• Boutique Kingersheim (Mulhouse agglomération) : 09 72 32 72 72

Les CryptoWares, des virus qui attaquent votre porte monnaie


Introduction

Depuis quelques semaines, les virus du type CryptoWare font un ravage dans toute l’Europe, surtout en Allemagne et en France, et bien entendu, chez nous en Franche Comté.

Ce virus, un vrai fléau, cause des dommages irréversibles sur les données clients. C’est en voyant plusieurs clients totalement effondrés quand je leur dit que leurs données sont perdues, que j’ai décidé de faire un article sur ce sujet.

Qu’est-ce qu’un CryptoWare et quels sont les dommages causés?

Un CryptoWare est un virus qui fait partie de la catégorie des RançonWare. En clair, le but d’un CryptoWare est simplement de crypter toutes vos données et vous demander une rançon pour les récupérer. Seulement, pour peu que le pirate soit malhonnête (Ironie du sort), vous n’aurez jamais la clé de décryptage pour retrouver vos données, même si vous payer la somme demandée.

Il existe plusieurs CryptoWare sur le marché actuellement, le plus rependu à ce jour est le fameux virus nommé « Locky » car il renomme tous vos fichiers par l’extension « .locky » une fois ceux si cryptés. Il existe plusieurs autres virus du même acabit comme TorrentLocker, CTB-Locker, Synolocker, CryptoWall, Petya, etc…

 

Pour la plupart d’entre eux, le cryptage est basé sur un chiffrement des données avec les algorithmes RSA-2048 et AES-128, soit des algorithmes impossibles à décrypter sans la clé que détient le pirate. Tous les fichiers ayant les extensions ci-dessous seront totalement cryptés :

 .m4u | .m3u | .mid | .wma | .flv | .3g2 | .mkv | .3gp | .mp4 | .mov | .avi | .asf | .mpeg | .vob | .mpg | .wmv | .fla | .swf | .wav | .mp3 | .qcow2 | .vdi | .vmdk | .vmx | .gpg | .aes | .ARC | .PAQ | .tar.bz2 | .tbk | .bak | .tar | .tgz | .gz | .7z | .rar | .zip | .djv | .djvu | .svg | .bmp | .png | .gif | .raw | .cgm | .jpeg | .jpg | .tif | .tiff | .NEF | .psd | .cmd | .bat | .sh | .class | .jar | .java | .rb | .asp | .cs | .brd | .sch | .dch | .dip | .pl | .vbs | .vb | .js | .asm | .pas | .cpp | .php | .ldf | .mdf | .ibd | .MYI | .MYD | .frm | .odb | .dbf | .db | .mdb | .sql | .SQLITEDB | .SQLITE3 | .asc | .lay6 | .lay | .ms11 (Security copy) | .ms11 | .sldm | .sldx | .ppsm | .ppsx | .ppam | .docb | .mml | .sxm | .otg | .odg | .uop | .potx | .potm | .pptx | .pptm | .std | .sxd | .pot | .pps | .sti | .sxi | .otp | .odp | .wb2 | .123 | .wks | .wk1 | .xltx | .xltm | .xlsx | .xlsm | .xlsb | .slk | .xlw | .xlt | .xlm | .xlc | .dif | .stc | .sxc | .ots | .ods | .hwp | .602 | .dotm | .dotx | .docm | .docx | .DOT | .3dm | .max | .3ds | .xml | .txt | .CSV | .uot | .RTF | .pdf | .XLS | .PPT | .stw | .sxw | .ott | .odt | .DOC | .pem | .p12 | .csr | .crt | .key

 

 Pour finir, si vous avez déjà contracté le virus, faites une prière pour qu’il reste une sauvegarde de vos fichiers quelques part sur un support externe (Clé USB, Disque dur, CD, DVD, etc…).

 

 

Comment les CryptoWare se propage t’il ?

Les CryptoWare se propagent très souvent par mail. C’est le cas par exemple de « Locky », envoyé jusqu’à maintenant par un email comportant une pièce jointe infectée. On reconnait Locky car jusqu’à lors, il a toujours pris l’apparence d’une facture dont l’objet est « ATTN: Invoice J-XXXXXXX ».

Si vous tomber dans le panneau, ce qui pourrait être légitime si vous commander souvent à l’étranger, vous aurez le droit de voir ceci en ouvrant le fichier « .doc »

A partir du moment où vous activer la macro, le virus en question est téléchargé sur un site distant puis exécuté sur la machine.

 

D’autre virus comme TorrentLocker se contracte par les téléchargements P2P, en se faisant passer pour des films, série, musique, crack, logiciel. Des virus comme Petya sont encore plus tordu, car ils se font passer pour des candidatures spontanées en invitant la personne du service RH à télécharger le CV infecté sur Dropbox. D’autres techniques existent, mais il n’est pas possible de toutes les référencer, mais comme vous l’aurez compris, les « pirates 2.0 » ne manque pas d’imagination et se donne beaucoup de mal pour la propagation des virus (Fini les mails de fishing avec 3 fautes par mot…)

 

Il faut savoir aussi que ces nouveaux virus sont très bien construits. En effet, lorsque votre ordinateur est infecté, le virus se propage sur le réseau et les périphériques connectés. En clair, le virus va crypter tous les fichiers qu’il peut trouver en parcourant toutes les lettres de votre ordinateur (Système C, sauvegarde D, disque dur externe, clé usb, …) mais aussi tous les dossiers partagés par les autres ordinateurs sur le même réseau. Enfin, si vous pensez que vos données sont protégés si vous les avez sauvegardées sur un cloud type onedrive, googledrive, etc…, vous vous trompés car le virus peut avoir accès à votre répertoire de cloud via votre ordinateur.

 

Une fois vos données cryptés, vous allez voir une notification, d’une manière ou d’une autre (Fond d’écran, fichier texte identique dans chaque répertoire, programme en plein écran au démarrage, etc…) qui vous invitera à payer une rançon, en carte prépayé anonyme ou en bitcoin, d’une valeur d’environ 500€. Sur certain virus, on peut même voir un compte à rebours afin de vous mettre la pression. En effet, si vous ne payez pas dans le temps imparti, vous perdrez soit vos données à vie, ou alors vous devrez payer encore plus chère.

 

Comment se protéger des CryptoWare ?

En lisant ce dont est capable les CryptoWare, on se rend vite compte qu’il ne faut pas attendre que le virus soit déjà sur le champ de bataille avant d’agir. En effet, c’est le genre de virus avec lequel on joue une partie d’échec, il faut anticiper chaque tentative d’attaque.

 

La première des protections est une bonne maitrise de son environnement informatique.

Il est important que chaque employé, ou utilisateur ayant accès à internet soit au courant des différentes manières de contracter un virus. Il ne faut jamais ouvrir un mail sans savoir de qui il vient, sans se rappeler d’une éventuelle antériorité avec l’interlocuteur (Coup de téléphone, réponse à un mail, achat récent, abonnement récent, etc…), et ne jamais ouvrir une pièce jointe sans savoir exactement ce dont il s’agit. Lorsqu’il s’agit d’un document office, il est très important de ne jamais activer une macro sans en avoir vérifié la source.

Il ne faut pas oublier qu’une macro est en tout point semblable à un programme capable de modifier vos fichiers, télécharger et exécuter des virus.

 

La deuxième protection réside dans le fait d’avoir un bon antivirus.

En ce qui concerne les professionnels, il faut éviter d’avoir une solution gratuite car elles sont moins souvent mises à jours que les versions payantes, moins réactives et propose moins de services.

En termes de solution payante, il y a plusieurs antivirus efficaces. En ce qui nous concerne, nous recommandons la solution Eset Nod 32 ou encore Panda. Toutefois, ne pensez pas qu’un antivirus permet de vous protéger à 100%, en effet, il faut compter en moyenne 3h pour que la base antiviral de l’éditeur soit mise à jours avec la liste des nouveaux virus sur le marché. C’est ainsi que nous conseillons à nos client d’attendre avant d’ouvrir des mails inattendus, et de faire régulièrement des mises à jours de l’antivirus,  afin d’éviter d’ouvrir un virus dont la signature est méconnus.

 

La troisième et plus importante des sécurités, c’est la sauvegarde de données.

Elle est valable pour tous les types de pannes, pas seulement les virus, mais aussi les incendies, les tremblements de terre, les surtensions, les crashs de disques, une fausse manipulation, etc… 

La sauvegarde de données peut être mise en place de différentes manières :

  • Un disque dur externe : Solution simple pour les TPE/PME qui consiste à sauvegarder toutes les données de manière manuelle sur un disque externe. Attention toutefois à débrancher totalement le disque dur entre chaque sauvegarde car les CryptoWares crypte aussi les données sur les disques et clés USB connectés.
  • Un cloud : Le cloud est un espace de stockage mis à votre disposition sur un serveur se trouvant sur internet. Le cloud est un miroir d’un ou plusieurs dossiers se trouvant sur votre ordinateur. Très efficace contre les crashs de disques durs et le travail collaboratif, il n’est néanmoins pas très utile contre les CryptoWares puisque le Cloud est un miroir, les données à l’intérieur y seront donc aussi cryptées en même temps que votre disque dur.
  • Un serveur NAS : Un NAS est un mini serveur, doté de plusieurs disques durs, permettant d’assurer efficacement la sauvegarde de données. A condition que celui-ci ne soit pas accessible sans mot de passe, car les CryptoWares scannent les réseaux et s’infiltrent dans les dossiers partagés.

Nos préconisations :

  • Afin d’assurer une bonne sécurité des données faces au CryptoWares, nous recommandons de faire régulièrement des sauvegardes de données sur un disque dur externe et de bien débrancher celui-ci entre chaque sauvegarde. En cas d’infection, ne rebranchez surtout pas le disque avant l’intervention d’un professionnel qui supprimera toutes traces du virus.
  • Equipez-vous d’un serveur ou d’un serveur NAS et paramétrer des sauvegardes asynchrones, automatiques, et quotidiennes de vos machines. Toutefois, veillez à ce que l’accès au serveur soit contrôlé par mot de passe (non enregistrés). Pour encore plus de sécurité, il est même préférable de paramétrer les connexions sur des protocoles SFTP ou RSYNC. Les sauvegardes pourront être assurées par des logiciels spécialisés comme Acronis, leader du domaine, ou par des solutions embarqués type Cloud Station Drive des NAS Synology. Parfois, il est nécessaire de faire coordonner les deux en même temps.

 

Il existe quelques solutions à mettre en place pour lutter contre les CryptoWares et en particulier contre Locky, le plus dévastateur de tous. Toutefois ces solutions sont à mettre en œuvre par des professionnels car elles représentent un aspect technique assez développé pour certaines.

Vous retrouverez ces astuces directement sur le site de Lexsi, société spécialisée dans la cybercriminalité : https://www.lexsi.com/securityhub/comment-creer-un-vaccin-contre-le-ransomware-locky/

 

 

Comment agir si vous avez déjà contracté un CryptoWare ?

Un CryptoWare n’a pas pour but d’agir dans l’ombre, car comme vous l’aurez compris, son objectif est de vous faire payer une rançon pour retrouver vos données. Ainsi, vous serez très rapidement mis au courant si vous avez été infecté par l’un de ces virus.

La première règle à respecter dans le cas d’une contraction virale, c’est de se couper du reste du monde afin d’éviter de contaminer les autres par le réseau. Pour ceci, il suffit simplement de vous déconnecter du réseau wifi ou de débrancher le câble réseau.

La deuxième règle est de déconnecter tous les périphériques de stockage de votre machine. Soit les disques durs externes et les clés USB. Si l’un d’eux a été touché par le virus, faites-le analyser par un professionnel, en même temps que votre ordinateur.

 

En ce qui concerne les données que contenait votre ordinateur, vous pouvez définitivement faire une croix dessus. En effet, même s’il arrive que certain de ces virus soit très automatisés et vous donne la clé pour décrypter vos données, nous déconseillons de payer la rançon et par le fait d’encourager les pirates à poursuivre leurs actions. De plus, même si vous arriverez à décrypter les données avec une clé obtenue par le paiement de la rançon, sachez que le virus continuera à résider au sein de votre ordinateur et pourra se réenclencher à n’importe quel moment avec une autre clé, donc une autre rançon.

 

En ce qui concerne le CryptoWare Petya qui crypte l’ensemble de la partition de votre disque dur, il existe une solution qui profite d’une faille de conception (mauvais cryptage). Voici la solution : http://www.clubic.com/antivirus-securite-informatique/actualite-802440-solution-petya-ransomware.html

En ce qui concerne les autres CryptoWares, un formatage complet de vos disques durs et une réinstallation des différents systèmes d’exploitation sera nécessaire. Une vérification de votre réseau informatique sera préférable pour contrôler la présence du virus en question.

 

Conclusion

Après les mails qui vous promettent monts et merveilles si vous aider un pauvre monsieur à toucher son héritage, les fausses annonces en ligne qui vous vendent des objets à prix d’or en échange de paiement western union, les fausses blondes qui vous pousse à vous déshabiller sur webcam et qui vous menace ensuite de divulguer les vidéos à vos contact Facebook, les virus « Gendarmeries » qui vous insultent de pédophile et vous demande de payer une amende en paiement Ukash, les nouveaux virus CryptoWares ne font pas dans la dentelle et font plutôt froid dans le dos.

 

Dans le milieu internet, nous avons vu évolué toutes sortes de virus, qui aspirent à toutes sortes de fins. Cependant, avec l’arrivée des CryptoWares, nous nous sommes vite rendu compte que nous n’avons pas à faire au même pirate que d’habitude, c’est ainsi que le terme « pirate 2.0 » a vu le jour. Une nouvelle espèce de pirate mieux organisé et surtout plus technique dans ses méthodes d’exécutions est né. En effet, il ne s’agit plus seulement de pirate ou hacker solo dans un garage, s’amusant des failles d’un système d’exploitation, ou de la naïveté de certain pour se faire un peu d’argent. Nous devons à présent faire face à une vraie bande organisée de cybercriminels, possédant des connaissances en termes de réseau et serveur automatisé, système de paiement bancaire anonyme et des connaissances en cryptologie.

 

Pour faire face à ce genre de pirate, puisque nous ne pouvons pas agir directement contre eux, nous devons nous protéger, nous fortifier, nous renseigner et prendre des mesures proactives. N’attendez pas de tomber malade, vaccinez-vous. Alors n’attendez pas de devoir payer une rançon, mettez vos données en sécurité, chaque jour, protégez-vous.



Partager cet article


Ce que les gens pensent de nous



Copyright © 2017- Hsinformatique.com. Tous droits réservés.