Votre argent ou vos données ? Le guide ultime pour comprendre les Ransomware - Partie I

En 2014, un homme s’est suicidé après avoir reçu un message sur son PC qui le menaçait de prison s’il ne payait pas une rançon de plusieurs milliers de dollars. Histoire incroyable du premier individu tué par un virus informatique. Les générations suivantes de malware ont volé de l’argent à des utilisateurs du monde entier, et Cryptolocker a placé la barre encore plus haut en prenant en otage les données de centaines de milliers d’utilisateurs. Malgré des défaites de courte durée, le logiciel malveillant a fait son retour sous le nom de CTB (Curve-Tor-Bitcoin) Locker.

Ce type de malware ne cesse de s’améliorer et d’atteindre de nouveaux niveaux de complexité, alors que les smartphones et les tablettes sont de plus en plus utilisés pour stocker des documents personnels et professionnels cruciaux.

Bitdefender, éditeur européen de solutions de cybersécurité, fait le point sur le sujet pour montrer comment fonctionne ce type de virus et pour indiquer aux utilisateurs comment éviter d’être bloqué et extorqué.

Qu’est-ce qu’un ransomware ?

Un ransomware (ou rançongiciel) est un type de logiciel malveillant qui infecte et verrouille un système jusqu’à ce que l’utilisateur paie une somme d’argent pour retrouver l’accès à ses données. Associé à un polymorphisme côté serveur et à des infrastructures de diffusion de niveau professionnel, le programme malveillant peut pénétrer dans un système via un fichier téléchargé illicite, une vulnérabilité dans un service réseau ou même un message texte. Le second article de notre dossier expliquera la manière dont un ransomware infecte les ordinateurs des utilisateurs.

Pourquoi est-ce différent d’un malware traditionnel ?

Il ne vole pas les informations de la victime, il les chiffre, les rendant ainsi illisibles.
Il demande une rançon, généralement en bitcoins.
Il est relativement facile à produire – il existe nombre de bibliothèques de chiffrement bien documentées.

Types de ransomware

Bloqueurs d’appareil

Ce type de ransomware verrouille l’écran de l’appareil et affiche une image plein écran qui bloque l’accès à l’appareil. Le message exige un paiement, mais les fichiers personnels ne sont pas chiffrés.

Ransomware de chiffrement

Cryptowall, Critroni et TorLocker sont parmi les familles les plus connues de ransomware de chiffrement de fichiers.

Les chiffreurs de fichiers comme Cryptolocker chiffrent les fichiers et dossiers personnels tels que les documents, les feuilles de calcul, les images et les vidéos. Après avoir infiltré la machine, le logiciel malveillant contacte le centre de commande et de contrôle pour générer une clé de chiffrement afin de chiffrer chacun des fichiers de l’ordinateur à l’aide d’algorithmes de chiffrement complexes. Cela rendra les données de l’ordinateur inutilisables.

Le logiciel malveillant affiche ensuite un message, prétendant souvent provenir d’organismes chargés de l’application de la loi, pour effrayer les victimes en les menaçant de condamnations et d’emprisonnement, à moins que celles-ci ne déchiffrent les données en payant (via Bitcoin ou un bon d’achat prépayé) avant la date limite indiquée. Les cybercriminels utilisent les informations IP de l’ordinateur des utilisateurs pour montrer aux victimes une version localisée du message de blocage d’écran. Le même message menace parfois de supprimer la clé privée si le délai n’est pas respecté.

Certains groupes de cybercriminels vont encore plus loin en rendant anonyme la communication via TOR. TorLocker est un kit commercial d’outils pour ransomware vendu sur des forums clandestins en tant que programme d’affiliation. Les clés renouvelables intégrées permettent à TorLocker de chiffrer des fichiers même si l’ordinateur de la victime n’est pas en ligne, tandis que la communication basée sur Tor rend presque impossible l’arrêt de l’opération.

Bogdan Botezatu, analyste senior chez Bitdefender, a déclaré :

La situation empire et nous constatons de plus en plus d’infections de ce type. Une fois que vous êtes victime d’un ransomware, il n’y a absolument aucun moyen de récupérer vos données sans payer. Mais si vous payez, vous ne faites qu’encourager cette entreprise et financer sa recherche et son développement. Il arrive que les criminels acceptent le paiement et ne divulguent pas vos données, vous privant de votre argent ET de vos données.