Le guide ultime sur les ransomwares

La première attaque de ransomware recensée remonte à 1989, lorsque le biologiste Joseph Popp a infecté des disquettes avec le cheval de Troie AIDS et les a distribuées à ses collègues chercheurs. Le malware ne s'est pas exécuté immédiatement, mais a attendu que les victimes démarrent leur PC 90 fois. C'est à ce moment qu'il a chiffré tous les fichiers système et demandé aux utilisateurs de payer 189 $ pour réparer les dégâts. Heureusement, des experts ont conçu des outils permettant d’éliminer ce malware et de déchiffrer les fichiers infectés.

Ces dernières années, le nombre d’attaques de ransomwares a augmenté de façon exponentielle. Les hôpitaux, les administrations et les grandes entreprises ont été la cible d’attaques de ransomwares à grande échelle, les forçant à débourser des milliers d’euros de rançon aux cybercriminels ou bien à absorber des millions d’euros en frais de réparation.

Mais les ransomwares sont-ils des virus ? Non, il s’agit d’un autre type de programme malveillant. Les virus infectent vos fichiers ou vos logiciels, et sont capables de se reproduire. Les ransomwares chiffrent vos fichiers pour les rendre inutilisables, avant de vous demander de payer une rançon. Ils peuvent tous deux être supprimés avec un antivirus, mais si vos fichiers sont chiffrés, vous ne les récupérerez probablement jamais.

Les types de ransomwares

Il existe différents types de ransomwares. Certaines variantes sont plus néfastes que d’autres, mais toutes ont un point commun : par définition, les ransomwares exigent une forme de paiement.

Cryptomalwares ou crypteurs

Les cryptomalwares ou crypteurs sont les ransomwares les plus courants et ils peuvent causer des dégâts massifs via des méthodes de chiffrement de données extrêmement complexes. En plus d’avoir extorqué plus de 50 000 dollars à ses victimes et d’avoir engendré des dégâts de centaines de millions de dollars supplémentaires, WannaCry a mis des milliers de vies en danger lorsqu’il a frappé de nombreux hôpitaux partout dans le monde, empêchant le personnel médical d’accéder aux dossiers des patients.

Bloqueurs

Les bloqueurs (ou lockers) infectent votre système d’exploitation pour verrouiller votre ordinateur et rendre l’accès à vos fichiers et applications impossible.

Scareware (alarmiciel)

Les scarewares sont de faux logiciels (par exemple un faux antivirus ou un faux outil de nettoyage) qui prétendent avoir détecté des problèmes sur votre ordinateur et vous demandent de payer une certaine somme pour les corriger. Certaines variantes de scarewares verrouillent votre ordinateur, tandis que d’autres inondent votre écran d’alertes et de fenêtres pop-up agaçantes.

Doxware

Les doxwares (ou leakwares) menacent de publier des informations dérobées si vous ne payez pas. Nous conservons tous des fichiers sensibles sur nos ordinateurs, par exemple des contrats, des documents personnels ou des photos gênantes, et il est donc facile de comprendre pourquoi un tel cas de figure peut devenir anxiogène.

Ransomware as a Service

Le RaaS (ou Ransomware as a Service) est un malware hébergé anonymement par un pirate qui gère tout (la distribution du ransomware, la perception des paiements, la gestion des clés de déchiffrement), en échange d’une partie de la rançon.

Ransomware Android

Vos appareils mobiles Android ne sont pas à l’abri des ransomwares non plus. Les ransomwares Android sont le plus souvent des bloqueurs qui vous empêchent d’accéder à votre appareil via l’interface ou qui affichent en permanence une fenêtre pop-up. Les ransomwares Android ont fait la une des journaux en 2016, leur nombre a triplé en 2017 et n'a cessé d’augmenter depuis.

Il existe même une copie de WannaCry, appelée WannaLocker, qui se répand sur des forums de jeu et qui cible les appareils Android en Chine. Puisque les données peuvent être facilement restaurées en synchronisant les appareils, les cybercriminels préfèrent souvent bloquer votre smartphone au lieu de se contenter de chiffrer les fichiers.

Ransomware Mac

Même si les appareils Apple sont un peu plus résistants face aux malwares que les PC Windows, les ransomwares Mac gagnent eux aussi en popularité.

Les premiers exemples de ransomwares sur Mac n’étaient pas tout à fait programmés comme des ransomwares. Une fausse demande de rançon du FBI a circulé, mais il s’agissait en réalité d’un programme de détournement du navigateur qui se faisait passer pour un ransomware. Il y a aussi eu l’attaque Oleg Pliss, dans laquelle le pirate exploitait des mots de passe iCloud ayant fuité pour verrouiller à distance des appareils iOS via Localiser mon iPhone et exiger une rançon pour les débloquer. Ces attaques avec demande de rançon ont préparé le terrain pour les véritables ransomwares destinés aux Mac.

Le malware le plus récent affectant les Mac semble avoir été programmé par des ingénieurs en informatique spécialisés dans macOS. Même si certains cybercriminels ciblent encore les comptes iCloud, d’autres ransomwares Mac comme KeRanger ont évolué et ressemblent plus aux ransomwares visant Windows.

Souches et attaques de ransomwares les plus connues

Comme des dizaines d’outils de création de malwares sont disponibles sur le marché noir d’Internet, les pirates peuvent s’appuyer sur une base solide. Les attaques récentes ont montré que les cybercriminels se sont donné beaucoup de mal pour améliorer leur code, ajouter des fonctions qui compliquent la détection et peaufiner leurs e-mails malveillants pour les rendre légitimes.

Et si lancer sa propre souche de ransomware est à la portée de quasiment n’importe qui, certains pirates utilisant des ransomwares ont conçu des souches qui ont fait vaciller les bases de la cybersécurité et qui se sont répandues dans le monde entier. Voyons ensemble d’un peu plus près certaines des souches et des attaques de ransomwares les plus connues.

WannaCry

Après avoir infecté plus de 10 000 organisations et 200 000 personnes dans plus de 150 pays, la souche WannaCry a gagné sa réputation d’attaque de ransomware la plus répandue à ce jour. Ce ransomware utilisait un exploit connu sous le nom d’EternalBlue, qui profite d’une vulnérabilité du protocole Windows SMB (Server Message Block, un protocole de partage des fichiers en réseau) nommée MS17-010. Au moment où cette vulnérabilité a été corrigée, WannaCry avait attaqué plus de 100 millions d’utilisateurs Windows.

La demande de rançon de WannaCry. (Source : Wikimedia Commons)

Petya

L’attaque du ransomware Petya (et autres souches similaires comme Petna, NotPetya, EternalPetya ou Nyetya) a causé une grande frayeur, mais ses dégâts étaient nettement moindres par rapport à ceux de WannaCry. Petna a principalement touché l’Ukraine (plus de 90 % des attaques), mais des tentatives ont également été observées aux États-Unis, en Russie, en Lituanie, en Biélorussie, en Belgique et au Brésil.

Locky

Signalé pour la première fois en février 2016, Locky aurait été envoyé à des millions d’utilisateurs du monde entier via une arnaque par e-mail qui se faisait passer pour une facture ou un accusé de réception de commande. Cet e-mail contenait un document Word illisible, qui demandait aux utilisateurs d’activer les macros pour voir son contenu. Il commençait ensuite à télécharger le malware. À chaque attaque, les auteurs de Locky continuaient d’en améliorer le code pour compliquer sa détection une fois celui-ci installé sur votre ordinateur.

Ransomware Cerber

Ce malware se présent sous la forme d’un ensemble d’outils, téléchargeable gratuitement et facile à configurer et à diffuser. Il est distribué via la pièce jointe d’un e-mail ou le lien Se désabonner d’un e-mail de spam, qui redirige les victimes vers la même pièce jointe. Il peut fonctionner même si vous êtes hors ligne et il peut chiffrer plus de 400 types de fichiers, y compris les fichiers de bases de données.

Arnaques et ransomwares liés à la COVID-19

La pandémie de COVID-19 en 2020 s’est accompagnée d’une augmentation du nombre de cybercriminels cherchant à profiter sans vergogne de cette atmosphère anxiogène. On ne comptait plus les escroqueries concernant les masques et les vaccins et de très nombreux hôpitaux ont été victimes de ransomwares, en plus du virus auquel ils devaient faire face.

Il existe d’autres souches connues de ransomwares, par exemple Bad Rabbit, Cryptolocker, GoldenEye, Jigsaw, Maze ou encore Ryuk. Alors que les pirates continuent à améliorer leur code, l’une ou l’autre de ces variantes pourraient faire son retour à un moment donné.

Se préserver des ransomwares

Le meilleur moyen d’éviter les ransomwares et autres malwares reste de respecter de bonnes habitudes numériques. Cela implique d’éviter les sites, les liens et les pièces jointes suspects, le spam et d’appliquer des règles de sécurité des e-mails. Voici quelques conseils supplémentaires pour vous aider à vous protéger des ransomwares.

Sauvegardez vos fichiers importants

Sauvegardez vos fichiers importants ou bien clonez tout votre disque dur pour tout enregistrer. Vous pouvez utiliser un lecteur externe, un service cloud ou les deux. Vous avez le choix entre DropBox, Google Drive, Mega ou n’importe quel autre service cloud gratuit pour y copier vos photos et tous vos documents importants. Choisissez un service qui vous offre la possibilité de rétablir une version spécifique de vos données en cas de problème dans votre compte.

Si un cybercriminel verrouille vos fichiers importants mais que vous disposez d’une sauvegarde en lieu sûr, il ne pourra pas vous faire chanter. Vous pourrez alors simplement éliminer le ransomware, restaurer vos fichiers et ignorer les demandes de rançon.

Le fait de sauvegarder vos fichiers élimine une partie du danger que représentent les attaques de ransomwares.

Utilisez un antivirus à jour

Un logiciel antivirus offre une protection fondamentale contre tout ce qui essaie de toucher à votre ordinateur. Essayez AVG Antivirus Gratuit pour bénéficier d’une protection 24 h/24 et 7 j/7 contre les ransomwares et tous les autres types de malwares. AVG Internet Security offre défense encore plus robuste contre les ransomwares du fait de sa puissante fonctionnalité de protection améliorée contre les ransomwares.

Consultez notre guide de prévention des attaques de ransomwares pour vous protéger avec AVG Antivirus Gratuit.

Mettez à jour votre système d’exploitation

Les mises à jour de sécurité sont essentielles pour la sécurité de votre ordinateur. Les logiciels obsolètes vous exposent à tous les types de malwares, notamment les ransomwares comme WannaCry. Tenez toujours votre système d’exploitation et vos applications à jour et utilisez si possible les fonctionnalités de mise à jour automatique. Si ce n’est pas possible, installez les mises à jour dès qu’elles sont publiées.

Êtes-vous victime d’un ransomware ?

Si vous ne vous protégez pas des ransomwares en mettant à jour vos logiciels et en installant un outil anti-ransomwares fiable, alors oui, vous êtes une cible potentielle. Les ransomwares sont souvent conçus pour profiter des failles de sécurité dans les logiciels obsolètes ou les appareils dont la sécurité est défaillante.

Par exemple, WannaCry a exploité une vulnérabilité de Windows pour infecter plus de 200 000 utilisateurs et 10 000 entreprises, administrations et organisations partout dans le monde. Toute personne n’ayant pas installé le correctif de sécurité publié par Microsoft cette année-là était vulnérable.

Les utilisateurs de Windows XP ont été les plus touchés : Microsoft avait mis fin au support de cette version de Windows trois ans plus tôt et a seulement été contraint à publier un correctif bien après que l’attaque a gagné en gravité. Si vous utilisez encore Windows XP, nous vous conseillons fortement de mettre à jour votre système d’exploitation.

Alors que l’installation des mises à jour de sécurité est généralement rapide et simple pour les utilisateurs lambda, les grandes organisations sont nettement plus vulnérables. Elles possèdent souvent des logiciels maison sensibles et doivent déployer les correctifs sur un grand nombre d’appareils, ce qui rend le processus de mise à jour encore plus long et complexe.

Certaines organisations n’ont tout simplement pas les moyens financiers de payer de nouveaux logiciels. Les budgets des hôpitaux sont définis pour sauver des vies et non des ordinateurs, mais ces deux éléments peuvent se recouper lorsque les systèmes sont piratés et que le personnel hospitalier n’a plus accès aux dossiers des patients.

La cybercriminalité est le problème numéro un pour les sociétés travaillant avec des données sensibles, mais cela ne signifie pas que les particuliers sont en sécurité : vos photos de famille ou vos fichiers personnels ont tout autant de valeur aux yeux des pirates.

Comment les ransomwares infectent-ils votre PC ?

Les ransomwares peuvent s’infiltrer sur votre ordinateur par le biais de pièces jointes, de publicités ou de liens malveillants, de téléchargements furtifs et d’exploits de failles de sécurité. Une fois votre PC infecté, certaines souches de ransomwares peuvent se répandre via vos contacts et les infecter à leur tour, etc.

Les ransomwares se propagent rapidement et font beaucoup de dégâts. Voici comment ils pénètrent dans votre ordinateur :

• Ingénierie sociale : terme sophistiqué, l’ingénierie sociale désigne le fait de tromper quelqu’un pour qu’il télécharge un malware à partir d’une pièce jointe ou d’un lien frauduleux. Les fichiers malveillants se font souvent passer pour des documents ordinaires (confirmations de commande, reçus, factures, avis) qui semblent avoir été envoyés par une société ou un établissement fiable. Lorsque vous téléchargez l’un de ces fichiers sur votre ordinateur et que vous l’ouvrez, vous êtes infecté par le ransomware.

• Publicités malveillantes : les publicités malveillantes diffusent les ransomwares, les spywares, les virus et autres saletés via les annonces d’un réseau publicitaire. Les pirates vont même jusqu’à acheter des espaces publicitaires sur certains sites populaires (par exemple les réseaux sociaux ou YouTube) pour diffuser des ransomwares.

• Kits d’exploitation : les cybercriminels peuvent intégrer un code pré-écrit dans un outil de piratage prêt à l’emploi. Ces kits sont conçus pour exploiter les vulnérabilités et les failles de sécurité des logiciels obsolètes.

• Téléchargements furtifs : certains sites web malveillants profitent d’un navigateur ou d’une application obsolète pour télécharger discrètement un malware en arrière-plan pendant que vous consultez un site en apparence inoffensif ou que vous regardez une vidéo.

Fonctionnement des ransomwares

L’objectif du ransomware est de vous empêcher d’accéder à vos données. Une fois qu’il s’est infiltré dans votre ordinateur, il chiffre discrètement vos fichiers, puis exige une rançon en échange de l’accès aux données chiffrées. À ce stade, il est trop tard pour récupérer vos fichiers, car ils sont déjà chiffrés.

Comment se déroule une attaque de ransomware

Les attaques de ransomwares suivent des modèles bien définis. Tout d’abord, le malware doit pénétrer dans votre ordinateur. Ensuite, il commence à chiffrer vos données. Enfin, il se montre au grand jour et vous présente une demande de rançon.

Voici comment se produisent les attaques de ransomwares :

Étape 1 : infection de votre appareil

L’attaque de ransomware peut commencer par un e-mail a priori inoffensif, prétendument envoyé par une source légitime, vous demandant de télécharger une facture ou autre document important. Les pirates masquent souvent la véritable extension du fichier pour faire croire aux victimes qu’il s’agit d’un fichier PDF, .DOC ou d’un tableau Excel, alors qu’il s’agit en réalité d’un fichier exécutable qui commence à s’exécuter en arrière-plan quand vous cliquez dessus.

Étape 2 : chiffrement de vos données

Il ne se passe rien d'extraordinaire pendant un moment. Vous pouvez toujours accéder à vos fichiers et tout semble fonctionner normalement. Mais le malware contacte discrètement le serveur du pirate pour générer deux clés : une clé publique pour chiffrer vos fichiers et une clé privée, stockée sur le serveur du pirate, qui servira à les déchiffrer.

Une fois que le ransomware s’est frayé un chemin vers votre disque dur, vous n’avez plus beaucoup de temps pour sauver vos données. À partir de ce moment, vous n'avez plus rien à faire. Le ransomware s'exécute et commence à chiffrer vos fichiers, et se révèle lorsque le mal est fait.

Étape 3 : demande de rançon

Une demande de rançon s’affiche à l’écran et vous annonce la somme que vous devez payer et comment transférer l’argent. Lorsque le compte à rebours commence, vous avez en général quelques jours pour payer la rançon et le tarif augmente si vous ne respectez pas les délais.

Exemple de demande de rançon qu’envoie le ransomware CryptoLocker.

Vous ne pourrez pas ouvrir les fichiers chiffrés et si vous essayez de le faire, un message d’erreur s’affiche, indiquant que votre fichier ne peut pas être chargé, qu’il est corrompu ou qu’il n’est pas valide.

Comment supprimer les ransomwares ?

Il est plutôt facile de supprimer des ransomwares, sauf si votre PC est verrouillé. En fait, la technique équivaut à supprimer un virus ou tout autre type de malware courant. Mais le fait de supprimer le ransomware ne permet pas de déchiffrer vos fichiers.

La suppression d’un ransomware est similaire à l’élimination d’un autre programme malveillant : téléchargez un antivirus digne de confiance, lancez une analyse pour repérer le ransomware, puis mettez-le en quarantaine ou supprimez-le. (Même si cette opération est un peu plus délicate, vous pouvez aussi éliminer manuellement tous les types de malwares.)

Les choses se compliquent si votre PC est infecté par un bloqueur qui vous empêche d’accéder à Windows ou d’exécuter des programmes. Il y a trois possibilités pour éliminer l’infection par un bloqueur :

• Effectuer une restauration du système pour rétablir une copie de Windows à un moment où votre PC n’était pas infecté.

• Lancer un programme antivirus à partir d’un disque amorçable ou d’un lecteur externe.

• Réinstaller votre système d’exploitation.

Les outils antivirus fiables comme AVG Antivirus Gratuit peuvent non seulement éliminer les ransomwares et autres malwares dès qu’ils sont détectés sur votre système, mais aussi tout simplement empêcher ces infections de se produire.

Restauration du système sous Windows 10, 8.1 ou 8 :

1. Allumez votre PC et maintenez la touche Maj enfoncée pour accéder aux écrans de récupération (redémarrez si cette méthode ne fonctionne pas).

2. Sélectionnez Mode débogage.

3. Accédez à Options avancées.

4. Cliquez sur Restauration du système.

Restauration du système sous Windows 7 :

1. Allumez votre PC et appuyez sur F8 pour accéder au menu Options de démarrage avancées.

2. Sélectionnez Réparer votre ordinateur et appuyez sur Entrée.

3. Connectez-vous avec votre compte et votre mot de passe Windows (ou laissez ce champ vide si vous n’en avez pas).

4. Cliquez sur Restauration du système.

Comment récupérer vos fichiers

Si vous sauvegardez régulièrement vos données, vous n’avez pas besoin de vous soucier de la récupération après une attaque de ransomware. Supprimez simplement le ransomware et restaurez les fichiers à partir de vos sauvegardes.

Si vous n’avez pas fait de sauvegarde, il ne vous reste peut-être pas beaucoup de possibilités. Il est parfois possible de décoder le chiffrement 32 bits et 64 bits, vous avez donc peut-être une chance si c’est ce que les cybercriminels ont utilisé. Certains chercheurs en cybersécurité ont réussi à casser le code de certaines souches de ransomwares et à répliquer leurs clés de déchiffrement.

La prévention (à savoir l’utilisation d’un antivirus et la sauvegarde régulière de vos données) reste le meilleur moyen de vous protéger des attaques de ransomwares.

Nos outils gratuits de déchiffrement de ransomwares vous aideront à récupérer vos fichiers infectés par certaines souches de ransomwares, dont Apocalypse, BadBlock, Bart, Crypt888, Legion, SZFLocker ou encore TeslaCrypt.

Mais actuellement, de nombreuses souches de ransomwares, dont les célèbres WannaCry, Locky ou Cerber, utilisent un chiffrement à 128, voire 256 bits (et parfois une combinaison des deux). Ce niveau de chiffrement complexe est également utilisé par les serveurs, navigateurs et VPN pour protéger vos données, car il est hautement sécurisé.

Si vos fichiers sont infectés par une variante de ransomware qui utilise l’une de ces méthodes de chiffrement hautement sécurisé, la récupération est quasi impossible. C’est pourquoi la prévention, à savoir l’utilisation d’un antivirus et la sauvegarde régulière de vos données, reste le meilleur moyen de vous protéger des attaques de ransomwares.

Dois-je payer la rançon ?

Nous vous conseillons de ne pas payer la rançon. Souvenez-vous que vous avez affaire à des cybercriminels et que vous n’avez aucune garantie qu’ils vont tenir parole. Le fait de payer la rançon est pour les pirates le signe que les ransomwares sont rentables, les encourage à les utiliser et finance d’autres actions cybercriminelles.

Dans certains cas, il n’est pas possible de déchiffrer le ransomware. C’était le cas de Petya ; l’algorithme de chiffrement de ce ransomware était irréversible. Même si les spécialistes de la cybersécurité conseillent en général de ne pas payer la rançon, tout le monde n’en tient pas compte. Et comme certaines entreprises risquent de faire face à des frais de récupération encore plus élevés si elles ne paient pas la rançon, elles cèdent parfois.

En juin 2017, la société d’hébergement web sud-coréenne Nayana a payé 397,6 bitcoins (soit environ 1 million de dollars à l’époque) après une attaque par le ransomware Erebus. Il s’agissait alors de la rançon la plus élevée jamais payée.

Mais il n’a fallu que quatre ans pour qu’en juin 2021, la société d’agroalimentaire JBS paie l’équivalent de 11 millions de dollars américains en rançon. Le FBI avait alors désigné comme coupable le groupe de pirates russophone REvil, l’un des plus dangereux au monde.

Toujours en 2021, le célèbre groupe de pirates DarkSide lançait une attaque de ransomware contre la société Colonial Pipeline Co. qui gère un pipeline transportant près de la moitié du carburant utilisé sur la côte Est des États-Unis. Plutôt que de devoir s’attaquer au problème que poserait la reconstruction de ses systèmes, Colonial a choisi de payer une rançon de près de 5 millions de dollars.

Cette augmentation brutale de demandes de rançon indique que les pirates ne sont pas près de s’arrêter et que le danger que représentent les ransomwares est de plus en plus présent.

Évitez les ransomwares avec un logiciel de cybersécurité

Donc, dois-je payer la rançon ? Selon nous, non. Optez plutôt pour un bon antivirus avec une protection gratuite contre les ransomwares pour ne plus jamais avoir à vous inquiéter de devoir payer une rançon. AVG Antivirus Gratuit vous protège des ransomwares, des virus, du phishing et de tous les autres types de menaces numériques.