Présentation

Les ransomwares sont rapidement devenus les nouvelles terreurs du web du fait d'un fonctionnement particulièrement vicieux qui consiste à crypter les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés sur un même réseau, et à exiger une rançon, payée soit par Bitcoins soit par virements cash, pour permettre une hypothétique suppression du cryptage.

Modes de contamination

• Majoritairement par e-mail, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type pdf.
• Une fois exécutés, ils s’installent sur le disque dur hôte et peuvent aussi crypter les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS.
• Certains comme Cryptolocker ne seront opérationnels qu'une fois l'ordinateur rebooté
• Certains comme Cryptolocker se connecte au réseau sur un ordinateur pirate pour calculer les clés (publique et privée) de codage des fichiers sensibles.
• La clé publique est celle qui reste sur le PC contaminé. La clé privée est celle qui permet son débloquage et n'est accessible qu'une fois la rançon payée (enfin en théorie)

Fichiers ciblés

Selon Malwarebytes, les extensions de fichiers ciblés par Cryptolocker sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx. Ces extensions sont majoritairement celles de fichiers les plus usités par les professionnels à savoir :

• MS Office avec accdb, doc, docm, docx, xls, xlsb, xlsm, xlsx
• images avec : 3fr, ai, arw, jpe, jpg,

Prévention

• Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus.
• Attention au faux e-mail d'entreprises de routage (DHL, UPS, etc.) faisant était d'un document joint à ouvrir
• Faire des sauvegardes des fichiers systèmes et documents, y compris dossiers courriers, sur disque dur externe ou sur cloud.
• Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransomware ce qui peut interrompre son processus de cryptage
• Avoir un antivirus à jour est aussi une excellente précaution car la plupart d'entre eux détecte les ransomwares
• Créer une archive cryptée montable comme un disque dur et lui donner une extension exotique peut aussi permettre de sauvegarder provisoirement des fichiers sensibles (voir TrueCrypt)

Liens utiles - Français

• stopransomware.fr Stop Ransonware : un site consacré à la lutte contre les ransonwares

Liens utiles - Anglais

• blog.avast.com Can Avast! protect me against CryptoLocker?
• Malwarebyte Cryptolocker Ransomware: What You Need To Know

Article internes - Français

• Clubic - 09/01/14 PrisonLocker, un nouveau malware encore en développement qui inquiète déjà
• Zataz - 24/11/13 CryptoLocker : nouveau ransomware destructeur

Articles externes - Anglais

• TweakTown - 07/03/14 Study: Forty percent of those hit with Cryptolocker ransomware pay up
• readwrite.com - 07/01/14 It's bigger and meaner than Cryptolocker, but it still needs your permission to ruin your life.
• blog.kaspersky.com - 11/11/13 CryptoLocker is Bad News

Commentaires