on qualifie de virus un malware capable de se dupliquer et de se propager par lui-même, notamment en s’expédiant par mail aux contacts d’une personne infectée.

Popcorn Time, le ransomware qui vous propose d’infecter vos amis.

Popcorn Time, l'indécence 0 limites. (image chipée à la @malwrhunterteam)

Popcorn Time, l’indécence 0 limites. (image chipée à la @malwrhunterteam qui l’a découvert)

Si vous trouvez déjà l’idée du ransomware passablement choquante, celui dénommé Popcorn Time, repéré début décembre, pousse l’audace deux crans au dessus. Non content d’exiger plus de 700 euros en échange de la clef de déchiffrement, il offre à sa victime une alternative « gratuite » qu’il qualifie lui-même de « nasty way » : se débrouiller pour infecter au moins deux autres personnes. Si vous y parvenez et qu’elles cèdent à leur tour au chantage, vous obtenez votre clef et vous retrouverez vos données. (sans garantie)
Et ce n’est pas encore le paroxysme de l’immoralité. Les créateurs de ce Popcorn Time vont jusqu’à légitimer leur pratique en joignant au virus un message dans lequel ils prétendent être un groupe d’étudiants syriens qui utilisera l’argent perçu pour acheter de la nourriture et des médicaments destinés à leurs compatriotes.

Ironiquement, à la fin de ce même mois de décembre, le sieur Michael Gillespie de Id-ransomware a mis la main sur une version en développement de Koolova qui propose de vous restituer vos bien à condition que vous preniez le temps de lire deux articles traitant de la menace des ransomwares… Version numérique un peu tordue de « je t’avais dit que le feu ça brûle ».

le ransomware "pédago" (Michaele Gilespie via Bleepingcompiuter)

le ransomware « pédago » (Michaele Gilespie via Bleepingcomputer)

La variante de l’amende et de l’écran verrouillé

Si les rançongiciels sont généralement très explicites, d’autres misent sur la peur du gendarme, littéralement. Au lieu de chiffrer les données, ils bloqueront l’accès au système avec une page émanant soit-disant de la Gendarmerie, une fausse amende reprochant à l’utilisateur la possession de logiciels piratés. D’autres versions se feront passer pour un éditeur de logiciels, ici, Microsoft détectant une version pirate de Windows. Plus généralement, les screenlockers ne chiffrent pas le contenu de la machine mais la rende inutilisable.

Misant sur ce qu'on appelle l'ingénierie sociale, ce genre de ransomware cherche à faire peur. Si Microsoft a un problème avec vous, c'est Windows qui vous le dira. Pas votre navigateur internet.

Misant plus que les autres sur ce qu’on appelle l’ingénierie sociale, ce genre de ransomware cherche à faire peur. Si Microsoft a un problème avec vous, c’est Windows qui vous le dira. Pas votre navigateur internet.

Une vidéo de démonstration d’un outil anti-ransomware ou l’on voit, en condition très, très simulée, l’effet de ce genre de malware.

Ne payez jamais la rançon

Si vous avez un jour la malchance d’être infecté, ne payez pas. Jamais. Il arrive que certains auteurs de ransomwares fassent preuve, je cite quelque témoignages, de compréhension, acceptant de réduire la somme réclamée et même, c’est dire s’ils sont sympathiques, d’aider la victime à convertir ses deniers en bitcoins. … Ce qui arrive également, c’est qu’une fois la rançon payée on vous en réclame une seconde. C’est ce qui par exemple est arrivé à cet hôpital du Kansas. Ajoutons la possibilité que la clef fournie ne fonctionne pas ou, soyons fous, qu’on ne vous réponde même pas. En outre, payer, c’est montrer que le chantage fonctionne, ce n’est pas un hasard si les montants exigés sont en hausse.

Comment se propagent les ransomwares ?

Comme n’importe quel autre malware, par toutes les portes possibles avec une préférence pour le classique e-mail avec pièce jointe. Il faut également se méfier des liens dans les mails et de l’expéditeur, les fausses factures étant un vecteur très efficace. La plupart du temps, il suffit de vérifier l’expéditeur, par exemple, vous trouverez facilement surprenant qu’EDF utilise une adresse comme EDF12@yahoo.fr.
Les faux sites vers lesquels on peut vous renvoyer par diverses méthodes sont également un medium  de choix, par exemple avec une vague de fausses mises à jour de Windows. Ou de Flash (voir l’image ci-dessous).
Et bien évidemment toutes les techniques habituelles : faille de navigateur internet (un exemple parmi d’autres), téléchargement de logiciel depuis une source douteuse et compromise (un waterhole), logiciels non mis à jour depuis 2 ans, clef USB tombée du camion ou intrusion sur le réseau local (voir ici à ce sujet).

Repéré en novembre par executemalware.com, ce mode de diffusion de Locky, qui sévit de plus en plus en France, utilise des sites signalant que Flash Player doit être mis à jour, renvoyant l'utilisateur vers Fleshupdate ou il téléchargera le fameux ransomware. #dieFlashdie

Repéré en novembre par executemalware.com, ce mode de diffusion de Locky utilise des sites signalant que Flash Player doit être mis à jour, renvoyant l’utilisateur vers Fleshupdate ou il téléchargera le fameux ransomware. Voilà pourquoi il faut être attentif aux adresses indiquées par votre navigateur (Flashupdate / Fleshupdate).

La bonne nouvelle, si l’on peut dire, c’est que si vous appliquez les habituels conseils de prudence, le risque est moindre. Mais si j’écris « pour les nuls », c’est précisément parce que, sans vous pointer du doigt, vous négligez trop souvent par méconnaissance ces détails. Nous avons déjà vu avec le virus publicitaire pourquoi il faut impérativement garder ses logiciels à jour pour combler les failles, ce que même certains geeks trop sûrs d’eux ne font pas. Aujourd’hui, ajoutons la méfiance vis à vis d’une page qui s’ouvre sans qu’on ne lui demande rien pour vous inviter à télécharger tel ou tel machin. Le coup classique : une page ou une pop-up vous met en garde contre un grand danger sur votre PC. Si une menace est détectée sur votre machine, c’est votre anti-virus qui vous le dira, pas une page web sortie de nulle part. Si un site est jugé dangereux, c’est là encore votre logiciel, ou votre navigateur qui vous préviendra (mais en bloquant la page, jamais avec une autre page). Quant aux mises à jour Windows… Vous avez compris l’idée ? C’est Windows qui vous avertira.

save_winMalgré tout, le meilleur moyen de s’assurer de ne pas perdre ses précieuses photos de famille, documents administratifs, mots de passe, thèse en cours d’écriture et autres potentiels prix Goncourt reste la bonne vieille sauvegarde. A défaut de conserver une copie de votre système complet, copiez vos documents sur un supports externes, clef ou disque dur USB. Un support qui ne devra pas rester branché à votre machine lorsque vous ne l’utilisez pas. Les malwares sont malins, ils se propagent. Sous Windows, vous trouverez un outil de sauvegarde dans le panneau de configuration (Sécurité > Sauvegarder et restaurer). Je vous abandonne à Google pour les détails.

Pour les plus moins nuls, EaseUS est une bonne solution de sauvegarde, complète et simple d’usage (système, partition, sauvegarde incrémentielle etc.)

Si le problème ransomware est à prendre au sérieux, outre sa phénoménale expansion, c’est qu’une fois contaminé, la guérison s’avère bien difficile, voire impossible. On ne casse pas un chiffrement complexe d’un claquement de doigt. Si certains programmes dédiés peuvent désinfecter une machine, il faut toutefois que le cryptovirus soit déjà connu. Or, il en apparaît de nouveaux régulièrement et même ceux déjà, disons décodés, changent régulièrement leur mode opératoire et le type de chiffrement employé, ce qui rend la tâche herculéenne.

No More Ransom, petite lueur d’espoir

nmrComme mentionné en introduction, la forte croissance des attaques par ransomware a donné naissance à différentes initiatives de prévention et d’entraide, mais l’une se distingue particulièrement. No More Ransom a été lancé par Europol, la police néerlandaise et les firmes de sécurité Kaspersky Labs et Intel Security.  Le projet compte en outre différents partenaires, dont la Police Nationale et de plus en plus d’éditeurs d’anti-virus.

Son principal intérêt est de proposer le service Crypto Sheriff, un formulaire à travers lequel un utilisateur peut envoyer deux échantillons de fichiers infectés. Dans certains cas, No More Ransom est capable d’identifier le rançongiciel et de proposer outils et solutions pour en venir à bout. Il ne faut toutefois pas attendre de miracles.

Certains logiciels spécialisés commencent à montrer leur nez, dont le récent RansomFree qui, entre autres choses, créé de faux fichiers servant de leurres, si l’un d’eux est subitement chiffré, une alerte se déclenche (c’était un point « technique pour les nuls »).

Prochain point Paranoid Android > gérer vos mots de passe

Publicités

2 réflexions sur “Votre PC pris en otage, les joies du Ransomware

  1. Pingback: N’ayez plus peur des mots de passe compliqués |

  2. Pingback: Spore : le racketteur qui a un meilleur SAV que votre opérateur téléphonique |

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s