Attention Ransomware !

Attention Ransomware !



Attention Ransomware !

De plus en plus d’utilisateurs d’internet se retrouvent fortement impactés par cette nouvelle menace qu’on appelle un « ransomware », « crypto-virus » ou encore « rançongiciel ». Cette contamination virale informatique rend inutilisables de nombreux fichiers, notamment les documents, des grilles de calcul, des présentations ou des images, vidéos etc… On s’aperçoit également que les sauvegardes sont contaminées et qu’on a perdu des jours, des mois, voire des années de données… à moins de payer une rançon !

Le nom « ransomware » vient effectivement de la contraction de « ransom », qui veut dire « rançon » en anglais, et de « software », qui se traduit par « logiciel » ; On a donc un « logiciel qui demande une rançon », ou bien un « rançongiciel ». « Crypto-virus » est une autre façon de désigner cette contamination virale (virus) qui chiffre les données, d’où « crypto ».

Le but de cet article est de vous faire comprendre le mécanisme de ce nouveau type d’attaques et de vous protéger et agir efficacement contre.

C’est quoi un ransomware ?

Un ransomware est un logiciel malveillant de type « cheval de Troie », qui s’installe dans votre ordinateur à votre insu, découvert récemment (en 2013) et qui tourne essentiellement sous Windows. Ce ransomware se diffuse principalement via des e-mails infectés, déguisés par exemple en factures, avertissements de coupure de ligne télécom, ou autre relances d’impayés.

Notez que l'on peut connaître l'expéditeur, ce qui ajoute à la crédibilité de l’e-mail. L’explication est simple: l’annuaire d’un des ordinateurs de la société en question a été piraté et les attaquants se servent des e-mails récupérés pour rendre leur message crédible auprès de leurs cibles.

Une fois le logiciel malicieux activé, il chiffre les données contenues dans l’ordinateur de l'utilisateur, via une clé de chiffrement RSA 2048 bits forte et secrète – stockée sur les serveurs des pirates – et affiche alors une demande de rançon (payable en Bitcoins) pour rendre à nouveau accessibles les fichiers. Il faut savoir qu’un tel niveau de chiffrement peut nécessiter plusieurs milliers d’années pour être cassé, aussi ce n’est pas la peine d’aller voir un « ami informaticien » et lui demander de le casser !

Tous les fichiers, notamment dans le répertoire « Mes documents » ont changé d’extension, au lieu de .doc par exemple, ils ont comme extension .vvv. Si les fichiers sur votre machine ont une effectivement une telle extension vous êtes victime d’un ransomware…

Vous avez un message de ce type qui vous informe de la solidité du chiffrement, puis indique 4 liens sur le réseau Tor (The Onion Router), réseau qui permet d’anonymiser votre navigation sur le web et d’accéder au « Darkweb »….

Voici la « demande de rançon » qui s’affiche et qui s'accompagne également d'un compte à rebours qui menace de supprimer les données si la rançon n'est pas payée ou bien de doubler le montant à la fin du délai…

Ne payez pas ! Si vous payez la rançon, vous alimentez les réseaux mafieux du Darkweb et vous renforcez les capacités d’attaque des hackers. La « rançon » est payable en bitcoins, monnaie virtuelle, mais qui a des « passerelles » avec les principales devises, comme le dollar, l’euro ou le Yuan. Actuellement un Bitcoin vaut presque 600 euros ! Les rançons correspondent ainsi à un ou plusieurs Bitcoins, en fonction de la solvabilité de la cible. L’hôpital de Betesda en Californie a ainsi payé une rançon de 17.000 dollars pour récupérer ses fichiers…

Notez bien que les paiements en bitcoins ne sont soumis à aucune traçabilité financière et aucune enquête n’est possible quant au bénéficiaire…

Analyse de l’attaque

Alors comment se protéger et quoi faire si on est contaminé ? Pour répondre à ces questions il faut comprendre en quoi consiste l’attaque et par qui elle est perpétrée ? S’agit-il d’individus isolés ou de « mafias » ?

Compte tenu de ce que j’ai récupéré sur l’ordinateur infecté d’un ami qui m’a appelé à l’aide, ne laisse guère de doute sur l’origine de l’attaque… (Russie, Chine ?…)

L’attaque est très simple : Un fichier .ZIP (par exemple) est mis en pièce jointe dans un e-mail qui est adressé à la cible. Avec les outils de SPAM actuels on peut ainsi envoyer des millions d’e-mails par jour, mais là on ajoute un « ingrédient » de « social engineering » (duperie) qui consiste à utiliser une adresse e-mail, ou la signature d’une personne que vous pouvez déjà connaître. D’autres attaques utilisent des ruses dans l’objet de l’e-mail comme « votre compte va être bloqué » ou bien « facture impayée » ou encore « action urgente nécessaire », provenant (soi-disant) de votre banque ou de votre opérateur télécoms ou internet. Si on clique sans réfléchir sur la pièce jointe, c’est terminé : on peut être contaminé en quelques minutes…

Mais, direz-vous à juste titre, "j’ai un anti-virus à jour, je croyais que les attaques de ce type étaient bloquées par mon anti-virus ?!". En bien pas vraiment…

Afin de tester le fichier joint, j’ai soumis le fichier .ZIP que j’ai récupéré dans l’e-mail (surtout sans cliquer dessus !!!) à Virustotal, un site faisant tourner quelque 57 moteurs d’antivirus parfaitement à jour, permettant de savoir s’il s’agit d’un fichier contenant une contamination ou pas.

Le résultat est que parmi tous les anti-virus seuls 4 sur 57 (dont Kaspersky) ont réussi à le débusquer… Il s’agit de l’un des plus connus des ransomwares : « Tesla »

Depuis, les anti-virus se sont mis à jour et le taux de réussite est bien meilleur, mais depuis également, les attaquants ont changé leur version, qui n’est pas détectée jusqu’à la prochaine mise à jour et ainsi de suite… Ce qui est clair est que l’anti-virus ne nous protègera pas à 100%, jamais.

Impact de la contamination

Des ransomwares comme Tesla ou Cryptolocker sont extrêmement dangereux, puisqu'il chiffrent non seulement les fichiers conservés dans l'ordinateur local, mais également ceux qui sont stockés dans les lecteurs réseau partagés, les dispositifs de stockage USB et les disques durs externes.

Par conséquent, si le logiciel malveillant infecte l'ordinateur d'un utilisateur qui a accès aux lecteurs partagés du réseau d’une entreprise, il peut également endommager tous ces fichiers.

Pour le moment le système de chiffrement vise certaines extensions de fichiers en particulier, notamment celles des fichiers Microsoft Office ou d’Open Office, mais aussi les images ou les vidéos.

J’ai également analysé le contenu du fichier du virus : Il s’agit d’un fichier écrit en Javascript, normalement lisible en code source donc, mais lui-même « chiffré » en utilisant des translations de variables, ce qui rend le code source illisible à première vue. Cela évite qu’un anti-virus qui irait décompacter le .ZIP avant exécution, ne trouve du code source qui coïnciderait avec un virus. En résumé, à part des logiciels vraiment spécialisés de type « anti-malware », notre anti-virus « de base » est bien démuni contre ce type d’attaques.

Contre-mesures

Que faut-il faire si on vient d’être contaminé ? Surtout : Ne payez pas !!!

Si une infection par rançongiciel survient, je vous recommande de ne pas payer la rançon. Même si récupérez vos données, rien ne garantit que le logiciel malveillant a été retiré de l’ordinateur et qu'il ne se manifestera plus par la suite, ou même que vous allez bien recevoir la clef de déchiffrement pour récupérer les données…

Au contraire, je vous recommande de signaler l'incident immédiatement à la cellule cyber-sécurité de votre entreprise (ou d’appeler un ami informaticien 😉

Mesures de contingentement

Que fera votre ami ou le support micro de votre entreprise ?

  • En premier il faut débrancher immédiatement l’ordinateur d’Internet et du réseau, y compris Wifi) ; cela aura pour effet de limiter le nombre de fichiers chiffrés sur votre ordinateur et surtout de limiter la diffusion aux serveurs en partage de fichiers.
  • Il faut également retirer tous les périphériques amovibles et surtout ceux qui permettent de faire des sauvegardes (clefs USB, SD, disques externes). Cela permettra d’éviter la contamination à toutes vos sauvegardes.
  • Il faut maintenant décontaminer l’ordinateur avec un anti-malware adapté : j’ai eu de bons résultats sur Tesla avec « MalwareBytes » ; Il faut donc disposer du logiciel avant (car on n’est plus connecté à Internet sur la machine) et de passer celui-ci sur la machine, toujours sans être connecté à Internet. Dans certains cas, il a fallu effectuer cette manœuvre en mode « sans échec », car le virus était protégé contre l’écriture en mode « système ».
Mesures de prévention

Que devez-vous changer dans votre comportement vis-à-vis des e-mails ? Existe-t-il des outils plus appropriés afin de se protéger ?

  • Faites attention aux e-mails contenant une pièce jointe: ne cliquez pas par reflexe. Demandez-vous si l’e-mail en question est cohérent : expéditeur, objet, signature, correspondent à la manière habituelle de communiquer de cette société et également interlocuteur.
  • Ajoutez une extension « décontamination des e-mails » dans votre suite antivirale ou dans votre passerelle de messagerie. Il s’agit d’une option disponible dans la plupart des marques d’anti-virus connues.
  • Faites des sauvegardes de toutes vos informations essentielles sur le Cloud (sans connexion par une lettre de réseau Windows comme U: ou S: ) et utilisez la synchronisation de Dropbox, OneDrive ou Google Drive, par exemple. Je sais que ce n’est pas très populaire de dire que le Cloud permet une meilleure sécurité, mais dans ce cas précis, c’est vraiment le cas : J’ai pu récupérer la totalité des fichiers d’un ami contaminé, car il avait une sauvegarde automatique sur le Cloud : J’ai tout d’abord éliminé la contamination par un passage d’un anti-malware ; quand j’ai été convaincu que l’ordinateur n’était plus contaminé, J’ai supprimé tous les fichiers en .vvv (plusieurs milliers) puis j’ai lancé une synchronisation ; Au bout de quelques minutes (heures), tous les (bons) fichiers avaient été recopiés en local. Et voilà 🙂

Bien sûr, en procédant de la sorte, la NSA aura ainsi accès à vos photos de vacances et à votre feuille d’impôts, mais au moins vous ne perdrez pas irrémédiablement vos précieux documents ! D'ailleurs, vous pouvez stocker vos documents sensibles en les chiffrant auparavant. Ils ne seront lisibles que par ceux qui auront la clef. Pour ce faire vous pouvez utiliser, Axcrypt, Truecrypt (en prenant certaines précautions dont je parlerai dans un prochain article) ou équivalent.

  • Tenez parfaitement à jour votre antivirus et tout autre logiciel de sécurité sur votre machine. Dès qu’un module ou une extension « anti-cryptovirus » est disponible, prenez-là. Il parait que: « Les éditeurs d’antivirus ont eux-mêmes créé ces cryptovirus pour gagner encore plus d'argent»… Cette fois c’est faux, car il s’agit surtout d’enrichir des groupes de pirates, comme j’ai pu le voir dans le Darkweb : On y propose même des kits cryptovirus « prêts à l’emploi » avec site web et logiciel inclus, moyennant un partage des profits !!! (je ne vous communiquerai pas le lien, petits coquins…)

A plus long terme vous pouvez également opter pour un autre système d’exploitation, non (encore) affecté par ce type de crypto virus, comme MacOS ou LINUX. Mais il est probable qui si de nombreuses personnes utilisent d’autres systèmes que WIndows, ils seront à leur tour une cible, comme nous avons déjà vu ce phénomène se produire pour Android et IOS sur les smartphones… Il se peut également que les attaquants arrivent à pirater le système de synchronisation du Cloud, cependant ce type de sauvegarde en Cloud est bien la meilleure parade pour le moment.

Mauro Israel

Expert cyber-sécurité – Juin 2016

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *