Dangereux pour vous et très rentable pour les pirates, le ransomware est devenu la menace de sécurité numéro un à l'heure actuelle. Les attaques et les tentatives d'infection se sont envolées au cours de ces dernières années et la tendance ne va pas s'inverser, car chaque version semble être plus puissante et plus destructrice.

Qu'est-ce qu'un ransomware ?

Un ransomware est un logiciel malveillant qui chiffre les fichiers de votre ordinateur ou qui vous empêche d'y accéder. Il est propagé par des pirates, qui vous demandent alors une rançon (généralement de 300 à 500 $/GBP/EUR, payés de préférence en bitcoins) et prétendent que, si vous payez, ils vous enverront la clé de déchiffrement permettant de récupérer vos fichiers.

La première attaque de ransomware recensée remonte à 1989, lorsque l'anthropologue Joseph Popp a infecté des disquettes avec le cheval de Troie SIDA et les a distribués à ses collègues chercheurs. Le malware ne s'est pas exécuté immédiatement, mais a attendu que les victimes démarrent leur PC 90 fois. C'est à ce moment qu'il a chiffré tous les fichiers système et demandé aux utilisateurs de payer 189 $ pour réparer les dégâts. Heureusement, des experts ont inventé des outils permettant de supprimer le malware et de déchiffrer les fichiers infectés.

Mais le ransomware est-il un virus ? Non. Les virus infectent vos fichiers ou vos logiciels, et sont capables de se reproduire, mais le ransomware brouille vos fichiers pour les rendre inutilisables, avant de vous demander de payer. Ils peuvent tous deux être supprimés avec un antivirus, mais si vos fichiers sont chiffrés, vous ne les reverrez probablement jamais.

Les types de ransomware

Il existe différents types de ransomwares. Certaines variantes sont plus néfastes que d'autres, mais toutes ont un point commun : la rançon.

Les types de ransomware

  1. Les cryptomalwares ou crypteurs sont les ransomwares les plus courants et ils peuvent causer des dégâts massifs. En plus d'avoir extorqué plus de 50 000 $ à ses victimes, WannaCry a mis des milliers de vies en danger lorsqu'il a frappé des hôpitaux du monde entier et empêché le personnel médical d'accéder aux dossiers des patients.
  2. Les bloqueurs  (ou lockers) infectent votre système d'exploitation pour verrouiller votre ordinateur et rendre l'accès à vos fichiers et applications impossible.
  3. Les scarewares sont de faux logiciels (comme un antivirus ou un outil de nettoyage) qui prétendent avoir détecté des problèmes sur votre ordinateur et qui vous demandent de l'argent pour les corriger. Certaines variantes verrouillent votre ordinateur, tandis que d'autres inondent votre écran d'alertes et de fenêtres pop-up agaçantes.
  4. Les doxwares (ou leakwares) menacent de publier les informations dérobées sur Internet si vous ne payez pas. Nous conservons tous des fichiers sensibles sur nos ordinateurs (des contrats, des documents personnels ou des photos gênantes). Il est donc facile de comprendre pourquoi un tel cas de figure peut devenir anxiogène.
  5. Le RaaS (ou Ransomware as a Service) est un malware hébergé anonymement par un pirate qui gère tout (la distribution du ransomware, la perception des paiements, la gestion des clés de déchiffrement) en échange d'une partie de la rançon.

Ransomware Android

Vos appareils mobiles Android ne sont pas à l'abri des ransomwares. Il existe même une copie de WannaCry qui se répand sur des forums de jeu et qui cible les appareils Android en Chine. Puisque les données peuvent être facilement restaurées en synchronisant les appareils, les cybercriminels préfèreront souvent bloquer votre smartphone au lieu de se contenter de chiffrer les fichiers.

Et même s'il ne suffit pas d'ouvrir une pièce jointe à un e-mail ou de cliquer sur un lien pour infecter un appareil Apple, les ransomwares Mac gagnent en popularité. Le malware le plus récent affectant les Macs semble avoir été codé par des ingénieurs en informatique spécialisés dans OS X. Les cybercriminels ciblent souvent les comptes iCloud ou essaient de verrouiller les smartphones via le système Localiser mon iPhone.

Attaques de ransomwares en 2017

Étant donné que des dizaines d'outils de création de malwares sont disponibles sur le marché noir d'Internet, les pirates peuvent s'appuyer sur une base solide. Les attaques récentes ont montré que les cybercriminels se sont donnés beaucoup de mal pour améliorer leur code, ajouter des fonctions qui compliquent la détection et peaufiner leurs e-mails malveillants pour les rendre légitimes.

Observons de plus près les attaques de ransomware les plus importantes de 2017, WannaCry et Petna.

WannaCry

Après avoir infecté plus de 10 000 organisations et 200 000 personnes dans plus de 150 pays, WannaCry a gagné sa réputation d'attaque de ransomware la plus répandue à ce jour. Il utilisait un exploit connu sous le nom de ETERNALBLUE, qui profite d'une vulnérabilité du protocole Windows SMB (Server Message Block, un protocole de partage des fichiers en réseau) nommée MS17-010.Les 10 pays les plus touchés par WannaCry

Petya

L'émergence plus récente basée sur Petya (nommée Petya, Petna, NotPetya, EternalPetya ou Nyetya) a causé de grandes frayeurs, mais ses dégâts étaient nettement moindres que ceux de WannaCry. Petna a principalement touché l'Ukraine (plus de 90 % des attaques), mais des tentatives ont également été observées aux États-Unis, en Russie, en Lituanie, en Biélorussie, en Belgique et au Brésil.

Deux autres attaques de ransomware importantes ont fait la une des journaux en 2016 :

  • Locky : vu pour la première fois en février 2016, Locky aurait été envoyé à des millions d'utilisateurs du monde entier via une arnaque par e-mail qui se faisait passer pour une facture ou un accusé de réception de commande. L'e-mail contenait un document Word illisible, qui demandait aux utilisateurs d'activer les macros pour afficher son contenu. Il commençait ensuite à télécharger le malware. Avec chaque attaque, les auteurs de Locky continuaient d'améliorer le code pour compliquer sa détection une fois installé sur votre ordinateur.
  • Ransomware Cerber : ce malware existe sous forme d'outil et il peut être librement téléchargé, configuré et propagé par n'importe qui. Il est distribué via la pièce jointe d'un e-mail ou le lien Se désabonner d'un e-mail de spam (qui redirige les victimes vers cette même pièce jointe), il peut fonctionner même si vous êtes hors-ligne et il peut chiffrer plus de 400 types de fichiers, y compris les fichiers de bases de données.

Alors que les pirates continuent à améliorer leur code, l'une ou l'autre de ces variantes pourraient faire leur retour à un moment donné. Il est donc important de savoir qu'elles existent, même si les journaux n'en parlent pas.

Êtes-vous la cible d'un ransomware ?

Lorsque l'on parle de ransomware, tout le monde est une cible potentielle. Par exemple, WannaCry a exploité une vulnérabilité de Windows pour se propager et infecter plus de 200 000 utilisateurs comme vous et moi, ainsi que 10 000 entreprises, autorités publiques et organisations dans le monde.

Toute personne n'ayant pas installé le correctif de sécurité publié par Microsoft en mars était vulnérable. Les utilisateurs de Windows XP ont été les plus touchés : Microsoft avait arrêté la prise en charge de cette version de Windows trois ans auparavant et a seulement été incité à publier un correctif bien après que l'attaque n'ait gagné en gravité. (Et si vous utilisez toujours cette version, vous devriez vraiment envisager une mise à niveau.)

Même si un correctif ou une mise à jour corrigeant ce type de problèmes est généralement rapide et simple pour les utilisateurs lambda, les sociétés et organisations sont nettement plus vulnérables. Elles possèdent souvent des logiciels maison qui ne fonctionneraient plus avec ces mises à jour et doivent déployer les correctifs sur un grand nombre d'appareils ; toutes ces procédures les ralentissent. Certaines organisations n'ont tout simplement pas les moyens. Les budgets des hôpitaux sont établis pour sauver des vies et non des ordinateurs, mais ces deux éléments peuvent parfois se recouper lorsque leurs systèmes sont piratés et qu'ils n'ont plus accès aux antécédents du patient.

La cybercriminalité est le problème numéro un pour les sociétés travaillant avec des données sensibles, mais cela ne signifie pas que les particuliers sont en sécurité : vos photos de famille ou vos fichiers personnels ont tout autant de valeur aux yeux des pirates.

Comment un ransomware infecte-t-il votre PC ?

Des pièces jointes à un e-mail malveillant et des liens frauduleux aux arnaques sur les réseaux sociaux, le ransomware se propage rapidement et frappe un grand coup. Voici comment il pénètre dans votre ordinateur :

  • Ingénierie sociale : un terme sophistiqué qui désigne le fait de tromper quelqu'un pour qu'il télécharge le malware à partir d'une pièce jointe ou d'un lien frauduleux. Les fichiers malveillants se font souvent passer pour des documents ordinaires (confirmations de commande, reçus, factures, avis) et semblent avoir été envoyé par une société ou un établissement fiable. Il suffit d'en télécharger un seul sur votre PC, d'essayer de l'ouvrir et paf ! Vous êtes infecté.
  • Publicités malveillantes : des publicités payées pour propager ransomwares, spywares, virus et autres saletés d'un simple clic. Oui, les pirates iront même jusqu'à acheter un espace publicitaire sur des sites populaires (y compris les réseaux sociaux ou YouTube) pour mettre la main sur vos données.
  • Kits d'exploitation du code pré-écrit, joliment fourni dans un outil de piratage prêt à l'emploi. Comme vous l'avez probablement déjà deviné, ces kits sont conçus pour exploiter les vulnérabilités et les failles de sécurité des logiciels obsolètes.
  • Téléchargements drive-by des fichiers dangereux que vous n'avez jamais demandé. Certains sites Internet malveillants profitent des navigateurs ou applications obsolètes pour télécharger discrètement des malwares en arrière-plan pendant que vous visitez un site inoffensif en apparence ou que vous regardez une vidéo.

Comment savoir si vous êtes infecté ?

Tout peut commencer par un e-mail a priori inoffensif, prétendument envoyé par une source légitime, vous demandant de télécharger une facture ou autre document important. Les pirates masquent souvent la véritable extension du fichier pour faire croire aux victimes qu'il s'agit d'un fichier PDF, .doc ou d'un tableau Excel. En réalité, il s'agit d'un fichier exécutable qui commence à s'exécuter en arrière-plan lorsque vous cliquez dessus.

Il ne se passe rien d'extraordinaire pendant un moment. Vous pouvez toujours accéder à vos fichiers et tout semble fonctionner normalement. Mais le malware contacte discrètement le serveur du pirate pour générer deux clés : une clé publique pour chiffrer vos fichiers et une clé privée, stockée sur le serveur du pirate, qui servira à les déchiffrer.

Une fois que le ransomware s'est frayé un chemin vers votre disque dur, vous n'avez plus beaucoup de temps pour sauver vos données. À partir de ce moment, vous n'avez plus rien à faire. Le ransomware s'exécute et commence à chiffrer vos fichiers, et se révèle lorsque le mal est fait.

Un avis de rançon apparaît sur votre écran et vous annonce la somme que vous devez payer et comment transférer l'argent. Lorsque le compte à rebours commence, vous avez généralement 72 heures pour payer la rançon et le prix augmente si vous ne respectez pas les délais.

Pendant ce temps, vous ne pourrez pas ouvrir vos fichiers chiffrés et si vous essayez, un message d'erreur indiquant que votre fichier ne peut pas être chargé, qu'il est corrompu ou non valide apparaîtra.

Comment supprimer les ransomwares ?

Il est plutôt facile de supprimer des ransomwares, sauf si votre PC est verrouillé. En fait, la technique équivaut à supprimer un virus ou tout autre type de malware courant. Nous avons expliqué comment supprimer tous les types de malware par le passé, mais voici l'idée générale : démarrez en mode sans échec et exécutez votre antivirus pour supprimer le malware ou supprimez-le manuellement.

Comment supprimer les ransomwares ?

Les choses se compliquent si votre PC est infecté par un bloqueur qui vous empêche d'accéder à Windows ou d'exécuter des programmes. Il existe trois façons de corriger cela : procéder à une restauration du système pour restaurer Windows à un moment où votre PC était encore protégé, exécuter votre programme antivirus à partir d'un disque amorçable ou d'un disque externe, ou réinstaller votre système d'exploitation.

D'essayer Gratuitement Notre  AVG Internet Security

 

Restauration du système sous Windows 7 :

  • Allumez votre PC et appuyez sur F8 pour accéder au menu Options de démarrage avancées.
  • Sélectionnez Réparer votre ordinateur et appuyez sur Entrée
  • Connectez-vous avec votre nom de compte et votre mot de passe Windows (ou laissez ce champ vide si vous n'en avez pas)
  • Cliquez sur Restauration du système.

Restauration du système sous Windows 8, 8.1 ou 10 :

  • Allumez votre PC et maintenez la touche Maj enfoncée pour accéder aux écrans de récupération (redémarrez si cette méthode ne fonctionne pas)
  • Sélectionnez Résoudre les problèmes
  • Accédez à Options avancées
  • Cliquez sur Restauration du système.

Vous pouvez également utiliser notre CD AVG PC Rescue pour retirer le ransomware en toute sécurité à partir d'un lecteur externe. La vidéo ci-dessous contient les instructions expliquant comment créer un CD ou lecteur USB AVG Rescue amorçable.

 

Comment récupérer vos fichiers ?

Récupérer vos données est une toute autre histoire. Les chiffrements 32 et 64 bits sont faciles à déchiffrer. Nos outils gratuits de déchiffrement de ransomwares vous aideront à récupérer vos fichiers infectés par des ransomwares relativement inoffensifs, comme Apocalypse, Crypt888 ou TeslaCrypt.

Cependant, la plupart des ransomwares actuels, notamment les célèbres WannaCry, Locky ou Cerber, utilisent un chiffrement 128, voire 256 bits (parfois une combinaison des deux). Ce niveau de chiffrement complexe est également utilisé par les serveurs, navigateurs et VPN pour protéger vos données car il est sécurisé et infaillible.

Si vos fichiers sont infectés par une de ces variantes plus néfastes, la récupération est quasi impossible. C'est pourquoi rien ne vaut la prévention pour vous protéger des ransomwares.

Conseils de prévention contre les ransomwares

En plus d'éviter les sites et liens suspects, les spams et les pièces jointes que vous n'attendiez pas, il existe trois manières fondamentales pour protéger vos fichiers lors de la prochaine attaque de ransomware.

1. Sauvegardez vos fichiers importants

Sur des lecteurs externes. Ou dans le cloud. Ou les deux. Vu l'abondance de services de stockage cloud gratuits, vous n'avez vraiment aucune excuse. Dropbox, Google Drive, Mega... Faites votre choix et assurez-vous que toutes vos photos et tous vos documents importants y sont stockés en toute sécurité. Pour plus de sécurité, optez pour un service proposant l'historique des versions. Ainsi, vous pouvez toujours rétablir une version antérieure en cas de problème avec votre compte.

Schéma de sauvegarde d'un dossier sur différents services cloud

2. Utilisez un antivirus à jour

Un logiciel antivirus offre une protection fondamentale contre tout ce qui essaie de toucher à votre ordinateur. Loin de nous l'idée de nous vanter, mais notre produit AVG AntiVirus Gratuit gère à lui seul plus que ce que vous pouvez imaginer. Et avec AVG Internet Security, vous bénéficiez également de la protection contre les ransomwares, qui empêche les applications suspectes de modifier vos fichiers.

3. Gardez votre système d'exploitation à jour

Si vous avez été attentif lorsque nous avons parlé de WannaCry plus haut, vous devriez déjà savoir que les mises à jour de sécurité sont vitales pour la sécurité de votre ordinateur. Les logiciels obsolètes vous rendent plus vulnérables à tous types de malwares, notamment aux ransomwares.

Payer ou ne pas payer la rançon ?

À ce stade, cette question tant redoutée vous a probablement traversé l'esprit. Et étant donné la menace que représente un ransomware, difficile de vous en vouloir !

Les pirates ne discriminent personne. Leur seul objectif consiste à infecter le plus d'ordinateurs possible car c'est ainsi qu'ils gagnent de l'argent. Et il s'agit d'un « métier » très rentable car les victimes paient des centaines de milliers d'euros pour récupérer leurs données.

En juin 2017, la société d'hébergement Web sud-coréenne Nayana a payé 397,6 bitcoins (soit environ 1 million de dollars à l'époque) après une attaque du ransomware Erebus. Il s'agit là de la rançon la plus élevée versée à ce jour et cela prouve à quel point les entreprises sont vulnérables.

Cependant, vous traitez avec des escrocs, alors payer la rançon ne garantit rien du tout. Il leur arrive parfois d'augmenter le prix s'ils pensent que vous êtes désespéré au point de payer. Ou prenons l'exemple de Petya : le code de ce ransomware comportait un bug qui empêchait de récupérer quoi que ce soit. Mais surtout, payer encourage les pirates à revenir, frapper plus fort et demander plus d'argent.

Alors, faut-il payer ? Notre réponse est un « non catégorique ». Optez plutôt pour un bon antivirus pour ne plus avoir à vous inquiéter des ransomwares.

D'essayer Gratuitement Notre  AVG Internet Security

 

AVG Internet Security Essayez-le GRATUITEMENT