Évitez de verser une rançon à « Locky » pour récupérer vos données…


Certains d’entre vous se souviennent encore du « ransomware »(*) Hadopi qui, sous le faux prétexte d’une violation des lois informatiques françaises, demandait une rançon pour débloquer votre ordinateur. Beaucoup de malwares (*) de ce type ont infecté de pauvres internautes ou même des entreprises beaucoup plus structurées informatiquement. On a trouvé un article sur le dernier en date sur le site de Korben mais comme beaucoup de publications de Korben, il s’adresse à un public plutôt averti. C’est pourquoi aux vues des nuisances sérieuses que peut causer ce malware, le geek d’Au Coin du Comptoir a décidé d’essayer d’en faire une version simplifiée. Ça ne veut pas dire qu’il ne faudra pas faire un petit effort mais l’un dans l’autre si vous voulez éviter de perdre pratiquement toutes les données de votre machine, 10 minutes de votre temps ce ne sera pas trop cher payé.

(*) voyez les mots suivis d’une astérisque dans le chapitre définitions

Ransomware_Activite_illegale_demelee.png

De nos jours, le terme «virus» est souvent employé, à tort, pour désigner toutes sortes de logiciels malveillants. En effet, les maliciels englobent les virus, les vers, les chevaux de Troie, ainsi que d’autres menaces. La catégorie des virus informatiques qui a longtemps été la plus répandue a cédé sa place aux chevaux de Troie en 2005.

Quelques définitions

  • Malware : Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l’utilisateur dont l’ordinateur est infecté.
  • Ransomware : ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer Un ransomware peut aussi bloquer l’accès de tout utilisateur à une machine jusqu’à ce qu’une clé ou un outil de débridage soit envoyé à la victime en échange d’une somme d’argent.
  • Spam : courriel indésirable ou pourriel (terme recommandé au Québec) est une communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s’agit en général d’envois en grande quantité effectués à des fins publicitaires.
  • Macro : Ou macro commande. Certains logiciels, tels que ceux contenus dans les suites bureautiques Microsoft Office, Libre Office, Apache OpenOffice, Star Office ou WordPerfect, contiennent des langages de programmation comme Visual Basic for Applications (VBA) permettant de commander les fonctionnalités des logiciels.
  • Backdoor : Dans un logiciel, une porte dérobée (de l’anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. L’introduction d’une porte dérobée dans un logiciel à l’insu de son utilisateur transforme le logiciel en cheval de Troie.
  • Botnet : (de l’anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches. Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s’est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l’envoi de spams et virus informatiques, ou les attaques informatiques par déni de service (DDoS).

cyber-malware-attack

Le ransomware Locky, celui qui nous intéresse aujourd’hui, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars. L’organisme indique constater une «vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible (anti-spam)», des spams ayant pour objectif de diffuser le rançongiciel Locky.

Comment ça marche

L’infection provient d’un mail et plus précisément d’une pièce jointe à ce mail. Attention, ne jetez pas à la corbeille tous les mails avec pièces jointes que vous recevrez après cet article (!), attendez qu’on vous explique comment il fonctionne, comment le reconnaitre et se protéger.

Locky prend en otage vos fichiers en les chiffrant (cryptant) et vous réclame une rançon à payer pour obtenir la clé de déchiffrement pour récupérer vos précieuses données.

Vous recevez un mail (aujourd’hui en français) qui vous demande de consulter la facture au format Microsoft Word en pièce jointe. En anglais, la pièce jointe se nomme : « ATTN: Invoice J-XXXXXXX ».

screenshot-2016-03-08-15.26.59-650x564

Le fichier Word (.doc) attaché contient un texte étrange qui indique d’activer les macros (*) pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l’ordinateur. Les macros sont disponibles sur un grand nombre de logiciels de bureautiques, même les gratuits.

locky-macros-640-e1457449796938

À partir de là, le ransomware commence à chiffrer (crypter) les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l’argent. Il chiffre un grand nombre de fichiers qui deviennent donc irrécupérables. Le fond d’écran de Windows est lui aussi remplacé, affichant la même demande.

Payez pour accéder à votre propre ordinateur

Payez pour accéder à votre propre ordinateur

Locky supprime aussi les sauvegardes internes (« shadow copies ») que Windows fait par l’intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération. Ce système de récupération très pratique permet de faire revenir votre ordinateur dans l’état où il était à une date ou une heure antérieure, donc avant une infection éventuelle.

Enfin, si la victime visite l’un des liens indiqués dans le message, elle tombera sur une page lui indiquant comment acheter puis payer avec des Bitcoins la modique somme de 0,5 BTC (200 € environ) à 1 BTC (400 € environ) un « déchiffreur » baptisé Locky Decryptor PRO. Déchiffreur dont l’efficacité n’a pas été prouvée.

locky-wallpaper-640-e1457449738512

Comment se protéger

Comme le dit Korben « c’est un problème entre la chaise et le clavier  » !

Ne jamais ouvrir la pièce jointe d’un mail douteux et d’une provenance douteuse. Parfois la provenance ne semble pas douteuse ( EDF, GDF, administration, … ) mais si ce n’est pas habituel, que ce n’est pas un abonnement connu à une date habituelle, considérez qu’il s’agit d’un mail douteux.

Pour toutes les pièces jointes, ne les ouvrez jamais directement. Enregistrez les dans un répertoire ou vous pourrez les récupérer et les consulter. Si votre antivirus est à jour et efficace, il repèrera cette/ces pièces jointes douteuses et devrait vous avertir du danger d’une infection potentielle.

Faites régulièrement les mises à jour de votre Windows, des logiciels de bureautiques (Word, Excel, etc. , autres traitement de texte ou tableur), de vos outils (lecteurs de PDF, Java, Adobe Flash Player, etc).

Ne faites pas confiance aux outils de désinfection en ligne gratuits proposés régulièrement sur certaines pages Web qui sont au mieux inefficaces au pire dangereux et au final s’avèrent souvent payants. Allez plutôt rechercher des logiciels, peut être moins simples, mais confirmés par des sites connus et spécialisés dans la sécurité.

5877004a28162867c31818a1f1abd650

Si vous voulez télécharger un logiciel de désinfection faites un petit tour du Net pour prendre quelques avis autorisés sur les sites de geek ou d’utilisateurs confirmés. Vous y trouverez les éventuels avertissements et des commentaires sur leur efficacité.

Dans le cas ou vous avez recueilli des informations positives sur le logiciel, téléchargez le sur un site fiable et reconnu par les utilisateurs confirmés sous peine de télécharger un logiciel modifié. Les logiciels libres sont souvent en open source (le code est accessible) et certains hackers black hat (les méchants) peuvent y introduire un supplément de code pour installer un backdoor(*) ou un botnet (*) [ (*) voir les définitions ]

Les logiciels fiables sont en général protégés par un système d’authentification, la fonction de hachage, de l’anglais hash function (hash : pagaille, désordre, recouper et mélanger) par analogie avec la cuisine, une fonction particulière qui, à partir d’une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement, bien qu’incomplètement, la donnée initiale. Ce « hash » est vérifié sur les sites de téléchargement sérieux

Le-virus-informatique-Flame-va-s-autodetruire

Évitez les sites qui proposent un téléchargement accéléré grâce à une inscription (récupération de votre adresse mail à minima) ou à une modeste contribution. Les logiciels gratuits sont gratuits et la seule chose parfois sollicitée par les programmeurs est un don non obligatoire.

Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates –après négociation, les criminels réclamaient au départ plus de 3,5 M$– pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.

Sachez que pour l’instant, il n’existe aucun moyen de récupérer les fichiers qui ont été cryptés  par Locky mais qu’en prenant un minimum de précaution on peut éviter un désastre. Sans devenir paranoïaque, un peu de bon sens peut vous sauver la mise. Quand vous avez des doutes, abstenez vous de cliquer machinalement sur « OK », lisez les messages lors de l’installation d’un logiciel, allez vous renseigner sur des forums sérieux, prenez votre temps plutôt que d’en perdre énormément ensuite.

À propos de poltechno

Avec l'âge on radote et on parle tout seul... Comme il n'y a plus de bistrot dans mon quartier je me suis créé un bout de comptoir virtuel sur le Net histoire de refaire le monde...

Publié le 10/03/2016, dans Internet, Nouvelles Technologies, et tagué , , , , , , , , . Bookmarquez ce permalien. Poster un commentaire.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :