Crypto-ransomware - malveillances chiffrant de manière irréversible tous les fichiers utilisateurs et demandant une rançon pour fournir la clé de décryptage.
Sommaire (montrer / masquer)
|
---|
|
Crypto-ransomware est un terme de l'industrie informatique.
Crypto-ransomware : ce néologisme est un mot-valise (et contraction) construit par la fusion du prefixe anglais « crypto » (caché, secret) + « ransom » (pour « rançon ») et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».
Les deux termes « Crypto-ransomware » et « Ransomcrypt » sont totalement synonymes et interchangeables et doivent être préférés à « cryptowares ».
Les cryptowares sont des logiciels de prise d'otage des données contenues dans un ordinateur sous une forme dramatique : les fichiers de l'utilisateur sont chiffrés (cryptés) puis l'attaquant demande qu'on lui paye une rançon pour délivrer une clé de déchiffrement.
Voir la liste des cryptowares et des décrypteurs gratuits.
Les cryptowares constituent la pire attaque qui puisse compromettre un ordinateur, le pire cauchemar des utilisateurs (particuliers, entreprises, administrations, gouvernements, etc.).
Comme pour les ransomwares, les crypto-ransomwares sont relativement faciles à éradiquer lors de la décontamination d'un ordinateur. Mais ne perdez jamais de vue que les fichiers cryptés le sont de manière irréversible. L'éradication du crypto-ransomwares ne permet absolument pas de décrypter ses fichiers, qui restent chiffrés/cryptés, sauf dans de rares cas où un décrypteur gratuit a put être écrit.
En raison des niveaux de qualité/complexité des algorithmes de chiffrement à clés assymétriques, il n'y a aucun moyen de récupérer les fichiers cryptés, sauf à disposer de la clé de déchiffrement, donc payer le cybercriminel.
Les seuls cas où la récupération des données est rendue possible sont :
- Le cybercriminel a mal fait son travail et des bugs ont put être exploités dans son crypto-ransomwares pour inverser le processus de chiffrement.
- Les machines utilisées par le cybercriminel pour lancer son attaque doivent obligatoirement comporter des informations pour que le cybercriminel puisse fournir leurs clés de déchiffrement, qui sont différentes pour chaque victime, à ceux qui payent la rançon. Si la machine du cybercriminel (la machine C&C [Command and Control] servant à piloter le botnet utilisé pour lancer l'attaque) a pût être localisée et saisie (ou pénétrée par un chercheur en sécurité ou une organisation policière, etc.), les clés de déchiffrement des données des victimes sont récupérées. Par la mise en place d'un mécanisme d'essais (de type « force brute ») de toutes les clés de déchiffrement récupérées contre un échantillon crypté fourni par une victime du cryptoware (après identification du cryptoware), la clé de déchiffrement fonctionnelle est transmise à la victime avec un outil de déchiffrement.
- Quelques décrypteurs gratuits ont put être développés contre certains cryptowares « faibles ». Une centaine de cryptowares sont ainsi vaincus gratuitement (contre des milliers de cryptowares dont on n'a pas trouvé de contre-mesure gratuite).
L'argent que rapportent les Ransomwares
En 2012, Symantec (Norton), en utilisant les données prélévées sur une machine cybercriminelle de C&C (Commande et contrôle (C2)) d'un botnet (réseau de machines zombies) (voir : zombification), a calculé que 5.700 ordinateurs étaient compromis en une journée. Symantec (Norton) a estimé qu'environ 2,9 % de ces utilisateurs compromis ont payé la rançon. Avec une rançon moyenne de 200 $, cela signifie que les cybercriminels pratiquant les ransomwares encaissent, à partir d'une campagne de compromission avec un seul botnet, 33,600 $ par jour, soit 394.400 $ par mois. Ces estimations approximatives montrent combien les ransomwares et cryptowares peuvent être rentables pour les acteurs d'un Internet malveillant.
La première occurence de ce type d'attaques semble être celle du crypto-ransomware CryptoLocker, par observée par Dell SecureWorks, vers mi septembre 2013 (source).
Avant cette date, les ransomwares, qui existent depuis des années, bloquaient l'accès à l'ordinateur, en bloquant l'écran avec un affichage de demande de rançon, sous divers prétextes (Police, Gendarmerie, etc. ... Nous avons trouvé des musiques, films, ... piratés... vous devez payer une amande...). Vous convaincre de payer avec des menaces de poursuites judiciaires, d'arrestation, etc. relève de l'ingénierie sociale. Ces attaques sont réversibles et il est, dans tous les cas, possible, voire aisé, de décontaminer l'ordinateur (mais il n'existe aucune solution contre la manipulation des esprits faibles par un esprit fort).
Les cryptowares (« cryptovirus d'extorsion ») corrigent cette fragilité des ransomwares en attaquant de manière agressive et irréversible.
Cryptowares : Ransomwares utilisant le chiffrement (la cryptographie) (« Cryptovirus d'extorsion ») :
Il n'y a aucune solution de réparation possible aux attaques pratiquées par les ransomwares de type cryptowares. Les cryptowares utilisent le chiffrement (la cryptographie). Ces attaques chiffrent (cryptent) tous les fichiers utilisateur (à l'exception des fichiers Windows afin de permettre à la victime d'aller sur le Web pour payer une rançon) avec des algorithmes comme RSA 2048.
En l'état actuel des technologies, un chiffrement utilisant l'algorithme RSA 2048, est irréversible. Seule la clé de déchiffrement correspondante à la clé de chiffrement utilisée permet le déchiffrement, clé qu'il faut payer au cybercriminel (délais de 3 à 30 jours, selon le cybercriminel, après quoi la clé de déchiffrement est détruite et même le cybercriminel ne peut revenir en arrière).
Les antivirus ou antimalwares ne détectent pas ce type d'attaques (quelques variantes sont cependant détectées et bloquées par Malwarebytes Anti-Malware (MBAM) dans sa version Premium) !
Si vous êtes infecté par un cryptoware, et que tous vos fichiers sont devenus illisibles tandis qu'un message vous informe qu'il faut payer une rançon, vous ne disposez que de trois alternatives :
- Repartir des sauvegardes (encore faut-il en avoir fait), en comprenant bien que les points de restauration du système ne gèrent absolument pas les données utilisateurs (sauf à avoir paramétré le mécanisme automatique des " versions précédentes des fichiers ", et encore... il n'existe pas forcément de version précédente de chaque fichier).
- Payer le cybercriminel et faire le jeu de la cybercriminalité (et ne même pas être certain de recevoir la clé de déchiffrement).
- Refuser de payer et perdre définitivement tous ses fichiers et toutes ses données.
Liste des crypto-ransomwares et des décrypteurs gratuits.
Ces termes sont synonymes :
Ces termes sont plus ou moins synonymes :
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
Le terme le plus utilisé pour qualifier ces logiciels est « ransomware ». Certe il y a demande de rançon mais il y a aussi bien autre chose qu'une simple demande de rançon. Comme le terme ransomware ne sous-entend pas la notion de chiffrement (cryptage) des fichiers et que le terme de « cryptoware » ne sous-entend pas la notion de chiffrement (cryptage), plusieurs autres termes ou expressions sont utilisées :
- Crypto-ransomware (le meilleur, le plus explicite)
- Ransomcrypt
- Cryptovirus d'extorsion
- Virus de chiffrement des données
- Virus de chiffrement des fichiers
- File-encrypting viruses
- Data-encrypting viruses
- Ransomware de chiffrement des données
- Ransomware de chiffrement des fichiers
- File-encrypting ransomware
- Data-encrypting ransomware
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
Les ransomwares sont apparus longtemps avant les crypto-ransomwares. Les deux bloquent l'ordinateur et vous soumettent une demande de rançon pour vous permettre d'en retrouver l'usage.
- Les ransomwares sont relativement aisés à éradiquer. Ils bloquent l'ordinateur et affichent une demande de rançon sous un prétexte quelconque. Le prétexte bidon le plus utilisé est dans le style : « Gendarmerie : nous avons détecté des opérations illégales faites depuis cet ordinateur. Votre ordinateur est bloqué jusqu'à ce que vous payiez une amende de 300 €. Conditions de paiement ci-dessous. » D'ailleurs, un synonyme de ransomware est « Virus Gendarmerie ». Ce type de virus est facile à supprimer sans aucune séquelle et l'ordinateur est facile à redémarrer. Tous les bons antivirus temps réel (comportement on-access ou on-execution - par exemple Kaspersky ou Bitdefender) et les bons antimalwares temps réel (comportement on-access ou on-execution - par exemple Malwarebytes ou Emsisoft) les bloquent avant l'attaque et les éradiquent. Tous les forums d'entraide à la décontamination peuvent vous assister gracieusement.
Les crypto-ransomwares, c'est autre chose et c'est souvent irréversible et dramatique. Les crypto-ransomwares chiffrent (cryptent) tous vos fichiers utilisateur, locaux, sur supports amovibles, dans les supports du réseau local et même déportés dans un cloud (dès qu'il y a une lettre de lecteur, le crypto-ransomwares saute dessus) avec un ou plusieurs algorithmes de cryptographie dont il n'existe pas de solution pour les casser (RSA-2048, AES-256, RC4, etc.). Pour obtenir la clé de déchiffrement, il faut payer immédiatement (quelques heures à quelques jours) une rançon, dans une cryptomonaie comme le Bitcoin, qui augmente rapidement si certains délais ne sont pas respectés. À une échéance donnée (généralement 3 jours), la clé de déchiffrement est détruite et les fichiers sont définitivement perdus. Éradiquer le crypto-ransomwares en lui-même est aisé (d'ailleurs, certains s'autosuppriment complètement après chiffrement des fichiers), mais il est toujours trop tard. Lorsque le crypto-ransomwares est révélé, il a déjà fait son œuvre.
Heureusement, parfois, les cybercriminels font des erreurs (bugs) dans leurs crypto-ransomwares (il n'existe pas de programme sans erreur [error free] et il n'en n'existera jamais). Des chercheurs arrivent alors à trouver des failles de sécurité, pour la bonne cause, dans les crypto-ransomwares et comprendre comment la clé de déchiffrement est calculée. Ils produisent alors un outil gratuit de déchiffrement (faire payer l'outil de déchiffrement serait se mettre au même niveau de demande de rançon que les cybercriminels). Ce n'est pas toujours possible, mais ce dossier donne la liste de tous les outils de déchiffrement gratuits existants.
Aucun système d'exploitation n'est épargné par les ransomwares et les crypto-ransomwares. Tous les systèmes sont ciblés. Windows fut le premier parce qu'il est le plus répandu donc le plus susceptible de faire un grand nombre de victimes au travers de ses failles de sécurité comme au travers de l'incitation à ouvrir une pièce jointe piégée d'un e-mail, l'utilisation de l'ingénierie sociale et l'exploitation du virus PEBCAK. Depuis, les systèmes d'exploitation Linux, Apple OS X et Android en sont également victimes.
- Windows
Windows est la cible historique des crypto-ransomwares. - Android
Android se répand comme une traînée de poudre et peut être piraté pour vous imposer des ransomwares (par exemple la caméra et le micro de votre appareil sont ouverts à votre insu et vous piège dans une situation où vous serez menacé de publication si vous ne payez pas une rançon, etc.), mais les ransomwares ne sont pas des crypto-ransomwares. Or, sous vos terminaux Android (tablettes, smartphones...), il y a des fichiers de données (contacts, messages, carnets de notes, images et photos, vidéos, musiques et autres fichiers audio, agenda, enregistreur, etc.). Il existe déjà des crypto-ransomwares Android comme AnDROid ou Svpeng (utilisé actuellement (mai 2018) en ransomware simple, mais qui comporte un mécanisme de cryptographie). - OS X
OS X, d'Apple, est ciblé par les crypto-ransomwares (par exemple avec KeRanger ou Patcher). - Linux
Linux est ciblé par les crypto-ransomwares (par exemple avec KillDisk) - iOS
iOS, d'Apple, sur les smartphones iPhone et les tablettes iPad non jailbreakés, semble indemne (pour l'instant), tant que l'utilisateur charge ses applications depuis l'Apple Store (App Store) où un contrôle en amont semble efficace et empêche/bloque l'offre d'applications ne répondant pas aux mesures restrictives imposées par Apple. Les développeurs de ransomwares ou de crypto-ransomwares qui souhaitent profiter du petit écosystème des terminaux Apple jailbreakés, doivent d'abord obtenir un certificat de développeur d'Apple, puis développer leur application, la signer avec leur certificat, développer le moyen de la distribuer aux victimes potentielles, et enfin les convaincre de l'ouvrir/l'installer. Le problème pour ces cybercriminels, dans ce scénario, est que leur marge de manœuvre est très réduite et qu'Apple peut facilement mettre un terme à leurs opérations simplement en révoquant leur certificat. Pour les cybercriminels tentés par IOS jailbreaké, la cible est très réduite et les risques d'inhibition de leur ransomwares ou crypto-ransomwares très élevés, donc ils ont peu de perspectives d'extorsions. - Objets connectés (Internet of Things [IoT] ou Internet des objets [IdO] ou Connectivité des Choses [CdC])
Les objets connectés, aussi fragiles qu'ils soient et faciles à pénétrer et à en prendre le contrôle (caméras, réfrigérateurs, alarmes de sécurité, voitures, interphones, serrures, prises, détecteurs de fumée, luminaires, smartwatches, bracelets, capteurs d'activité, lunettes, casques, vêtements, bijoux, objets connectés de santé, balances, sondes météo, running, vélo, fitness, cordes à sauter, porte-clés, appareils photo, périphériques audio, drones, interrupteurs et boutons, GPS pour animaux, distributeurs de croquettes, etc.) ne comportent pas de fichiers utilisateur et ne sont pas concernés par les crypto-ransomwares, sauf s'ils servent de faille de sécurité et permettent de remonter à un ordinateur, derrière l'adresse IP de contact, pour y crypter les fichiers utilisateur. Actuellement (mai 2018), leurs prises de contrôle sert plutôt à lancer des attaques de type DDoS.
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
Comment se rendre compte de la présence d'un crypto-ransomware ? C'est très simple et toujours trop tard :
- Vous avez fait pénétrer le crypto-ransomware et l'avez activé (pour l'une des raisons évoquées dans le paragraphe « Comment me suis-je fait avoir ? »).
- Le crypto-ransomware a chiffré silencieusement et rapidement tous vos fichiers, ce dont vous ne vous rendez pas compte (sauf à chercher à ouvrir un fichier qui, par hazard, est déjà crypté. Le temps que vous cherchiez pourquoi le fichier n'est pas accessible, tous les autres fichiers sont cryptés).
- Le crypto-ransomware bloque votre ordinateur (ou votre terminal) et affiche en gros caractères ce qui s'est passé et ce que vous devez faire (comment payer la rançon).
Si vous n'arrivez pas à comprendre que c'est vous l'erreur, achetez et installez Malwarebytes - version Premium (en temps réel).
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
Le montant le plus courant tourne autour de 300 € (ramenés à une fraction d'une cryptomonaie, selon son cours de change au moment de l'attaque). On a vu un cryptoware ne demander que 30€. Les grandes entreprises et grandes organisations, lorsqu'elles sont ciblées spécifiquement, peuvent être rançonnées à coups de dizaines de milliers d'euros.
Le paiement doit se faire dans une cryptomonaie (généralement en Bitcoin, mais il en existe d'autres, de plus en plus nombreuses). Les cybercriminels utilisent ces cryptomanaies, car elles sont beaucoup plus sûres que les transactions bancaires « normales » (utilisation de la technologie des BlockChain) et ces transactions sont intraçables (on ne peut pas découvrir qui est le bénéficiaire).
Le cryptoware KillDisk, sous Linux, demande 222 bitcoins soit la somme délirante de 147.984,10 € ou 172.951,68 US$ au cours du Bitcoin du 23 mai 2018 (en plus, les fichiers ne seront jamais déchiffrés !)
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
- Payer la rançon ne garantit absolument pas que vous recevrez la clé de déchiffrement. D'après une étude de Kaspersky, 20% des victimes de crypto-ransomwares qui ont payé la rançon ne récupèrent jamais leurs fichiers. C'est de l'argent fichu par la fenêtre.
- Le pseudo crypto-ransomwares appelé Ranscam demande de payer une rançon pour obtenir une clé de déchiffrement alors qu'en réalité il a purement et simplement détruit tous les fichiers, sans aucun espoir de les récupérer. Cela fait penser aux attaques destructrices des script kiddies, au tout début de l'ère des virus traditionnels, auxquelles on ajoute une demande de rançon.
- Payer la rançon encourage les cybercriminels à poursuivre et accentuer les attaques par crypto-ransomwares. Payer la rançon consiste à participer à ce crime, même si vous êtes dans la peau de la victime.
20% des victimes de
ransomwares (
cryptowares) qui payent la rançon ne récupèrent jamais leurs fichiers ni l'usage de leur ordinateur
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
- Spam contenant une pièce jointe piégée. Dès que vous êtes convaincu (par ingénierie sociale) que la pièce jointe est importante à vos yeux (pseudo remboursement d'un trop-perçu, pseudo photo d'une personnalité nue, pseudo gain à une loterie, pseudo logiciel gratuit, etc.) et que vous l'ouvrez, l'attaque est installée et s'exécute silencieusement. Il s'agit de la faille de sécurité appelée PEBCAK.
- Failles de sécurité exploitées automatiquement (dans le système d'exploitation ou dans l'une des innombrables applications installées, dont tous les navigateurs Web). Vous devez impérativement :
- Maintenir à jour la totalité des composants logiciels, système, applications et drivers (pilotes), dont tous vos logiciels de sécurité (si vous ne savez pas faire ou craignez de ne pas y penser, préférez paramétrer des mises à jour automatiques partout).
- Laissez tous les filtres du Web (obligatoires) et votre pare-feu (obligatoire - sans pare-feu, vous avez 4 minutes pour survivre sur le Web) bloquer l'accès à tous les sites connus pour déployer des malveillances et tenter de piéger leurs visiteurs (sites aux apparences avenantes, mais développés par des cybercriminels ou sites totalement légitimes, mais hackés par des cybercriminels). Cela inclut l'usage de la base de données hpHosts de Malwarebytes Premium (temps réel).
- Publicités mensongères, pouvant vous convaincre (ingénierie sociale) de faire quelque chose qui se révélera dramatique. Bloquez la publicité.
- Publicités trompeuses pratiquant l'implantation directe (Drive-by download). Bloquez la publicité.
- Fichiers Torrent (piratage en P2P d'oeuvres soumises à droits d'auteurs). Si le tracker est public ou semi-privé, vous pouvez être assurés que les cybercriminels mettent en « partage » des ransomwares et des cryptowares, sous des apparences attractives.
- Usenet : la fréquentation de l'ancêtre des forums de discussion (les groupes de discussion « Usenet ») est l'assurance de se faire contaminer dans cet espace du Web où se trouve une grande partie du Dark WEB. Usenet est très dangereux. N'y allez jamais.
- Chaque fois que vous téléchargez du code exécutable (une application, un utilitaire, une extension [add-on ou plug-in], vous devez le faire exclusivement depuis le site de l'auteur du code, puis faire effectuer une analyse du code par un service comme VirusTotal AVANT d'ouvrir le fichier. Utilisez VT Hash Check - VirusTotal Hash Check pour vous faciliter la vie.
- Etc.
Lire : Comment je me fais avoir - comment un virus ou une malveillance pénètre mon ordinateur
Lire : Toujours voir (afficher) toutes les extensions de fichiers
Lire : Explorateur Windows - Options d'affichage des fichiers et dossiers
Aidez et soutenez Assiste – autorisez quelques publicités et cliquez dessus.
|
Tout ce qui est du code exécutable est potentiellement dangereux. Tout ce qui est du code interprété est potentiellement dangereux.
- Les formats d'images et photos sont interprétés et, si un cybercriminel découvre une faille de sécurité dans l'interpréteur, il va cacher dans une image du code qui va provoquer l'exploitation de la faille. N'ouvrez jamais une photo en pièce jointe d'un e-mail !
- Toutes les images animées utilisées en économiseur d'écran (les fichiers dont l'extension est .SCR) sont des programmes exécutables et sont un des véhicules privilégiés des attaques.
- Tous les scripts VBScript - Visual Basic Script (Visual Basic) ou, un peu moins, JavaScript (extensions .vbs ou .js) sont du code interprété (exécuté) qui peut transporter un piège.
- ActiveX, de Microsoft, est une technologie génératrice de failles de sécurité en flux continu. Elle doit être totalement interdite (bloquée). À partir de Windows 10 et du navigateur Web Edge, Microsoft a fini par totalement abandonner cette technologie, mais elle peut encore être utilisée avec toutes les versions précédentes de Windows et toutes les versions d'Internet Explorer.
- Tous les fichiers que peuvent générer tous les logiciels de bureautique, seuls ou en suites comme le Pack Office Microsoft, Open Office, Apache Office, etc. (logiciels tableurs, logiciels de traitements de texte, logiciels de présentation, logiciels de gestion de bases de données, etc.), peuvent contenir des macro-commandes qui sont du code exécutable (généralement en Visual Basic, déjà évoqué comme un risque ci-dessus) pouvant transporter une attaque. Si, à l'ouverture de l'un de ces documents, il vous est demandé d'autoriser ou non l'exécution de macros, c'est que le document en contient. Soyez prudent, voire paranoïaque, car une attaque en cryptoware ne pardonne pas.
Voir la liste des types de fichiers pouvant présenter un risque et les contre-mesures.
- Maintenir totalement à jour son ordinateur. La moindre faille de sécurité dont le correctif n'est pas appliqué sera exploitée. Le moindre retard à la mise à jour de l'antivirus, de l'antimalware et du système d'exploitation est une faute.
- Toujours disposer d'un antivirus ou d'une suite de sécurité, à jour, extrêmement solide et réputé. Kaspersky ou Bitdefender sont de bons choix.
- Toujours disposer d'un antimalware, à jour, extrêmement solide et réputé. Malwarebytes est un bon choix. Cela vous coûtera infiniment moins cher que le paiement d'une rançon et vous protégera en temps réel contre toutes les malveillances.
- Résistez à l'ingénierie sociale qui arrive à vous convaincre d'ouvrir un fichier ou d'ouvrir une pièce jointe d'un e-mail ou installer une fausse mise à jour d'une technologie, etc. N'ouvrez jamais une pièce jointe dans un e-mail, sauf à savoir parfaitement ce que c'est (le fait qu'elle vienne d'un expéditeur connu n'a aucune valeur de confiance). Il n'existe pas et n'existera jamais de contre-mesure contre le problème PEBCAK.
- Procédure préventive : Préparer son ordinateur dès le jour de son achat, avant même de se connecter à l'Internet. L'installation et l'activation d'un antivirus et d'un pare-feu sont une opération impérative avant la première connexion (sans pare-feu, vous avez 4 minutes pour survivre).
- Alors que votre ordinateur est sain, toujours faire des sauvegardes de vos fichiers sur un support externe (disque dur externe) et un duplicata de ce disque de sauvegarde (une seconde sauvegarde). Ces deux disques doivent être conservés ailleurs, non branchés, y compris pour des raisons de risque de vols, cambriolages, responsabilité face à la reconstruction des données si vous avez souscrit une assurance en ce sens, etc. Vous pouvez faire ces sauvegardes par copie intégrale de vos répertoires personnels, chaque jour, ou en utilisant un logiciel de sauvegardes différentielles ou incrémentielles, comme Cobian Backup (gratuit).
- Ne jamais brancher une sauvegarde tant que l'ordinateur n'est pas totalement désinfecté sinon la sauvegarde sera immédiatement chiffrée/cryptée elle aussi et perdue.
- À partir de Windows Vista, le Contrôle de compte utilisateur (UAC ( User Account Control )) doit obligatoirement être mis en place. Dans les versions précédentes de Windows (Windows XP), utilisez obligatoirement DropMyRights (DMR) et lisez le Principe de moindre privilège.
- Ne jamais travailler sous un compte administratif (Principe de moindre privilège). N'offrez pas à un cybercriminel de disposer des droits les plus élevés. Depuis Windows Vista, même si vous êtes administrateur du système, vous ne bénéficiez jamais des privilèges d'administration pour votre travail normal, sauf à demander explicitement une élévation de privilèges.
- Toujours obliger l'explorateur de Windows à afficher toutes les extensions de fichier au lieu de les masquer : Explorateur Windows - Options d'affichage des fichiers et dossiers.
- Désactiver l'exécution des scripts par les navigateurs Web, c'est la porte ouverte privilégiée qu'utilisent les cybercriminels (vidéo sur les cybercriminels). Le plus puissant et intelligent outil est NoScript, fonctionnant sous le principe le plus sécuritaire qui soit (principe de la « liste blanche » (tous les scripts sont bloqués sauf…)), mais :
- Pour Firefox uniquement (le meilleur, du plus convivial, du plus protecteur de nos vies privées et du plus rapide des navigateurs Web existants).
- NoScript n'est pas forcément pour tout le monde (il faut un peu s'intéresser à, et comprendre, certaines notions sur l'interactivité et le dynamisme des pages Web afin d'intelligemment bloquer ou mettre en liste blanche des sites Web entiers, des pages Web individuelles ou des scripts individuels).
- Les scripts étant un des principaux vecteurs d'attaques en tous genres, faire du bloc-notes de Windows (le programme Notepad) l'application par défaut pour l'ouverture des fichiers contenant des scripts (les fichiers .VBS et .JS). Les ouvrir sera anodin : ils seront ouverts sous forme de bêtes textes au lieu d'être exécutés.
- Etc.
Lire : Les 10 commandements de la sécurité sur l'Internet (sur le Web)
Ayez bien conscience que l'élimination du cryptoware (crypto-ransomware) ne déchiffre (décrypte) pas vos fichiers.
Ne téléchargez aucun outil qui se prétendrait décrypteur d'un cryptoware (ou autres anti-cryptowares/anti-ransomwares) s'il ne provient pas d'un site officiel donné dans ce dossier : liste des décrypteurs
Si votre ordinateur est bloqué avec demande de paiement, mais que vos fichiers ne sont pas chiffrés/cryptés, vous n'avez pas à faire à un cryptoware, mais à un simple ransomware formel (non cryptoware). Utilisez WindowsUnlocker (gratuit, de Kaspersky) qui supprimera le mécanisme de verrouillage (des clefs dans le Registre Windows) pour vous permettre de démarrer normalement sous votre Windows, puis procédez à la décontamination de votre ordinateur (avec l'aide éventuelle d'assistants sur un forum de décontamination). WindowsUnlocker peut également procéder à la décontamination.
Il existe quelques outils gratuits de déchiffrement (décryptage sans payer la rançon). Voir la liste des décrypteurs.
Les ransomwares de type cryptoware, contrairement aux ransomwares formels (non cryptoware), vous permettent d'utiliser votre ordinateur, ne serait-ce que pour pouvoir aller sur le Web faire les démarches nécessaires pour acheter de la cryptomonaie et payer la rançon. Quant au cryptoware, toujours présent dans votre ordinateur, il a fini son travail de chiffrement de tous vos fichiers. Vous pouvez et devez l'éradiquer avec votre antivirus. Le cybercriminel s'en moque et ne s'y oppose généralement pas - pour lui, vos fichiers sont cryptés et désormais indéchiffrables sans payer la rançon. Mais de branchez surtout pas vos disques de sauvegarde tant que votre machine n'est pas décontaminée. Il existe des antivirus gratuits comme Kaspersky Free, AVG Free, Bitdefender Free, Malwarebytes Free, etc.
Après décontamination, restaurez, si possible, vos fichiers :
- À partir de vos sauvegardes (car, bien sûr, vous avez des sauvegardes !)
- En utilisant un décrypteur gratuit, lorsqu'il existe, contre le cryptoware qui vous a attaqué. Ne jamais télécharger quoi que ce soit depuis un autre site que le site officiel indiqué par assiste.com, sinon vous avez de fortes chances de récolter un autre virus.
- En payant la rançon, mais vous êtes vivement encouragés à ne jamais payer de rançon : Payer ou ne pas payer la rançon là est la question
Les cybercriminels sont d'excellents informaticiens. Si vous avez été infecté par un cryptoware après la mise au point d'un décrypteur gratuit contre lui, il est fort probable que le cybercriminel a corrigé/modifié son cryptoware et que vous soyez victime d'une nouvelle variante. Il faut alors croiser les doigts et espérer qu'un nouveau décrypteur gratuit prenne en charge la nouvelle variante. En attendant, faites une copie de vos fichiers cryptés et mettez cette copie de côté.
Vous ne pouvez pas vous rendre compte qu'un cryptoware est en train de chiffrer/crypter vos fichiers. Il vous le dira lorsqu'il aura fini son œuvre destructrice.
Si, par hasard, vous vous en rendez compte :
- Coupez le courant immédiatement (arrachez la prise ou appuyez 8 secondes sur le bouton mécanique d'allumage de l'ordinateur).
- Démonter le ou les disque(s) dur(s) contaminé(s).
- l'insérer (le monter dans un boîtier externe, type USB) dans un autre ordinateur, parfaitement sain. Si le disque dur contaminé est de type « disque système » (disque de démarrage), s'assurer que le BIOS de l'ordinateur ne cherche pas à démarrer depuis autre chose que son disque interne (c:).
- Vous servir de l'antivirus et de l'antimalware de cet ordinateur pour désinfecter le disque externe contaminé.
- Cherchez à identifier le cryptoware utilisé.
- Cherchez dans la liste des cryptowares si un décrypteur gratuit existe et utilisez-le.
Oui et non.
Vous faites des sauvegardes (c'est obligatoire) :
Tant que ces sauvegardes sont conservées en ligne (disque de sauvegardes monté/branché, même sur une autre machine du réseau local), un cryptoware chiffrera/cryptera immédiatement toutes vos sauvegardes en même temps que vos originaux.
Les conseils donnés un peu partout avec shadow copy (historique des fichiers par Windows), consistent à le paramétrer pour qu'il fasse des sauvegardes toutes les heures, autrement dit, pour que l'unité de sauvegarde soit conservée en ligne (branchée) en permanence. Contre les crypto-ransomwares, ceci consiste à choisir le suicide comme solution de tranquillité ! C'est une solution définitive, certes, mais ce n'est sans doute pas LA solution !
- Ne laissez pas votre ordinateur faire ses sauvegardes automatiquement en laissant en permanence le disque de sauvegarde monté/branché. Surveillez vos sauvegardes et, dès qu'elles sont terminées, éjectez logiquement le périphérique puis déconnectez-le.
- Ayez 4 disques durs externes de sauvegardes, conservés hors ligne, sur un principe comme celui-ci :
- Un pour les jours pairs
- Un pour les jours impairs
- Un pour la sauvegarde intégrale de la semaine passée
- Un pour la sauvegarde intégrale du mois passé
- Après une attaque par un cryptoware, ne branchez pas vos sauvegardes pour tenter de récupérer vos fichiers tant que la machine n'est pas totalement décontaminée, sinon le cryptoware chiffrera/cryptera immédiatement toutes vos sauvegardes.