Tout savoir sur le ransomware rançongiciel
Le « ransomware » fait actuellement des ravages dans les systèmes d’information des entreprises. Ces logiciels malveillants bloquent les ordinateurs des victimes et réclament ensuite le paiement d’une « rançon » pour leur déverrouillage. A ce jour, les dernières attaques WannaCry, Adylkuzz et NotPetya sont les plus importantes jamais enregistrées. Et le phénomène s’amplifie. Parmi les victimes observées et médiatisées : laboratoires d’analyses, hôpitaux, PME diverses, établissements publics, ou encore le ministère des transports.

Vos données personnelles prises en otage
Un ransomware ou rançongiciel est un logiciel malveillant qui prend en otage des données personnelles.
Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
Bloquer l’accès à votre ordinateur
Un ransomware peut aussi bloquer l’accès de tout utilisateur à une machine jusqu’à ce qu’une clé ou un outil de débridage soit envoyé à la victime en échange d’une somme d’argent.
Le principe même est de crypter (chiffrer) les données via une clé publique et de demander une rançon en contrepartie de la clé privé qui permettra de décrypter nos propres fichiers.
Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d’attaques de ce type a grandement augmenté dans d’autres pays, entre autres l’Australie, l’Allemagne, les États-Unis.
Les vecteurs d’infections les plus courants à l’heure actuelle sont les SPAM ciblés en utilisant une technique de « social engineering ».
Social engineering
l’ingénierie sociale est une forme d’acquisition déloyale d’information et d’escroquerie. Cette pratique exploite les failles humaines et sociales de la structure cible, à laquelle est lié le système informatique visé. Utilisant ses connaissances, son charisme, l’imposture ou le culot, l’attaquant abuse de la confiance, de l’ignorance ou de la crédulité des personnes possédant ce qu’il tente d’obtenir.
Le Remote Exploit
Le second mode d’infection – bien moins fréquent – est de type « exploits » qui comme son nom l’indique est une exploitation d’une faille informatique pour pénétrer les systèmes et réseaux. (On parlera ici de « remote exploit », soit une attaque à distance).
Comment se propage le ransomware ?
Une fois un ordinateur infecté, les partages réseaux sont le principal vecteur de propagation. Ainsi le virus s’assure une contamination maximale sur les postes composants le réseau ciblé (l’entreprise).
Les lecteurs mappés ne sont pas seuls ciblés, tous les partages présents sur le réseau sont « scannés » par le virus pour les atteindre
Techniquement les forces de ce type de logiciels malveillants tiennent notamment à la rapidité de cryptage en ne chiffrant que partiellement les fichiers, les rendant inexploitables sans perte de temps. Par ex, LOCKY peut rendre impossible à lire 500000 fichiers en 30mn. Il est aussi plus difficile de détecter les fichiers sources de l’infection. Locky a apporté une variante qui le rend très compliqué pour les antivirus. En se supprimant une fois chargé en mémoire, l’analyse des fichiers des disques durs ne trouvera pas le virus.
Les différents ransomwares
JS/RANSOM-DDL
Beaucoup de ransomwares arrivent intégrés au sein de pièces jointes en JavaSript. Habituellement, le JavaScript malveillant se connecte à un serveur de téléchargement, recherche le véritable ransomware sous la forme d’un programme exécutable Windows (un fichier .EXE), et le lance pour finaliser le processus d’infection.
Le JavaScript ne télécharge pas le ransomware, il est lui-même un ransomware. Aucun logiciel additionnel n’est téléchargé, ainsi une fois que le malware JS/Ransom-DDL est entré au sein de votre réseau, il est prêt à chiffrer toutes vos données et à afficher un message pour vous faire payer, et tout ceci de manière autonome.
PETYA
Le ransomware Petya s’attaque à vos disques durs en modifiant l’amorçage de votre disque dur. Récemment détecté en Allemagne, «Petya» est un rançongiciel (ransomware) diffusé principalement sous la forme de courriel de candidature adressée au service des Ressources Humaines. Le message contient un lien hypertexte vers un dossier en ligne Dropbox présentant un curriculum vitae et une photo.
En ouvrant l’un des deux fichiers, le destinataire libère le rançongiciel qui va alors modifier le secteur d’amorçage du disque dur (MBR). Un ransomware habituel crypte généralement des fichiers de certains types, tels que des photos, les document Office etc en laissant le système d’exploitation intact de façon à ce que la victime puisse utiliser l’ordinateur pour payer la rançon. Mais Petya s’avère encore plus cruel puisqu’il vise à bloquer l’accès à tout le disque dur.
TORRENTLOCKER
TorrentLocker est l’un des plus grands et les plus dangereuses familles de ransomware nous l’avons vu en action lors des deux dernières années. TorrentLocker est également connu comme Win32 / Filecoder.DI. Il tire son nom d’un billet de blog par iSIGHT Partenaires publié à l’été 2014.
Typiquement, TorrentLocker crypte les fichiers de la victime par l’intermédiaire d’AES-256 algorithme de chiffrement et demande un paiement en Bitcoin. Le paiement moyen est jusqu’à 4.081Bitcoins (environ 1500 $ US), tel que rapporté par chercheurs de ESET.
LOCKY
Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir « ATTN: Invoice J-XXXXXXX ». Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format « invoice_J-XXXXXX.doc ».
Quant au nom de l’expéditeur, ce n’est jamais le même. Il doit s’agir du propriétaire d’une des machines détournées via le botnet pour l’envoi de ces spams.
Locky a dès le départ fait son apparition via un fichier joint de type word qui demandait l’activation des macros pour pouvoir visualiser le contenu du fichier (ici en anglais).
Une des forces dans l’attaque est qu’il y a eu un réel effort dans la syntaxe dans les différentes langues d’envoi du mail alors que bon nombre de ses homologues laissaient paraitre des fautes d’orthographes de façon récurrente dans le corps des emails.
CTB LOCKER
Tous les fichiers cryptés par Critoni sont définis au format CTBL et il est impossible de les ouvrir.
Une fois installé, ce logiciel escroc analysera votre ordinateur pour trouver quels fichiers vous avez dessus puis en crypter la plus grande partie (pas nécessairement tous).
Ce qu’il se passe après est qu’une grande fenêtre est affichée sur votre écran. Cela ressemble à ça (voir dessous).
Cela affirmera que vos dossiers personnels sont cryptés et si vous les voulez de nouveau, vous devrez payer une rançon d’environ 120$ US.
ZCRYPTOR
ZCRYPTOR est un rançongiciel qui se propage via les clés USB et les Disques durs externes. Il s’attrape via une pièce jointe infectée.
ZCRYPTOR a la spécificité de détecter les supports amovibles de type clé USB ou disque dur externe et copie ses fichiers dans la séquence d’initialisation de ces derniers. Les fichiers sont alors modifiés et rendus invisibles à l’utilisateur. L’infection va ainsi se propager et infecter de nouvelles machines lorsque l’appareil infecté sera branché sur un nouvel ordinateur.
En ouvrant le fichier contaminé, ou en connectant l’appareil infecté, le destinataire libère le rançongiciel qui va alors chiffrer le contenu de son ordinateur. Une demande de paiement d’une rançon (généralement 1,2 bitcoins, soit environ 500 euros au cours actuel) s’affiche à l’écran au travers d’une boîte de dialogue et le montant réclamé à la victime augmente si la somme n’est pas réglée rapidement.
Veillez à désactiver la fonction autoplay des clés USB et disques durs afin de limiter la possibilité pour ZCRYPTOR d’infecter d’autres stations de travail.
Que faire pour se préserver ?
Il est malheureusement impossible de décrypter les fichiers chiffrés (le nombre de bits du cryptage est tellement important que sans la clé de déchiffrement, l’opération est inenvisageable). Le paiement se fait souvent en Bitcoins, qui par son fonctionnement même est très difficile à tracer.
La solution la plus sure et aisée sera une fois le nettoyage correctement effectué, de restaurer à partir de sauvegarde les fichiers qui ont été impactés.
Pour préserver les données de votre entreprises, plusieurs actions peuvent être menées en amont !
Les procédures à mettre en place
- Politique de flux contrôlés sur vos passerelles
- Revue régulière des droits sur les partages de fichiers
- Revue régulière des membres du groupe « admins du domaine » : aucune personne étrangère à l’équipe s’occupant des serveurs ne doit y figurer. Aucune exception : pas de VIP, pas de manager, etc.
- Filtrage web via proxy
- Antivirus centralisé via une console sur la totalité de votre parc droits non admin sur les postes des utilisateurs
- Charte informatique signée par chaque utilisateur pour le responsabiliser sur l’outil informatique et les risques inhérents, la sécurité c’est l’affaire de tous