Votre argent ou vos données ? Le guide ultime pour comprendre les Ransomware - Partie I

  Posted On   By Rémi Virlouvet   Comprendre les ransomware

ransomware

 

En 2014, un homme s’est suicidé après avoir reçu un message sur son PC qui le menaçait de prison s’il ne payait pas une rançon de plusieurs milliers de dollars. Cette histoire incroyable marquait la première occurrence d’un individu tué par un virus informatique. Les générations suivantes ont volé de l’argent à des utilisateurs du monde entier, et Cryptolocker a placé la barre encore plus haut en prenant en otage les données de centaines de milliers d’utilisateurs. Malgré des défaites de courte durée, le malware (logiciel malveillant) a fait son retour sous le nom de CTB (Curve-Tor-Bitcoin) Locker.

 

Ce type de logiciels malveillants ne cesse de s’améliorer et d’atteindre de nouveaux niveaux de complexité, alors que les smartphones et les tablettes sont de plus en plus utilisés pour stocker des documents personnels et professionnels cruciaux.

 

Bitdefender, éditeurde solutions de cybersécurité, fait le point sur le sujet pour montrer comment fonctionne ce type de virus et pour indiquer aux utilisateurs comment éviter d’être bloqué et extorqué.

 

Qu’est-ce qu’un ransomware ?

 

Un ransomware (ou rançongiciel) est un type de logiciel malveillant qui infecte et verrouille un système jusqu’à ce que l’utilisateur paie une somme d’argent pour retrouver l’accès à ses données. Associé à un polymorphisme côté serveur et à des infrastructures de diffusion de niveau professionnel, le programme malveillant peut pénétrer dans un système via un fichier téléchargé illicite, une vulnérabilité dans un service réseau ou même un message texte. Le second article de notre dossier expliquera la manière dont un ransomware infecte les ordinateurs des utilisateurs.

 

polymorphisme

 

Pourquoi est-ce différent d’un malware traditionnel ?

 

Il ne vole pas les informations de la victime, il les chiffre, les rendant ainsi illisibles.
Il demande une rançon, généralement en bitcoins.
Il est relativement facile à produire – il existe nombre de bibliothèques de chiffrement bien documentées.

 

Types de ransomware

 

Bloqueurs d’appareil

 

Ce type de ransomware verrouille l’écran de l’appareil et affiche une image plein écran qui bloque l’accès à l’appareil. Le message exige un paiement, mais les fichiers personnels ne sont pas chiffrés.

 

Votre argent ou vos données ?

 

Ransomware de chiffrement

 

Cryptowall, Critroni et TorLocker sont parmi les familles les plus connues de ransomware de chiffrement de fichiers.

 

Les chiffreurs de fichiers comme Cryptolocker chiffrent les fichiers et dossiers personnels tels que les documents, les feuilles de calcul, les images et les vidéos. Après avoir infiltré la machine, le logiciel malveillant contacte le centre de commande et de contrôle pour générer une clé de chiffrement afin de chiffrer chacun des fichiers de l’ordinateur à l’aide d’algorithmes de chiffrement complexes. Cela rendra les données de l’ordinateur inutilisables.

 

Le logiciel malveillant affiche ensuite un message, prétendant souvent provenir d’organismes chargés de l’application de la loi, pour effrayer les victimes en les menaçant de condamnations et d’emprisonnement, à moins que celles-ci ne déchiffrent les données en payant (via Bitcoin ou un bon d’achat prépayé) avant la date limite indiquée. Les cybercriminels utilisent les informations IP de l’ordinateur des utilisateurs pour montrer aux victimes une version localisée du message de blocage d’écran. Le même message menace parfois de supprimer la clé privée si le délai n’est pas respecté.

 

clé de déchiffrement

 

Certains groupes de cybercriminels vont encore plus loin en rendant anonyme la communication via TOR. TorLocker est un kit commercial d’outils pour ransomware vendu sur des forums clandestins en tant que programme d’affiliation. Les clés renouvelables intégrées permettent à TorLocker de chiffrer des fichiers même si l’ordinateur de la victime n’est pas en ligne, tandis que la communication basée sur Tor rend presque impossible l’arrêt de l’opération.

 

TorLocker

 

Bogdan Botezatu, analyste senior chez Bitdefender, a déclaré :

La situation empire et nous constatons de plus en plus d’infections de ce type. Une fois que vous êtes victime d’un ransomware, il n’y a absolument aucun moyen de récupérer vos données sans payer. Mais si vous payez, vous ne faites qu’encourager cette entreprise et financer sa recherche et son développement. Il arrive que les criminels acceptent le paiement et ne divulguent pas vos données, vous privant de votre argent ET de vos données.