Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Cryptoware - Chiffrement des fichiers

Cryptoware - Classe de logiciels malveillants chiffrant de manière irréversible tous les fichiers utilisateurs et demandant une rançon pour fournir la clé de décryptage. Variante dure des ransomwares.

 - Cryptoware Cryptoware - 01   Cryptoware  - Cryptoware - Cryptoware - Chiffrement des fichiers et demande de rançon

Cryptoware est un terme de l'industrie informatique.

Cryptoware : ce néologisme est un mot-valise (et contraction) construit par la fusion du prefixe anglais « crypto » (caché, secret) et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

Les deux termes « Crypto-ransomware » et « Ransomcrypt » sont totalement synonymes et interchangeables et doivent être préférés à « cryptowares ».

Les cryptowares sont des logiciels de prise d'otage des données contenues dans un ordinateur sous une forme dramatique : les fichiers de l'utilisateur sont chiffrés (cryptés) puis l'attaquant demande qu'on lui paye une rançon pour délivrer une clé de déchiffrement.

Liste des crypto-ransomwares et des décrypteurs gratuits.

Les cryptowares constituent la pire attaque qui puisse compromettre un ordinateur, le pire cauchemar des utilisateurs (particuliers, entreprises, administrations, gouvernements, etc.).

Comme pour les ransomwares, les crypto-ransomwares sont relativement faciles à éradiquer lors de la décontamination d'un ordinateur. Mais ne perdez jamais de vue que les fichiers cryptés le sont de manière irréversible. L'éradication du crypto-ransomwares ne permet absolument pas de décrypter ses fichiers, qui restent chiffrés/cryptés, sauf dans de rares cas où un décrypteur gratuit a put être écrit.

En raison des niveaux de qualité/complexité des algorithmes de chiffrement à clés assymétriques, il n'y a aucun moyen de récupérer les fichiers cryptés, sauf à disposer de la clé de déchiffrement, donc payer le cybercriminel.

Les seuls cas où la récupération des données est rendue possible sont :

  • Le cybercriminel a mal fait son travail et des bugs ont put être exploités dans son crypto-ransomwares pour inverser le processus de chiffrement.
  • Les machines utilisées par le cybercriminel pour lancer son attaque doivent obligatoirement comporter des informations pour que le cybercriminel puisse fournir leurs clés de déchiffrement, qui sont différentes pour chaque victime, à ceux qui payent la rançon. Si la machine du cybercriminel (la machine C&C [Command and Control] servant à piloter le botnet utilisé pour lancer l'attaque) a pût être localisée et saisie (ou pénétrée par un chercheur en sécurité ou une organisation policière, etc.), les clés de déchiffrement des données des victimes sont récupérées. Par la mise en place d'un mécanisme d'essais (de type « force brute ») de toutes les clés de déchiffrement récupérées contre un échantillon crypté fourni par une victime du cryptoware (après identification du cryptoware), la clé de déchiffrement fonctionnelle est transmise à la victime avec un outil de déchiffrement.
  • Quelques décrypteurs gratuits ont put être développés contre certains cryptowares « faibles ». Une centaine de cryptowares sont ainsi vaincus gratuitement (contre des milliers de cryptowares dont on n'a pas trouvé de contre-mesure gratuite).

L'argent que rapportent les Ransomwares

En 2012, Symantec (Norton), en utilisant les données prélévées sur une machine cybercriminelle de C&C (Commande et contrôle (C2)) d’un Botnet (réseau de machines zombies) (voir : Zombification), a calculé que 5.700 ordinateurs étaient compromis en une journée. Symantec (Norton) a estimé qu’environ 2,9 % de ces utilisateurs compromis ont payé la rançon. Avec une rançon moyenne de 200 $, cela signifie que les cybercriminels pratiquant les Ransomwares encaissent, à partir d'une campagne de compromission avec un seul botnet, 33,600 $ par jour, soit 394.400 $ par mois. Ces estimations approximatives montrent combien les Ransomwares et Cryptowares peuvent être rentables pour les acteurs d’un Internet malveillant.

La première occurence de ce type d'attaques semble être celle du crypto-ransomware CryptoLocker, par observée par Dell SecureWorks, vers mi septembre 2013 (source).

Avant cette date, les Ransomwares, qui existent depuis des années, bloquaient l'accès à l'ordinateur, en bloquant l'écran avec un affichage de demande de rançon, sous divers prétextes (Police, Gendarmerie, etc. ... Nous avons trouvé des musiques, films, ... piratés... vous devez payer une amande...). Vous convaincre de payer avec des menaces de poursuites judiciaires, d'arrestation, etc. relève de l'ingénierie sociale. Ces attaques sont réversibles et il est, dans tous les cas, possible, voire aisé, de décontaminer l'ordinateur (mais il n'existe aucune solution contre la manipulation des esprits faibles par un esprit fort).

Les Cryptowares (« cryptovirus d'extorsion ») corrigent cette fragilité des Ransomwares en attaquant de manière agressive et irréversible.

Cryptowares : Ransomwares utilisant le chiffrement (la cryptographie) (« Cryptovirus d'extorsion ») :

Il n'y a aucune solution de réparation possible aux attaques pratiquées par les Ransomwares de type Cryptowares. Les Cryptowares utilisent le chiffrement (la cryptographie). Ces attaques chiffrent (cryptent) tous les fichiers utilisateur (à l'exception des fichiers Windows afin de permettre à la victime d'aller sur le Web pour payer une rançon) avec des algorithmes comme RSA 2048.

En l'état actuel des technologies, un chiffrement utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 3 à 30 jours, selon le cybercriminel, après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).

Les antivirus ou antimalwares ne détectent pas ce type d'attaques (quelques variantes sont cependant détectées et bloquées par Malwarebytes Anti-Malware (MBAM) dans sa version Premium) !

Si vous êtes infecté par un cryptoware, et que tous vos fichiers sont devenus illisibles tandis qu'un message vous informe qu'il faut payer une rançon, vous ne disposez que de trois alternatives :

  1. Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
  2. Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).
  3. Refuser de payer et perdre définitivement tous ses fichiers et toutes ses données.

Liste des crypto-ransomwares et des décrypteurs gratuits.

Ces termes sont synonymes :

Ces termes sont plus ou moins synonymes :

Cryptoware - Cryptoware