Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d'abord, ne paniquez pas. La bonne nouvelle est qu'il y a une fenêtre d'opportunité dont vous pouvez profiter et, espérons-le, arrêter la prise d’otage de vos données avant même qu’elle ait commencé.
Comment éviter la prise d’otage de vos données @ITrustBlog
1. Comment éviter la prise d’otage de vos données
Qu’est-ce que c’est un CryptoLocker?
Le CryptoLocker est un virus appartenant à la famille Trojan ransomware, spécialisée dans l’extorsion
de fonds. À côté de ses cousins (CryptoWall, TorrentLocker, TeslaCrypt), il vise principalement les
ordinateurs Windows via les pièces jointes infectées ou, parfois, même à travers le botnet Gameover
ZeuS (si celui-ci est déjà présent sur le système de l’utilisateur). Une fois activé, le programme
malveillant crypte vos fichiers et vous envoie une demande de rançon. Nous pourrions aller plus loin
et comparer cela à la « mafia » de la cybersécurité. Imaginez Al Pacino dans le Parrain tenant vos
données en otage et exigent un paiement en échange de la clé de déchiffrement.
Mode opératoire
La « mafia » CryptoLocker a fait son apparition pour la première fois en septembre 2013, visant toutes
les versions de Windows, y compris Windows XP, Windows Vista, Windows 7 et Windows 8. Comme
toute tentative «criminelle», elle se nourrit du pire cauchemar des utilisateurs : la perte de données.
Mais pourquoi ce virus est-il si dangereux ? Contrairement à ses versions précédentes qui ne touchent
pas à vos données, le CryptoLocker bloque les fichiers avec une clé de chiffrement privée (un mélange
de RSA et AES) détenue seulement par le centre du contrôle, ce qui rend la récupération de données
pratiquement impossible.
À la fin du processus de chiffrement, le malware exécute un programme de paiement (nous pourrions
comparer cela à du « chantage »), demandant une certaine somme, jusqu’à une certaine date, pour
décrypter les fichiers de l’utilisateur. Si les conditions ne sont pas remplies, la clé de chiffrement est
effacée. En d’autres termes, s’il n’y a pas de sauvegarde disponible pour les données chiffrées, il est
fort probable qu’elles ne seront jamais récupérées.
Pertes enregistrées
Tout d’abord, nous devrions probablement commencer par dire que le CryptoLocker d’origine n’est
plus en circulation, suite à l’opération «Tovar», menée par la police en mai 2014, lorsque le botnet
Gameover ZeuS a été détourné. Pour ce faire, la police a impliqué une société spécialisée dans la
sécurité, qui a créé un outil permettant aux utilisateurs de récupérer leurs fichiers de manière gratuite,
en s’appuyant sur la base de données des clés privées utilisées par les logiciels malveillants.
Cependant, même avec la tête de la mafia éliminée, de nouvelles mutations se sont montrées
désireuses de prendre le pouvoir. Le CryptoLocker original a extorqué presque 3 millions $ au cours
de son existence. Ce n’est donc pas étonnant que de nombreux prétendants aient abordé la même
approche (et sous le même nom).
Le plus récent exemple et, à la fois, l’attaque du ransomware le plus médiatisé en Amérique du Nord,
a été enregistré à Hollywood (début février), quand des pirates ont bloqué le réseau informatique d’un
hôpital presbytérien.
2. Le malware a pris contrôle de l’établissement médical pour une durée de deux semaines, rendent le
personnel incapable de traiter ses patients, jusqu’à ce que finalement une rançon de 16900 $ fut
versée. Cela doit servir de leçon, les CryptoLockers d’aujourd’hui sont plus performants que ceux
d’origine.
Solutions existantes
Puisque le payload du virus CryptoLocker se cache dans la pièce jointe d’un message de phishing,
les antivirus courants ont du mal à empêcher cetype d’infection (lire notre article précédent ici pour en
savoir plus). D’autres solutions disponibles impliquent des stratégies de restriction logicielle (SRL) ou
AppLocker (la version améliorée du SRL), qui permettent aux utilisateurs de contrôler ou de bloquer
le déroulement de fichiers exécutables sur les zones utilisées le plus souvent par les malwares.
Néanmoins, si les utilisateurs ont des droits en tant qu’administrateur sur leurs propres ordinateurs,
ces solutions deviennent incomplètes. Malheureusement, ce scénario est parfois inévitable et, dans
ce cas, les deux outils peuvent être facilement induits en erreur.
Fenêtre d’opportunité
Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d’abord, ne paniquez pas. La
bonne nouvelle est qu’il y a une fenêtre d’opportunité dont vous pouvez profiter et, espérons-le, arrêter
la prise d’otage de vos données avant même qu’elle ait commencé.
Lorsqu’un utilisateur lance (sans le savoir) un logiciel malveillant sur son ordinateur, celui s’installe
dans le répertoire de l’utilisateur et obtient la clé publique de son serveur C&C. CryptoLocker
commence le chiffrement des données stockées localement ou dans les drives du réseau partagé et
génère des clés symétriques aléatoires pour chaque fichier qu’il crypte. Le focus est sur les documents
Office, les photos et les vidéos, globalement tout ce qui pourrait être de valeur pour l’utilisateur ciblé.
Il crypte alors la clé aléatoire en utilisant un algorithme asymétrique publique-privé de la clé de
chiffrement (RSA) et les clés de plus de 1024 bits. Ensuite, le virus ajoute cette clé aléatoire au fichier
crypté.
C’est au début de cette phase que Reveelium, notre solution d’analyse comportementale, peut
détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des
logiciels malveillants. Jusqu’à ce que le processus de cryptage soit terminé, les utilisateurs ont une
brève période de temps pour agir et effacer CryptoLocker. Gardez à l’esprit que, une fois enlevé, la
seule façon de récupérer vos données c’est à travers la restauration du système Windows.
Liens :
https://www.reveelium.com/fr/avoid-data-hostage-situation/
https://www.itrust.fr/eviter-la-prise-dotage-de-vos-donnees/