Rançongiciels: Foire aux Questions

Histoire des rançongiciels

1986: Le premier rançongiciel connu, le troyen AIDS de 1989 (connu aussi sous le nom de “PC Cyborg”) est écrit par Joseph Popp
2005: En mai, des rançongiciels d’extorsion apparaissent
2006: Au milieu de l’année 2006, des vers tels que Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, et MayArchive utilisent des techniques de chiffrement RSA plus sophistiquées, avec des tailles de clé de chiffrement de plus en plus grandes
2011: Un ver rançongiciel imitant le message d’avertissement du système d’activation des produits Microsoft apparaît
2013: Un ver rançongiciel basé sur le kit d’exploitation Stamp.EK fait son apparition, tandis qu’un ver rançongiciel spécifique au système d’exploitation Mac OS X entre en scène. CryptoLocker amasse près de 5 millions de dollars au cours des quatre derniers mois de l’année
2015: Plusieurs variantes ciblant des plates-formes différentes causent de sérieux dégâts

Types de rançongiciels

  • Rançongiciels Chiffrants

Ils chiffrent les fichiers et répertoires personnels (documents, feuilles de calcul, images et vidéos).

Les fichiers affectés sont supprimés une fois l’opération de chiffrement terminée et les utilisateurs découvrent généralement un fichier texte avec des instructions relatives au paiement dans le même répertoire que celui où se trouvent les fichiers inaccessibles.

On découvre généralement le problème seulement au moment d'ouvrir l'un de ces fichiers.

Certains de ces rançongiciels – mais pas tous – affichent un message de blocage sur l’écran de la victime:

Maktub1 Ctblocker2.10 Bitman_040 Bitman_025

  • Rançongiciels Bloquants — WinLocker

Ils bloquent l’écran de l’ordinateur et réclament le paiement d’une rançon (souvent présentée comme étant une «amende»).

Cela se matérialise par une image qui recouvre l’intégralité de l’écran et bloque l’accès à toutes les autres fenêtres.

Aucun fichier personnel ne fait l’objet de chiffrement.

Polyransom2

  • Rançongiciel de Master Boot Record (MBR)

Le Master Boot Record (MBR) est une portion du disque dur qui permet au système d’exploitation de démarrer.

Les rançongiciels de MBR modifient le MBR d’un système pour interrompre le processus normal de démarrage.

Au lieu de cela, une demande de rançon s’affiche à l’écran.

Master-Boot.jpg

  • Rançongiciels chiffrants ciblant les serveurs Web

Ils ciblent les serveurs Web et chiffrent un certain nombre de fichiers sur leur espace de stockage.

Des vulnérabilités touchant les systèmes de gestion de contenu (CMS) sont souvent utilisés pour déployer ces rançongiciels sur des services Web.

Ransomware encrypting web servers

  • Les rançongiciels mobiles (Android)

Les appareils mobiles (majoritairement Android) peuvent être infectés par téléchargement au cours de la navigation (“drive-by download” en anglais).

Ils peuvent aussi être contaminés par de fausses applications mobiles qui se font passer pour des services connus tels qu’Adobe Flash ou un produit anti-virus.

Mobile Ransomware

Si je suis attaqué, est-ce que je dois payer la rançon?

Il n’est jamais recommandé de payer la rançon, avant tout parce que vous n’avez aucune garantie que cela puisse apporter une solution à votre problème. Plusieurs autres problèmes peuvent survenir. Par exemple, il pourrait y avoir des défauts dans le logiciel malveillant qui rendraient les données chiffrées irrécupérables, même en possession de la bonne clé de chiffrement.

En outre, lorsque la rançon est payée, cela prouve aux cybercriminels que le rançongiciel est efficace. Cela motive les cybercriminels à poursuivre leurs activités illégales, continuer de chercher de nouvelles méthodes pour exploiter des systèmes et entraîner de nouvelles infections et plus d’argent dans leurs comptes en banque.

Comment fonctionne une attaque par un rançongiciel?

Très souvent, une attaque par rançongiciel est menée grâce à l’envoi d’une pièce jointe par courrier électronique, sous forme de fichier exécutable (ou programme), une archive (fichier compressé) ou une image. Une fois la pièce jointe ouverte, le logiciel malveillant est installé sur le système de la victime. Les cybercriminels peuvent aussi délivrer leurs virus par des sites Web : il suffit que la victime visite le site Web pour que son ordinateur soit infecté.

L’infection n’est pas détectée immédiatement par l’utilisateur. Le logiciel malveillant opère discrètement en arrière-plan jusqu’à ce que le dispositif de blocage du système ou de l’accès aux fichiers soit déployé. Alors, une boîte de dialogue apparaît qui indique à l’utilisateurs que les données ont été bloquées et exige le paiement d’une rançon pour les dévérouiller. A ce moment-là il est trop tard pour sauvegarder les données.

Pour plus d’informations, visualisez la vidéo ci-dessous:

Qui sont les victimes des rançongiciels?

Tout consommateur ou entreprise peut être la victime d’un rançongiciel. Les cybercriminels n’ont pas une démarche sélective, et sont souvent à la recherche du plus grand nombre de victimes possibles pour obtenir le plus haut profit possible.

Est-ce que les attaques de rançongiciels contre les entreprises progressent?

Oui, parce que les cybercriminels savent que les entreprises sont plus susceptibles de payer la rançon, car que les données captives sont à la fois sensibles et vitales pour la survie de l’entreprise. En outre, cela peut parfois être plus coûteux de restaurer les sauvegardes que de payer le montant de la rançon réclamé.

Pourquoi est-ce si compliqué de trouver la solution unique contre les rançongiciels?

Les rançongiciels sont en progression – il y a maintenant plus de 50 familles de ces logiciels malveillants en circulation – et ils évoluent rapidement. Avec chaque nouvelle version, on rencontre une meilleure technique de chiffrement et de nouvelles fonctionnalités. Ce n’est pas une menace à ignorer!

L’une des raisons pour lesquelles il est si difficile de trouver une solution unique est parce que le chiffrement en tant que tel n’est pas une activité malveillante. C’est un développement positif, utilisé dans de nombreux programmes inoffensifs.

Le premier virus cryptographique utilisait un algorithme à clé symétrique, la même clé étant utilisée pour chiffrer et déchiffrer. L’information corrompue pouvait généralement être déchiffrée avec l’assistance de spécialistes en sécurité de l’information. Avec le temps, les cybercriminels ont commencé à implémenter des algorithmes à cryptographie asymétrique qui utilisent deux clés séparées – une clé publique pour chiffrer les fichiers et une clé privée étant nécessaire pour le déchiffrement.

Le troyen CryptoLocker est l’un des rançongiciels les plus connus. Il utilise aussi un algorithme à clé publique. Lorsqu’un ordinateur est infecté il se connecte au serveur de commande et de contrôle pour télécharger la clé publique. La clé privée est uniquement disponible pour les cybercriminels qui ont conçu le logiciel CryptoLocker. Les victimes sont alors sous la menace d’un délai de 72 heures avant que la clé privée ne soit détruite pour toujours et sans celle-ci, le déchiffrement est impossible.

Cela veut dire qu’il faut avant tout songer à des mesures de prévention. La plupart des logiciels antivirus intègrent un composant qui aide à détecter les rançongiciels dès les premières étapes de l’infection, sans que des données sensibles soient encore affectées. Il est important que les utilisateurs s’assurent que cette fonctionnalité est activée sur leur solution antivirus.

Quelle est la probabilité pour que vous puissiez aider les victimes de rançongiciels à récupérer l’accès à leurs fichiers?

La projet “No More Ransom” a tout juste débuté, mais nous travaillons continûment avec d’autres acteurs de la sécurité informatique et des services de police à travers le monde pour identifier autant de clés de chiffrement que possible, pour autant de variantes que possible. Si vous avez des informations dont vous pensez qu’elles peuvent être utiles, s’il vous plait, contactez-nous.

Qu’est-ce que le Crypto Sheriff et comment l’utiliser?

Le Crypto Sheriff est un outil conçu pour nous aider à déterminer le type de rançongiciel auquel vous êtes confronté. Cela nous permet de vérifier s’il existe une solution de déchiffrement. La vidéo ci-dessous en explique le fonctionnement:

Votre outil de déchiffrement ne fonctionne pas, alors même que je suis certain d’utiliser le bon outil – pourquoi?

C’est malheureusement possible. Parfois nous n’obtenons qu’un sous-ensemble des clés existantes, alors revenez vérifier régulièrement notre site Web.

Dans quels cas est-il possible de déchiffrer les fichiers qui ont été chiffrés par un rançongiciel?

C’est possible dans les cas suivants:

  • Les auteurs du logiciel malveillant ont fait une erreur d’implémentation, rendant possible une attaque contre le chiffrement. Ce fut le cas pour les rançongiciel Petya et CryptXXX.
  • Les auteurs du logiciel malveillant finissent par regretter leurs actes et publient les clés ou la clé maître, comme ce fut le cas pour TeslaCrypt.
  • Les auteurs du virus regrettent leurs actions et publient les clés ou la clé maître, ce qui fut le cas pour le rançongicie CoinVault.

Parfois, le fait de payer la rançon fonctionne aussi, mais il n’y a aucune garantie que le paiement vous permette d’obtenir le déchiffrement de vos fichiers. En plus, vous seriez alors en situation de soutenir une activité criminelle et donc partiellement responsable du fait que de plus en plus de personnes voient leurs systèmes infectés par des rançongiciels.

Pourquoi avez-vous décidé de lancer l’initiative No More Ransom?

Personne n’ignore que les rançongiciels, qui chiffrent les données des utilisateurs sur leurs systèmes et demandent le paiement d’une rançon, sont devenus une énorme menace en cybersécurité au cours des dernières années. C’est devenu un phénomène si répandu qu’on pourrait facilement le qualifier d’épidémie. Le nombre d’utilisateurs attaqués par un rançongiciel a bondi, avec 718.000 victimes touchées entre avril 2015 et mars 2016, soit 5,5 fois plus que sur la même période entre 2014 et 2015.

La police ne peut pas mener toute seule le combat contre la cybercriminalité et les rançongiciels en particulier. De même, les chercheurs en sécurité ne peuvent pas mener leur action sans le soutien des services d’enquête. Les responsabilités pour la lutte contre les rançongiciels sont partagées entre la police, la justice, Europol et les sociétés spécialisées en sécurité informatique ; elles nécessitent une action concertée. Ensemble, nous ferons tout ce qui est en notre pouvoir pour détruire les stratégies de gain financier des cybercriminels et rendre les fichiers à leurs propriétaires légitimes, sans que ces derniers aient à payer des sommes inconsidérées.

Est-ce qu’il y a des initiatives similaires dans mon pays?

No More Ransom est une initiative internationale qui démontre l’intérêt des coopérations public-privé dans une action résolue contre la cybercriminalité. Cette coopération dépasse les frontières géographiques. L’objectif principal de ce projet est de partager nos connaissances et sensibiliser les utilisateurs du monde entier sur la façon de se prémunir contre les attaques de rançongiciels. Nous sommes convaincus que cela permettra d’apporter un soutien concret permettant de réparer les dommages subis par les victimes à travers le monde. En leur rendant l’accès à leurs systèmes, nous rendons le pouvoir aux utilisateurs en leur montrant qu’ils peuvent agir et éviter de récompenser les criminels par le paiement d’une rançon.

Pour sa première étape, le portail contient quatre outils de déchiffrement pour différents types de logiciels malveillants. Tous les outils disponibles sur le site Web sont gratuits et ils fonctionneront pour n’importe quel utilisateur concerné par la menace mentionnée sur le site Web – quel que soit l’endroit où ils se trouvent dans le monde.