Ransomware : voici comment éviter l’escroquerie

Des centaines de milliers d'ordinateurs dans le monde onté été touchés par un virus, depuis ce week-end. Le ransomware est une plaie qui bloque vos fichiers et vous réclame une rançon pour les libérer.  

Des services publics et des entreprises d'une centaine de pays ont été victimes depuis vendredi 12 mai d'une gigantesque cyberattaque via un "rançongiciel", qui a frappé des centaines de milliers d'ordinateurs dans le monde. Le logiciel aussi appelé ransomware crypte les données et exige une rançon pour les récupérer.

Ransomware : une menace grandissante

Un ordinateur atteint par un "ransonware". (© MAXPPP)

Il y a trois ans, on parlait à peine du ransomware, ou du rançongiciel, en français. L'an dernier, une entreprise sur cinq victime de fraude informatique a été victime de demande de rançon, selon une étude Euler Hermes/DFCG parue la semaine dernière.

Le nombre de types de ransomwares a connu une croissance fulgurante au cours de l’année dernière. On en recensait près de 200 en 2016, soit une augmentation de pas moins de 451 % par rapport à 2015 ! L’on peut donc s’attendre à ce que cette menace s’intensifie encore dans
les années à venir.

Bien avant les attaques de vendredi, les entreprises craignaient déjà le pire : 81% des directions financières redoutent une aggravation du risque d'attaque pour cette année. Il faut dire que ces fraudes sont très répandues : une entreprise sur quatre a subi plus de 10 tentatives de fraudes en 2016.

La complexité technique des méthodes de ransomware employées ne cesse de croître. Par ailleurs, le mode opératoire est mieux organisé et les algorithmes de chiffrement de ces méthodes sont toujours plus sophistiqués.

L'attaque prend toujours la forme d'un mail, avec une pièce jointe en document PDF ou Word. Y compris d'un interlocuteur connu. On clique et l'ouverture déclenche un programme qui va crypter toutes vos données. Ou, comme dans un hôtel tout récemment, bloquer le système d'ouverture des portes.

Alors que faire, quand on est simple utilisateur d'ordinateur et qu'une mésaventure pareille vous arrive ? Comment éviter de vous faire escroquer ? 

Analyse du phénomène en 6 points :

1. Définition

Le ransomware est un logiciel malveillant (malware) qui met tout en œuvre pour vous escroquer. La famille se divise en deux catégories:

- Le cryptor (ou cryptoware) crypte les fichiers présents sur votre ordinateur et votre réseau. Vous perdez l’accès à vos photos, vos textes, vos vidéos…

- Le locker bloque la machine dès le démarrage. Le système d’exploitation refuse de se charger

Dans les deux cas, un message menaçant vous indique que le blocage des fichiers ou du démarrage de l’ordinateur sera maintenu jusqu’au paiement d’une rançon.

Montant habituellement réclamé: entre 300 et 500€… pour les particuliers.

L’écran type affiche par un ransomware: «Vos fichiers sont bloqués» et un compteur qui vous invite à compter au plus vite. (Capture d’écran)

Le montant à payer est généralement fixé en fonction des moyens financiers ou de l’atteinte éventuelle à l’image de la victime et peut s’élever jusqu’à plusieurs dizaines de milliers d’euros de dommages directs ou indirects. 

L’addition se révèle nettement plus salée pour les entreprises. Jusqu’à plusieurs dizaines de milliers d’euros !

Pour obtenir la clé de décryptage, il vous sera généralement demandé de vous connecter à Tor, l’Internet anonyme, et de payer en bitcoin, la monnaie virtuelle très compliquée à tracer.

2. Transmission

À l’heure d’injecter le ransomware sur votre ordinateur, les cybercriminels misent sur deux méthodes éprouvées:

- Le phishing (hameçonnage) : la victime reçoit un e-mail contenant une pièce jointe infectée ou un lien renvoyant vers une page web infectée. Il est demandé à la victime d’ouvrir le fichier joint infecté ou de naviguer sur le site Internet. De nombreuses victimes téléchargent et installent ainsi le ransomware sans s’en rendre compte. 

Il est important pour un utilisateur d’un système informatique de savoir reconnaitre les e-mails malveillants et les supprimer dès réception. Ainsi les mails dont vous ignorez l'expéditeur ne doivent surtout pas être ouverts et encore moins téléchargés !

- La page web infectée : consulter une page web infectée peut provoquer le téléchargement et l’installation d’un ransomware. Un progiciel antivirus à jour peut protéger l’utilisateur contre cette menace.

Exemple de transmission :  Vous recevez par courrier électronique un message qui semble émaner d’une institution, d’une marque, d’un organisme reconnu. 

De la mise en page (logo, couleurs) au texte, tout est habilement construit pour vous rassurer sur l’origine du mail. C’est le principe du phishing.

Le courrier frelaté agite une menace ou une récompense pour vous inciter à ouvrir le fichier joint infecté ou à consulter une page web dangereuse.

C’est à l’ouverture de la fameuse pièce jointe ou à la consultation de la page que le malware s’invite discrètement sur votre machine, avant de déployer sa mécanique perverse.

3. Faut-il payer ?

Payer ou ne pas payer la rançon, c’est le débat épineux qui déchire la victime.

« Il est généralement déconseillé de payer une rançon, car il n’existe aucune garantie que les fichiers chiffrés soient à nouveau accessibles après paiement », estime The Federal Cyber Emergency Team (CERT) en Belgique.

Pire, « les victimes qui ont versé une rançon ont déclaré qu’après ce premier paiement, un montant supérieur leur avait été réclamé. Dans certains cas, les victimes ont à nouveau été touchées par le même ransomware après un certain temps.» 

4. Éradication

Des outils spécifiquement développés permettent de chasser le ransomware de votre ordinateur et de libérer vos fichiers.

Votre ami dans cette lutte: le Crypto Sheriff, un service en ligne développé par Kaspersky Lab, la police néerlandaise, Europol…

Il vous suffit de vous rendres ur cette page et de télécharger deux fichiers cryptés.

Le Crypto Sheriff va les analyser pour déterminer l’identité exacte du ransomware (Crysis, Teslacrypt, Shade, Wildfire…).

Si un remède est disponible, il vous sera proposé dans la foulée en téléchargement.

Le site du Crypto Sheriff vous aide à trouver le remède contre le ransomware qui paralyse vos fichiers. (Capture d’écran)

5. Prévention

La prévention reste plus que jamais essentielle à l’heure de se tenir à distance respectable des ransomware.

Elle adopte plusieurs formes:

- La sauvegarde régulière de vos données permettra de récupérer vos fichiers en cas d’infection impossible à éradiquer

- L’installation et la mise à jour ponctuelle d’un antivirus vous protégera des pages web faisandées

- Se méfier des courriers électroniques à l’orthographe douteuse, qui réclament des informations confidentielles ou qui agitent une menace / une récompense démesurée vous permettra de détecter les tentatives de phishing

- Des astuces permettant de reconnaître le phishing sont disponibles sur le net

6. En cas d'infection: 

Dans le cas malgré tout d'une infection, la première chose à faire est de débrancher le cable réseau (ou le Wifi) afin que tout le monde ne soit pas infecté. Mais ne pas éteindre l'ordinateur, afin de garder la trace du virus.

Une fois que le ransomware a chiffré les fichiers, la solution la plus fiable est de procéder à la restauration à l’aide d’une sauvegarde et de ne pas verser la rançon mais de supprimer le ransomware du système informatique infecté et de réinstaller intégralement le système.

S’il s’avère impossible de procéder à la restauration grâce à une sauvegarde, il est conseillé de vérifier s’il existe un outil de déchiffrement sur des site d'éradication tels que Crypto Sheriff.

Pour les auteurs de l'étude, il faut absolument que toutes les entreprises diffusent une note sur la bonne conduite à tenir dans pareil cas. A bon entendeur...