Présentation

Les ransonwares sont devenus les nouvelles terreurs du web du fait d'un fonctionnement particulièrement vicieux qui consiste à crypter les fichiers d'un utilisateur, voire de tous les utilisateurs raccordés à lui sur un réseau, et à exiger une rançon, payée soit par Bitcoin soit par virement cash, pour permettre une hypothétique suppression du cryptage.

Modes de contamination

Majoritairement par e-mail, via des pièces jointes qui sont des exécutables maquillés en autres fichiers généralement de type pdf. Une fois exécutés, ils s'intallent sur le disque dur hôte et crypte les fichiers sur l'ensemble des disques durs raccordés y compris les disques durs réseaux et les NAS. Certains ne seront opérationnels qu'une fois l'ordinateur rebooté et se connecteront à un serveur pirate pour récupérer une clé de codage unique.

= Fichiers ciblés

Selon Malwarebytes, les extensions de fichiers ciblés par Cryptolocker sont à ce jour : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx

Prévention

• Ne pas ouvrir de pdf joints de la part d'expéditeurs inconnus.
• Attention au faux e-mail d'entreprises de routage (DHL, UPS, etc.) faisant était d'un document joint à ouvrir
• Faire des sauvegardes des fichiers systèmes et documents, y compris dossiers courriers, sur disque dur externe ou sur cloud.
• Avoir un pare-feu permettra de bloquer tout demande d'accès au net de la part du ransonware ce qui peut interrompre son processus de cryptage
• Avoir un antivirus à jour est aussi une excellente précaution car la plupart détecte les ransonwares

Liens utiles - Anglais

• blog.avast.com Can Avast! protect me against CryptoLocker?
• Malwarebyte Cryptolocker Ransomware: What You Need To Know

Article internes - Français

• Clubic - 09/01/14 PrisonLocker, un nouveau malware encore en développement qui inquiète déjà
• Zataz - 24/11/13 CryptoLocker : nouveau ransomware destructeur

Articles externes - Anglais

• TweakTown - 07/03/14 Study: Forty percent of those hit with Cryptolocker ransomware pay up
• readwrite.com - 07/01/14 It's bigger and meaner than Cryptolocker, but it still needs your permission to ruin your life.
• blog.kaspersky.com - 11/11/13 CryptoLocker is Bad News

Commentaires