En ce début de rentrée, la mode est aux ransomwares. Bien que chacun d’entre eux ait une spécificité, ils conservent tous une méthode similaire pour infecter les postes des utilisateurs. Tout comme CTB Locker qui avait fait beaucoup parler de lui il y a deux ans de cela, Locky est un virus de la famille des ransomwares. Si l’infection par phishing réussit, Locky chiffre les fichiers contenus sur le poste et demande le paiement d’une rançon en échange de la clé permettant de les déchiffrer.
QU’EST CE QU’UN RANSOMWARE?
Un ransomware est un malware qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données. Locky est l’un des premiers ransomware. Apparu en février 2016, Locky serait l’œuvre des mêmes personnes qui ont lâché le ransomware Dridex en 2015. Locky se répand actuellement comme une trainée de poudre dans toute l’Europe, notamment en France et en Allemagne. Et cerise sur le gâteau, il évolue chaque semaine en utilisant de nouvelles méthodes de propagation.
Les ransomwares utilisent la technique du phishing pour infecter un maximum de machines : les victimes répandent l’infection sur leur poste en ouvrant la pièce jointe d’un email frauduleux, par manque de méfiance Il faut dire que les hackers ont perfectionné leurs campagnes d’emailing. En effet, les emails sont rédigés dans un français correct avec très peu de fautes, et peuvent facilement tromper la vigilance de l’utilisateur. De plus, les pièces jointes sont principalement des documents Word contenant des macros. Une fois la pièce jointe téléchargée et ouverte, Le ransomware s’installe sur l’ordinateur et y chiffre l’ensemble des données accessibles, qu’elles soient sur le disque dur de la machine ou sur les lecteurs réseaux connectés aux serveurs de l’entreprise. Il est facile de voir le potentiel destructeur de ce malware.
« Les effets de cyber attaques donnent à réfléchir, aussi bien en terme de coûts et de pertes, qu’en terme de productivité et de réputation pour l’entreprise. Selon le Ponemon Institute, une brèche dans la protection des données coûte en moyenne 5,4 millions de dollars en 2014 »
Ponemon Institute, Cisco
COMMENT UN RANSOMWARE FONCTIONNE ?
Dès que la pièce jointe, un document Word contenant le code initial de l’attaque, est ouverte, si les macros sont autorisées par défaut dans votre logiciel Word, le code initial sauvegarde un fichier sur votre disque et le lance. Ce fichier, qui est la deuxième phase de l’attaque sert à télécharger la charge virale depuis Internet. La charge virale est souvent différente, ce qui rend sa détection difficile. Le virus chargé sur votre ordinateur lance alors son action et commence le chiffrement de vos documents. Tout cela se produit en quelques dizaines de secondes, plus rapidement encore si vous avez un poste de travail très performant et un très bon débit Internet.
A noter que nous constatons que beaucoup d’antivirus, même à jour, ont du mal à détecter l’attaque et pourtant les éditeurs ont réagi très rapidement dès l’apparition de cette nouvelle menace.
Le rançongiciel réalise son attaque sur les fichiers depuis un ordinateur Windows infecté, d’où l’importance de déconnecter du réseau votre ordinateur dès que vous constatez un comportement anormal. Il peut s’attaquer à tous les partages de fichiers en réseau, que le serveur de fichiers soit sous Windows, Mac OS X ou encore Linux. Il chiffre une grande quantité de types de fichiers différents incluant les documents bureautiques, les PDF, les images et photos, les films et même les codes sources si vous êtes développeur.
FAUT-IL PAYER LA RANÇON ?
Pas le choix
Si vous n’avez pas de sauvegarde et que vos fichiers sont importants vous pouvez prendre cette décision même si, elle est très fortement déconseillée car elle entretient ce commerce criminel et que vous n’avez aucune garantie de résultat. Malheureusement si vous n’aviez pas sécurisé vos données avant l’attaque et que vos données valent plus que le montant de la rançon et du risque de payer sans résultat, ce sera peut-être votre dernière chance.
Avoir une sauvegarde
Sauvegardez, sauvegardez, sauvegardez !!! Nous ne le dirons jamais assez mais une bonne sauvegarde c’est une sauvegarde qui protège vos données contre tous les risques, dont l’attaque virale, mais pas uniquement. Il existe plein de solutions professionnelles, pour toutes les bourses et tous les contextes
Professionnalisation des Hackeurs
Le succès du hameçonnage repose sur la crédibilité du message. L’attaquant fait tout pour vous faire croire qu’il vous faut ouvrir son fichier. Quand le mail reçu est dans une langue étrangère, ou en français plein de fautes, vous ne tomberez normalement pas dans le piège. Malheureusement les attaques sont de plus en plus sophistiquées et mûrement préparées. Soyez donc sensible aux signaux faibles.
COMMENT SE PROTÉGER CONTRE LE VIRUS RANÇON ?
Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. Tout personnel connecté au réseau de l’entreprise est susceptible d’être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l’intégralité du système d’information de l’entreprise.
Installer et mettre à jour régulièrement antivirus et firewall.
Bloquer les extensions .cab, .rar, .zip dans les applications messagerie
Faites appel à un professionnel de la sécurité informatique comme secur-cloud : contact@secur-cloud.com
