Tout savoir sur le ransomware : mode d’emploi et protection

Ces douze derniers mois, on estime à 22% le nombre de TPE et PME ayant cessé toute activité après une attaque ransomware.

Les ransomwares, ces logiciels malveillants qui prennent en otage nos données, sont de moins en moins nombreux, mais de plus en plus performants et ciblés. Comment donc se protéger des ransomwares ?

 

(Source: Orange Business)

Quels sont les types de ransomware ? Exemples de rançongiciels

Un ransomware, ou « rançongiciel » en français, est un malware (« logiciel malveillant ») qui bloque l’accès à l’ordinateur et les données ou les fichiers en les chiffrant. Les données bloquées, une rançon est alors demandée en échange d’une clé permettant de les déchiffrer.

Le plus souvent, le ransomware prend la forme d’un ver informatique et s’infiltre à travers un fichier téléchargé ou reçu par mail. Nous pouvons ainsi citer l’exemple de Petya, apparu pour la première fois en 2016. Ce logiciel malveillant chiffre les fichiers maîtres de votre ordinateur en s’infiltrant dans le système d’exploitation. Sans la table de fichiers maîtres, l’ordinateur ne peut pas accéder à ses fichiers ni son système d’exploitation. Il ne peut plus démarrer.

Il existe plusieurs types de ransomware classés selon leur gravité :

  • Le scareware (« logiciel alarmant ») : ce logiciel trompe les utilisateurs pour les amener à visiter des sites infestés de programmes malveillants. Il prend la forme d’un faux logiciel de sécurité, alerte d’une menace détectée sur l’appareil et demande une certaine somme pour s’en débarrasser.
  • Les verrouilleurs d’écran : une fois que le logiciel s’infiltre dans votre appareil, vous ne pouvez plus y accéder. Une fenêtre affiche qu’une activité illégale a été détectée et vous demande de payer une rançon. Lockerpin sur Android en est un exemple.
  • Les ransomwares chiffreurs (cryptolocker): les données personnelles sont volées et chiffrées. Sans clé de chiffrement, vous ne pouvez pas y avoir accès. La rançon est exigée en échange de cette clé. Aucun système de sécurité ni aucune restauration du système ne peut vous aider à retrouver vos fichiers dans le cas d’une cyberattaque de ce type. Il n’est même pas garanti que vous les récupériez même après avoir payé la rançon. Teslacrypt (qui n’est plus actif depuis 2016) et Cryptowall en sont des exemples.

Que ciblent les ransomware ?

Le principal but des ransomware est d’extorquer de l’argent.

Par ailleurs, la méthode des cybercriminels a cependant évolué : si auparavant, les particuliers étaient touchés, les ransomware ciblent de plus en plus les entreprises (TPE et PME). En 2016, 12.3% des malwares détectés dans les entreprises étaient des ransomwares. L’année d’après, en 2017, c’était 35%.

Avant, le ransomware était diffusé le plus largement possible pour toucher un maximum d’entreprises. Nous pouvons prendre l’exemple de WannaCry, qui a touché plus de 300 000 ordinateurs dans 150 pays différents dans différents secteurs d’activité (organismes gouvernementaux, hôpitaux, universités, sociétés ferroviaires, technologie, fournisseurs de télécommunication) en mai 2017.

Maintenant, les rançongiciels ciblent les services Cloud, sur lesquels les fichiers sont stockés. (Ryuk en est un exemple.)

Maze et DoppelPaymer sont les derniers ransomwares en date, en exfiltrant respectivement des données appartenant par exemple à Bouygues Construction ou Tesla, SpaceX et Boeing, début 2020.

Comment savoir si on est infecté par un rançongiciel et que faire en cas d’infection ?

L’appareil peut se faire infecter de différentes manières : en téléchargeant une pièce jointe dans un mail (campagne de phishing), en téléchargeant un logiciel cracké ou en cliquant sur une publicité par mégarde. Il est nécessaire d’acquérir les bons réflexes en cas de maladresse ou d’erreur.

Les ransomware demandent toujours de l’argent, en cryptomonnaie généralement (pour ne pas pouvoir tracer les transactions). Un message inhabituel ou une fenêtre pop-up vont alors apparaître et diffuser la demande de manière incontrôlable. La lecture, le nom mais également l’extension de vos fichiers peuvent être modifiés lors de leur cryptage, ce qui pourra vous alerter.

Les informations affichées à l’écran (nom, structure du message, adresse-mail ou procédé de paiement) peuvent vous permettre d’identifier le rançongiciel et d’élaborer une stratégie de défense adaptée à l’attaque dont vous êtes victime. Deux logiciels peuvent par ailleurs vous aider à définir le ransomware qui vous infecte : la page Crypto sheriff de NoMoreRansom.org et IDRansomware.

Maintenant que la menace est identifiée, que faire ?

La première règle est de ne jamais payer la rançon : vous n’avez aucune garantie de retrouver vos données cryptées et vous ne ferez qu’alimenter le système de cybercriminels. Selon le rapport 2019 du CyberEdge Group, seulement 19% des victimes ayant payé une rançon obtiennent la clé de déchiffrement.

  • En entreprise, prévenez immédiatement votre service informatique.
  • Débranchez votre appareil d’internet ou du réseau informatique. Certains malwares attendent le redémarrage de l’ordinateur pour pouvoir s’exécuter ou ont besoin du réseau pour se propager.
  • Déposez plainte auprès de la police ou de la gendarmerie en leur fournissant leur maximum de détails sur l’attaque (journal des connexions).
  • Désinfectez votre système avec un antivirus ou un antimalware pour empêcher l’infection de s’étendre. Trouvez la clé de déchiffrement pour trouver un accès à vos données.
  • Si ce n’est pas possible, effectuez une restauration complète de votre ordinateur. Reformatez l’appareil et réinstallez un système sain. Vous pouvez également restaurer les copies de sauvegarde des fichiers perdus lorsque cela est possible.

La suppression du ransomware n’est pas toujours possible.

Quelle autre solution pour se protéger d’un ransomware ?

Les mesures préventives sont multiples et peuvent vous empêcher de succomber aux rançongiciels. La meilleure manière de se protéger d’une attaque ransomware est d’empêcher qu’elle arrive.

La première étape est donc d’investir dans une solution de cybersécurité, une protection en temps réel qui filtre les flux et ne laisse passer que les applications, services et machines légitimes. Le logiciel doit être réactif et flexible, pour réagir en cas d’alerte.

La deuxième étape est de sauvegarder régulièrement les données et le système d’exploitation pour pouvoir le réinstaller dans son état d’origine de manière sécurisée. Un espace de stockage dans le cloud est nécessaire pour ce faire. Une clé USB ou un disque dur externe peuvent également faire l’affaire, à condition que vous les débranchiez de votre ordinateur à chaque sauvegarde, pour ne pas les voir infecter.

Elaborez des mots de passe suffisamment complexes et changez-les fréquemment.

Enfin, vérifiez que votre système et vos applications se mettent régulièrement à jour. Les cybercriminels exploitent la vulnérabilité des logiciels. Ne laissez pas attendre les mises à jour de votre système ou de vos logiciels de cybersécurité. Faites-les dès que possible, pour ne laisser passer aucune faille.

Reprenez le control grâce à Serenicity

Découvrez nos solutions pour entreprises