Le monde des ordinateurs a toujours été un combat entre le bien et le mal. Tandis que les bonnes forces essaient de garder les craqueurs et les malwares à distance, les mauvaises forces arrivent toujours avec quelque chose d'évileur qu'auparavant, quelque chose de plus imparable et plus difficile à briser. Ransomware est un type spécial de malware, mais contrairement à d'autres malware qui agissent simplement comme des voleurs pour voler vos données, ou des virus qui suppriment vos données, ce malware est intelligent. Il agit comme un kidnappeur et maintient votre système kidnappé jusqu'à ce que vous payiez une rançon, de l'argent, pour libérer votre système.
Qu'est-ce que Ransomware?
Ransomware est une sorte de malware intelligent, mais contrairement aux autres malware qui corrompent, suppriment des fichiers ou commettent un autre comportement suspect, ce malware verrouille votre système, vos fichiers et vos applications, et vous demande de l'argent si vous souhaitez les récupérer. J'ai dit intelligent parce que ce malware aide directement l'attaquant à gagner de l'argent. D'autres types de programmes malveillants, tels que virus, chevaux de Troie, etc., corrompent simplement le système ou volent des données sensibles, mais apportent rarement un avantage monétaire à l'attaquant (à moins que le logiciel malveillant ne vole des informations sensibles comme des numéros de cartes de crédit, etc.).
L'origine du ransomware
Au début, les ransomwares étaient très populaires en Russie, infectant des milliers de systèmes informatiques et se propageant comme une traînée de poudre. Ces types de logiciels malveillants sont plus difficiles à détecter, car ils peuvent constituer de petits programmes inoffensifs associés à des logiciels librement disponibles sur les sites Web. La plupart d'entre eux peuvent entrer dans votre système par le biais de fichiers d'un système déjà infecté, de pièces jointes à un courrier électronique ou de logiciels malveillants déjà existants.
Une fois que le logiciel ransomware a trouvé son hôte, il commence à attaquer en bloquant l'accès des utilisateurs aux fichiers, dossiers, paramètres système ou applications. En essayant d'ouvrir ces fichiers et programmes, l'utilisateur reçoit le message qu'il a été bloqué et qu'il ne peut être ouvert que s'il accepte de payer un montant. Habituellement, il existe également un moyen de contacter les attaquants qui se trouvent peut-être dans une autre partie du monde et qui ont directement pris le contrôle de votre système.
Types de ransomware
Les ransomwares sont normalement classés en deux types: cryptage de ransomware et cryptage de ransomware.
Le cryptage des ransomwares consiste à crypter les fichiers, programmes, etc. de votre système et à demander une rançon pour les décrypter. Généralement, le chiffrement est effectué à l'aide d'un algorithme de hachage puissant qui peut prendre plusieurs milliers d'années à un PC de bureau normal. Ainsi, la seule façon pour l'utilisateur de récupérer ses fichiers est de donner le montant de la rançon et d'obtenir la clé de déverrouillage. C’est le ransomware le plus dangereux en raison de son mécanisme d’attaque.
Un autre type de logiciel de ransomware est le non-cryptage. Celui-ci ne crypte pas vos fichiers, mais en bloque l'accès et affiche des messages irritants lorsque vous essayez d'y accéder. C'est un ransomware moins dangereux et l'utilisateur peut facilement s'en débarrasser en sauvegardant des fichiers importants et en réinstallant le système d'exploitation.
Exemples d'attaques de ransomware
CryptoLocker est l’un des récents ransomwares ayant causé le plus de dégâts . Le cerveau derrière ce malware était un pirate russe appelé Evgeniy Bogache. Une fois injecté dans un système hôte, le logiciel malveillant analyse le disque dur de la victime, cible des extensions de fichier spécifiques et les chiffre. Il peut s'agir de fichiers ou de programmes importants dont l'utilisateur a réellement besoin, tels que des documents, des programmes ou des clés. Le chiffrement est effectué à l'aide d'une paire de clés RSA de 2 048 bits, la clé privée étant chargée sur le serveur de commande et de contrôle. Les programmes menacent alors l'utilisateur de supprimer la clé privée, sauf si un paiement sous forme de bitcoins est effectué dans les trois jours.
Une clé RSA 2048 est en effet une protection importante, et il faudra plusieurs milliers d’années à un PC de bureau normal pour casser la clé en utilisant la force brute. L'utilisateur, impuissant, accepte de payer le montant afin de récupérer les fichiers.
On estime que CryptoLocker Ransomware a généré au moins 3 millions de dollars avant sa fermeture.
Bien que ce soit beaucoup d’argent, un autre ransomware du nom de WinLock a été en mesure d’obtenir une rançon de 16 millions de dollars . Même s'il ne cryptait pas le système comme CryptoLocker, il limitait l'accès de l'utilisateur à l'application et affichait des images pornographiques. L’utilisateur a ensuite été contraint d’envoyer un SMS payant, moyennant environ 10 USD, pour obtenir un code permettant de déverrouiller le ransomware.
Toutes ces attaques avaient eu lieu en 2013.
Cependant, l’attaque la plus récente a été effectuée par une forme de ransomware mise à jour, appelée CryptoWall 2.0 . Selon un rapport du New York Times, cette ransomware a attaqué les ordinateurs de la même manière que CryptoLocker, et a attaqué des fichiers particulièrement importants dans le système de la victime, tels que des reçus fiscaux, des factures, etc. Le prix de la rançon a doublé après une semaine et, une semaine plus tard, la clé de déverrouillage a été supprimée.
Récemment, selon certains rapports, CryptoWall a été mis à jour vers la version 3.0 et, apparemment, il est devenu plus dangereux que jamais. Cette version de CryptoWall chiffre les fichiers de l'utilisateur à l'aide d'un système d'analyse intelligent, puis génère un lien unique pour l'utilisateur. Afin de préserver l'anonymat des attaquants et de rendre les agences gouvernementales plus difficiles à arrêter, ce logiciel de ransomware utilise non seulement Tor, mais aussi I2P, ce qui rend vraiment difficile leur traque.
Cela peut sembler ironique, mais CrytoWall dispose d’un très bon service client. Comme ils doivent conserver leur réputation pour obtenir de plus en plus d'argent, ils fournissent les clés de décryptage à l'utilisateur le plus rapidement possible, souvent quelques heures après le paiement de la rançon.
Un autre incident grave de ransomware s'est produit lorsqu'un élève autiste s'est pendu après avoir reçu un courrier électronique de ransomware.
Selon ce rapport, l'adolescent aurait reçu un faux courrier électronique de la part de la police, affirmant qu'il avait été surpris en train de naviguer sur des sites Web illégaux et devait payer une centaine de livres ou être poursuivi en justice. L'adolescent, paniqué et pendu, incapable de faire face à la tragédie.
Bien que ces types de courriels soient courants, il faut veiller à ne pas leur faire confiance, peu importe leur apparence officielle. Souvent, ils conduisent l'utilisateur vers des sites Web de phishing où l'attaquant s'empare des comptes bancaires de l'utilisateur et d'autres mots de passe importants. La règle générale est que les agences bancaires et les forces de l'ordre ne demanderont jamais de justificatifs d'identité privés ni de paiements via Internet. Donc, si vous recevez de tels courriels, il y a de fortes chances qu'ils soient des canulars. Vous pouvez toujours appeler en obtenant leur numéro officiel pour savoir s’ils vous ont bien donné cet avis.
Les ransomwares sont un bon choix pour les chapeaux noirs, car il est généralement possible de gagner beaucoup d’argent en créant de petits programmes qui verrouillent ou chiffrent votre système d’une manière ou d’une autre. Bien que principalement populaire sur la plate-forme Windows, certains autres systèmes d'exploitation, comme OS X, sont également affectés par les ransomwares, comme celui de juillet 2013 qui bloquait le navigateur de l'utilisateur et l'accusait de télécharger de la pornographie.
Plusieurs rapports suggèrent que les attaques par ransomware augmentent de jour en jour. Ils se propagent principalement par des spams, souvent sous forme de pièces jointes. Les utilisateurs d’Internet doivent faire très attention en naviguant sur des sites non officiels et en ouvrant de tels courriels.
Pourquoi est-il difficile d'attraper les pirates informatiques de Ransomware?
La plupart des logiciels ransomware proviennent de pays post-soviétiques comme la Russie. Bien que ces personnes exigent une rançon, le paiement se fait sous forme de bitcoins, une crypto-monnaie décentralisée connue pour son anonymat et ne laissant aucune trace. En outre, les pirates informatiques étant d'origine étrangère, il est diplomatiquement difficile de convaincre les gouvernements étrangers de prendre des mesures à leur sujet.
Comment pouvons-nous nous protéger contre Ransomware?
Comme le dit le vieil adage, mieux vaut prévenir que guérir. Alors, comment se protéger contre les ransomwares?
La solution la plus simple consiste à installer un antivirus ou un anti-malware dans son système et à le maintenir à jour en permanence. Bien que les antivirus gratuits soient assez bons, il ne faut pas hésiter à en acheter un pour une meilleure protection. En dehors de cela, veillez à ne pas télécharger de programmes suspects sur Internet. Lors du téléchargement de programmes, téléchargez toujours sur les sites officiels et non sur des sites tiers non fiables. Et rappelez-vous toujours, gardez une sauvegarde de tous les fichiers importants. Ainsi, vous pouvez le configurer et oublier les programmes de sauvegarde disponibles, il est vraiment facile et sans tracas d’avoir un programme de sauvegarde. Vous pouvez également télécharger ou synchroniser les fichiers sur Google Drive / Dropbox, etc., de manière à ce que vous disposiez non seulement d'une sauvegarde, mais également que vous puissiez accéder à ces fichiers où que vous soyez.
N'oubliez pas qu'un point dans le temps en économise neuf. Mieux vaut prévenir que guérir.
Comment supprimer les logiciels malveillants Ransomware?
Auparavant, le seul moyen de se débarrasser du cryptage des logiciels malveillants contre les ransomwares consistait soit à payer les pirates, soit à accepter que les fichiers avaient été perdus à jamais. Cependant, certains chercheurs en sécurité informatique ont mis au point des programmes permettant aux utilisateurs de déchiffrer les fichiers de leurs disques durs sans payer de rançon. Comme ce site Web, il permet aux utilisateurs de télécharger un fichier crypté non sensible sur leur site et de saisir une adresse électronique. Une fois le déchiffrement réussi, le site vous enverra par courrier électronique la clé privée ainsi que les instructions pour supprimer cryptolocker de votre disque dur.
Le programme a été développé par FireEye et FoxIT et a utilisé des méthodes d’ingénierie inverse pour casser CryptoLocker. Comme la règle suit, chaque chose chiffrée peut être déchiffrée, cela prend juste du temps. Il semble que les forces de l’informatique ne perdent pas pour autant.
