31.05.2018 - Révision 07.04.2020 - Révision mineure 17.09.2020. Auteur : Pierre Pinard.
Dossier (collection) : Cryptowares (ransomwares, crypto-ransomwares) |
---|
Introduction Liste Ransomware (article encyclopédique) Cryptoware (article encyclopédique) Plan du site Malwarebytes et Kaspersky recommandés Amazon |
Sommaire (montrer / masquer) |
---|
LockCrypt est un crypto-ransomware, une forme particulière de ransomware agissant en cryptoware en chiffrant/cryptant tous vos fichiers (sauf les fichiers de Windows afin de vous permettre de démarer l'ordinateur et de payer la rançon demandée).
Lorsque vous cherchez LockCrypt sur le Web, vous trouvez des milliers de propositions, commerciales évidemment, pour acheter, très cher, un truc douteux et inconnu qui prétend supprimer LockCrypt, sans jamais dire que :
Cela ne sert strictement à rien : vos fichiers cryptés restent cryptés.
Le crypto-ransomware s'est souvent déjà auto-détruit après son ravage et ses algorithmes et autres traces n'existent plus sur l'appareil contaminé.
Si vous disposez de sauvegardes, NE LES BRANCHEZ PAS tant que le « crypto-ransomware LockCrypt » est présent sinon il va se précipiter dessus et les crypter à leur tour.
Ne comptez pas sur les copies de sécurité faites par Windows (les « sauvegardes des versions précédentes des fichiers »), si vous les avez paramétrées, car les crypto-ransomwares les détruisent.
Certains fichiers d'informations du « crypto-ransomware LockCrypt » ne doivent pas être détruits, car ils contiennent des données qui sont absolument nécessaires pour décrypter les fichiers
Certains cybercriminels craignent que leur code ne soit échantillonné rapidement et :
analysé par les anti-malwares qui vont se mettre à détecter la malveillance et la bloquer en temps réel alors que le cybercriminel compte poursuivre le déploiement de son attaque au moins quelques jours.
analysé par des chercheurs en sécurité qui pourraient, avec une ingénierie inverse (Reverse engineering), trouver un moyen de décrypter (gratuitement) les fichiers des victimes.
Ils font tout pour retarder de quelques heures à quelques jours l'analyse de leur code. La solution, lorsqu'elle est choisie, est simple : le « crypto-ransomware » s'auto-détruit afin de ne laisser aucune trace (sauf les clés, cryptées et indécryptables, nécessaires au déchiffrement si la victime paye la rançon.)
Pour décontaminer votre ordinateur, utilisez l'un ou l'autre de ces deux outils :
Hors de ces deux logiciels recommandés, et celles des antivirus ayant pignon sur rue (toujours utiliser leur site officiel), attention à toutes les autres offres qui sont des virus ou des cybercriminalités !
Les noms des crypto-ransomwares sont donnés soit en trouvant un nom dans le code, donc un nom donné par le cybercriminel lui-même à son programme, soit en utilisant les noms des extensions de fichiers ajoutées ou les noms des adresses de contact. Comme chaque crypto-ransomwares connaît de nombreuses variantes durant sa courte existence, il peut être connu sous de nombreux noms.
Windows
.lockcrypt
Recherches avec les moteurs de recherche protégeant la vie privée (et Google pour comparaison).
Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel (« On-access » ou, mieux, « On-execution »).
Malwarebytes Premium (ou Endpoint) fait les 2 :
Le terme le plus utilisé est ransomware. Certes, il y a demande de rançon, mais, avec LockCrypt, il y a aussi bien autre chose : il y a chiffrement/cryptage des fichiers de données de l'utilisateur/la victime.
Des termes ou expressions divers, plus précis et explicites que ransomware, sont utilisés/utilisables :
Les ransomwares sont apparus longtemps avant les crypto-ransomwares. Les deux bloquent l'ordinateur et vous soumettent une demande de rançon pour vous permettre d'en retrouver l'usage.
Les crypto-ransomwares, c'est autre chose et le chiffrement des données est souvent incassable et dramatique. Les crypto-ransomwares chiffrent (cryptent) tous vos fichiers utilisateur, locaux, sur supports amovibles, dans les supports du réseau local et même déportés dans un cloud.
Chiffrement des fichiers réseau :
Les crypto-ransomwares chiffreront les fichiers de données sur les partages réseau uniquement si ces partages réseau sont mappés en tant que lettre de lecteur sur l'ordinateur infecté. S'ils ne sont pas mappés, les crypto-ransomwares ne chiffreront aucun fichier sur un partage réseau.
Il est fortement recommandé de sécuriser tous les partages ouverts en n’autorisant leur accès en écriture qu’uniquement aux « groupes d'utilisateurs » ou aux « utilisateurs » nécessitant ces accès et authentifiés. C'est un principe de sécurité fondamental.
Le chiffrement est effectué avec un ou plusieurs algorithmes de cryptographie dont il n'existe pas de solution pour les casser (RSA-2048, AES-256, RC4, etc.).
La clé de déchiffrement est chiffrée avec RSA-2048.
Pour obtenir la clé de déchiffrement, il faut payer immédiatement (quelques heures à quelques jours) une rançon (dans une cryptomonnaie comme le Bitcoin), qui augmente rapidement si certains délais ne sont pas respectés. À une échéance donnée (généralement 3 jours), la clé de déchiffrement est détruite et les fichiers sont définitivement perdus. Éradiquer le crypto-ransomware en lui-même est aisé (d'ailleurs, certains s'autosuppriment complètement après chiffrement des fichiers), mais il est toujours trop tard. Lorsque le crypto-ransomwares est révélé, il a déjà fait son œuvre.
Heureusement, parfois, les cybercriminels font des erreurs (bugs) dans leurs crypto-ransomwares (il n'existe pas de programme sans erreur [error free] et il n'en existera jamais). Des chercheurs arrivent alors à trouver des failles de sécurité, pour la bonne cause, dans les crypto-ransomwares et comprendre comment la clé de déchiffrement est calculée. Ils produisent alors un outil gratuit de déchiffrement (faire payer l'outil de déchiffrement serait se mettre au même niveau de demande de rançon que les cybercriminels). Ce n'est pas toujours possible, mais ce dossier donne la liste de tous les outils de déchiffrement gratuits existants.
Aucun système d'exploitation n'est épargné par les ransomwares et les crypto-ransomwares. Tous sont ciblés. Windows fut le premier parce que le plus répandu donc le plus susceptible de faire un grand nombre de victimes.
Comment se rendre compte de la présence d'un crypto-ransomware ? C'est très simple et toujours trop tard :
Si vous n'arrivez pas à comprendre que c'est vous l'erreur, achetez et installez Malwarebytes - version Premium (en temps réel).
Le montant le plus courant tourne autour de 300 € (ramenés à une fraction d'une cryptomonaie, selon son cours de change au moment de l'attaque). On a vu un cryptoware ne demander que 30€. Les grandes entreprises et grandes organisations, lorsqu'elles sont ciblées spécifiquement, peuvent être rançonnées à coups de dizaines de milliers d’euros.
Le paiement doit se faire dans une cryptomonaie (en Bitcoin, mais il en existe d'autres). Les transactions en cryptomanaie sont beaucoup plus sûres que les transactions bancaires « normales » (BlockChain) et sont intraçables (on ne peut pas découvrir qui est le bénéficiaire).
Le cybercriminel exige, pour preuve du paiement, de voir plusieurs BlockChain traçant, de manière incorruptible, votre paiement de la rançon.
Le cryptoware KillDisk, sous Linux, demande 222 bitcoins soit la somme délirante de 147.984,10 € ou 172.951,68 US$ au cours du Bitcoin du 23 mai 2018 (en plus, les fichiers ne seront jamais déchiffrés/déchiffrables !)
Ne payez la rançon que si vous n’avez absolument pas le choix (aucune sauvegarde, aucune perspective de déchiffrement gratuit dans un avenir compatible avec vos obligations, etc.). Une fois le paiement effectué et vérifié par le cybercriminel, vous entrez dans le cycle de déchiffrement qui peut être extrêmement long.
Tourjours être très prudent, voire totalement craintif, lors de l'ouverture d'un fichier, quelle que soit son origine :
« Nous avons été touchés par Al-Namrood 2.0 en décembre.
Tout aurait bien fonctionné si nous avions une structure de sauvegarde appropriée ... ou même si le type qui nous installe une structure de sauvegarde n'avait pas exécuté un décrypteur défectueux après avoir payé la rançon sans faire d'abord une bonne sauvegarde de l'état du système.
Puis il a reformaté les disques et réinstallé le système d'exploitation et a alors essayé de nous convaincre que nous avions besoin d'un système de reprise après sinistre de 10 000 $.
Apparemment, ce type fournit ces services depuis plus de 15 ans. »
Tout ce qui est du code exécutable est potentiellement dangereux, soit directement, soit par exploitation d'une faille de sécurité.
Il existe des inventaires constament à jour de faille de sécurité pas encore corrigées (inventaires publics et gratuits utilisés par les directeurs de la sécurité des systèmes d'information comme par les cybercriminels).
Il existe des listes de failles inconnues, sur le Web caché (Dark Web) où les cybercriminels peuvent « acheter » une faille et son mode d'emploi.
Il ne s'agit pas de décontaminer votre ordinateur après contamination avec un outil faisant une analyse en temps différé (à la demande (« On-demand »)), mais d'empêcher sa contamination, en amont, avec un outil fonctionnant en temps réel.
Malwarebytes Premium (ou Malwarebytes Endpoint en entreprise) pratique le mode temps réel « On-execution » et sait être utilisé en mode à la demande (« On-demand ») pour lancer des analyses périodiques.
Lire : Les 10 commandements de la sécurité sur l'Internet (sur le Web)
En cas d'attaque par un cryptoware (crypto-ransomware), ayez bien conscience que l'élimination du cryptoware (crypto-ransomware) ne décryptera pas vos fichiers qui resteront cryptés.
Il existe quelques rares outils gratuits de décryptage. Voir la liste des décrypteurs.
Les cryptowares, contrairement aux ransomwares, vous permettent d'utiliser votre ordinateur, ne serait-ce que pour pouvoir aller sur le Web faire les démarches nécessaires pour acheter de la cryptomonaie et payer la rançon. Quant au cryptoware, toujours présent dans votre ordinateur, il a fini son travail de chiffrement de tous vos fichiers. Vous pouvez et devez l'éradiquer avec votre antimalware (Malwarebytes Free recommandé). Le cybercriminel s'en moque et ne s'y oppose généralement pas (voire a déjà auto-détruit son cryptoware afin qu'il ne soit pas échantillonné dans les antimalwares). Pour lui, vos fichiers sont cryptés et désormais indéchiffrables sans payer la rançon. Mais de branchez surtout pas vos disques de sauvegarde tant que votre machine n'est pas décontaminée. Il existe des antivirus gratuits comme Kaspersky Free, AVG Free, Bitdefender Free, Malwarebytes Free, etc.
Après décontamination, restaurez, si possible, vos fichiers :
Ne répondez jamais aux offres d'assistance de sociétés ou individus qui prétendent décrypter vos fichiers. Il s'agit d'escrocs qui vont acheter la clé de déchiffrement auprès du cybercriminel et vous la revendre 100 ou 1000 fois plus cher.
Les cybercriminels sont d'excellents informaticiens. Si vous avez été infecté par un cryptoware après la mise au point d'un décrypteur gratuit contre lui, il est fort probable que le cybercriminel a corrigé/modifié son cryptoware et que vous soyez victime d'une nouvelle variante. Il faut alors croiser les doigts et espérer qu'un nouveau décrypteur gratuit prenne en charge la nouvelle variante. En attendant, faites une copie de vos fichiers cryptés et mettez cette copie de côté.
Vous ne pouvez pas vous rendre compte qu'un cryptoware est en train de chiffrer/crypter vos fichiers (sauf par hasard). Vous le saurez lorsqu'il aura fini son œuvre destructrice.
Si, par hasard, vous vous en rendez compte, et UNIQUEMENT SI VOUS AVEZ DES SAUVEGARDES À JOUR :
Ne jamais tenir compte des pseudo tests comparatifs d'antivirus et antimalwares faits par les sites et revues informatiques. Il n'existe que 3 ou 4 laboratoires crédibles de tests et comparatifs. Ils produisent des résultats comparatifs réguliers, en particulier en les confrontant à la WildList. Choisissez un antivirus (une suite de sécurité) et un antimalware parmi ceux qui se maintiennent en tête de comparatifs de manière constante depuis des années (ne jamais tenir compte d'un outil qui fait un coup, une fois, hors une longue continuité).
Vous devez toujours disposer de deux outils en version complète (commerciale) en temps réel (on-access ou on-execution):
Aucun antivirus ni aucun antimalware n’est efficace à 100%.
Il faut quelques heures aux antivirus et antimalwares pour identifier un nouveau malware, extraire ses « signatures » (recherche de motifs (patterns)) et mettre à jour les bases de signatures. Entre temps, les analyses heuristiques et comportementales (en machines virtuelles) peuvent détecter et bloquer un code douteux (bien que les malwares les plus avancés détectent l'utilisation d'une machines virtuelle assez simplement [chemins d'accès inhabituels] et cachent immédiatement leur comportement malsain pour ne pas être détectés).
Si vous avez un doute sur un fichier, faites-le analyser gratuitement et instantanément par plus de 60 antivirus simultanés avec VirusTotal. Aidez-vous de VT Hash Check et VTZilla.
Oui et non.
Vous faites des sauvegardes (c'est obligatoire) :
Tant que ces sauvegardes sont conservées en ligne (disque branché), même sur une autre machine du réseau local, un cryptoware chiffrera immédiatement toutes vos sauvegardes en même temps que vos originaux.
Les conseils d'utilisation de shadow copy, consistent à le paramétrer pour qu'il fasse des sauvegardes toutes les heures, autrement dit, pour que l'unité de sauvegarde soit conservée en ligne en permanence. Contre les crypto-ransomwares, ceci consiste à choisir le suicide comme solution de tranquillité ! C'est une solution définitive, certes, mais ce n'est sans doute pas LA solution !
Si vous avez identifié ce crypto-ransomware (en utilisant le service id-ransomware ou en déduisant son nom probable à partir de l’extension de fichiers utilisée), et si vous lancez une recherche sur le Web, vous allez trouver, en premier, des dizaines de milliers de sites aux noms se ressemblant et proposant de le supprimer.
Tous ces sites sont des sites satellites d’une dizaine d’antimalwares sans envergure, voire purement crapuleux, utilisant une technique de SEO (Search Engine Optimization) de type Spamdexing.
Voilà, ils occupent le terrain et, comme ils sont « populaires » (au sens du PageRank des moteurs de recherche), ils occupent les 80.000 premières places dans les réponses des moteurs de recherche.
Le téléchargement de leur truc, en version bridée évidemment, va permettre de lancer une analyse qui va trouver le malware (probablement en utilisant des signatures volées à de vrais outils anti-malwares de confiance).
Mais, pour décontaminer l’appareil, c’est une autre histoire. Il faut passer à la caisse et acheter/payer la version complète de l’un de ces outils sans envergure, voire crapuleux. De l’argent foutu en l’air.
Le crypto-ransomware a écrit un fichier de consignes dans chaque répertoire. Ce fichier comporte un identifiant totalement nécessaire au cybercriminel pour retrouver votre adresse email et la clé de déchiffrement de vos fichiers. Si ce fichier de consignes est détruit, il n'y aura plus aucun moyen, définitivement, de décrypter vos fichiers. Ne comptez pas sur les décrypteurs gratuits. Il a pu en être écrit quelques-uns au début des crypto-ransomware grâce à deux circonstances chanceuses :
Ce n'est plus du tout le cas et il ne sera probablement plus jamais possible de décrypter gratuitement les fichiers chiffrés. Même si la NSA a juré d'arriver, un jour, à casser tous les chiffrements (pour des motifs d'espionnage - rien à voir avec la sécurité, mais plutôt avec l'insécurité), pour l'instant, et probablement pour des dizaines d'années, cela est totalement impossible.