Il semble provenir d’une institution de confiance, telle qu’une banque, une assurance, un fournisseur, mais en réalité il s’agit de Cryptolocker. Un ransomware qui crypte les données de l’ordinateur de la victime et exige le paiement d’une rançon pour les restaurer : tout ce que vous devez savoir sur CryptoLocker.
Prenant généralement la forme d’une pièce jointe légitime et inoffensive, en réalité ce n’est pas le cas, bien au contraire. Et son ouverture peut faire beaucoup de mal a une entreprise qui n’a pas pris au sérieux l’importance de la gestion de ses données et de son parc informatique. Nous parlons ici de CryptoLocker : un ransomware qui crypte les données de l’ordinateur de la victime, le verrouillant de fait et exigeant le paiement d’une rançon souvent en Bitcoin pour le restaurer.
Une enquête de Clusit en 2017 a montré que parmi les entreprises touchées par une cyberattaque, 75 % avaient été compromises par un ransomware.
CryptoLocker définition et fonctionnement
Dans la catégorie des ransomwares, on peut distinguer deux types de logiciels malveillants :
- Les “écrans de verrouillage”, qui utilisent une image ou une page web en plein écran pour empêcher l’accès à l’ordinateur ;
- le “cryptage”, qui verrouille les documents sur l’ordinateur, en les cryptant avec un mot de passe et en rendant impossible l’ouverture des fichiers.
CryptoLocker appartient à cette deuxième catégorie. Plus précisément, il s’agit d’un logiciel malveillant qui infecte les systèmes d’exploitation Windows. Il a été détecté pour la première fois fin 2013 et, selon les estimations, son ascension a battu des records : car il a réussi à extorquer pas moins de 27 millions de dollars en seulement deux mois d’existence. Le logiciel malveillant a été perfectionné en 2017, lorsqu’il a paralysé de nombreuses petites et moyennes entreprises en clouant les ordinateurs de leurs employés.
Comment CryptoLocker se propage-t-il dans un ordinateur ?
De deux manières, soit il est téléchargé sur un ordinateur qui fait déjà partie d’un botnet, c’est-à-dire un réseau d’ordinateurs zombies contrôlables à distance qui peut également être utilisé pour lancer des cyberattaques mondiales. Ou bien, il arrive par un courriel qui semble avoir été envoyé par une institution à laquelle nous pouvons faire confiance. Par exemple, la banque qui envoie le relevé bancaire mensuel, La Poste qui envoie un reçu pour une lettre recommandée, ou Paypal qui vous informe d’un virement bancaire effectué en votre faveur. Et puis, dans le message électronique se trouve la faille : une pièce jointe à télécharger.
Il s’agit d’un fichier zip contenant un document avec une icône et une extension pdf : attention toutefois, il ne s’agit pas réellement d’un fichier pdf, mais d’un exécutable (.exe). Les cybercriminels exploitent une particularité des systèmes d’exploitation récents de Redmond pour faire tomber les utilisateurs dans le piège. En pratique, Windows n’affiche pas les extensions de fichier par défaut, de sorte qu’un fichier appelé nom_fichier.pdf.exe mais sera affiché sous le nom de nom_fichier.pdf, même s’il s’agit oiurtant d’un fichier exécutable. Cela peut nous amener une confusion et provoquer l’erreur humaine que l’entreprise risque fort de regretter dans les jours à venir : le clic fatidique qui installe CryptoLocker sur votre ordinateur.
Comment se défendre et supprimer le logiciel malveillant
Se défendre contre CryptoLocker est assez simple. Tout d’abord, il est conseillé de mettre à jour le système d’exploitation et d’installer un bon antivirus à jour : même s’il n’est pas toujours en mesure de détecter les dernières versions du ransomware, qui évolue constamment, il reste un bouclier valable. Une autre mesure à prendre est évidemment d’éviter le syndrome du “clic facile” : faites attention à l’extension du fichier et à l’origine de l’e-mail. Dans certains cas, vous pouvez être attiré par un lien transmis via les réseaux sociaux, il est donc utile de toujours faire attention.
En revanche, une sauvegarde des données, c’est-à-dire une copie de vos fichiers, est indispensable. Vous pouvez le faire à l’aide de Windows Backup, qui se trouve dans le panneau de configuration de votre PC. La sauvegarde doit fréquemment être effectuée sur un disque dur externe, par exemple une clé USB. De cette façon, si un logiciel malveillant infecte le PC, une copie des données restera protégée, ce qui nous donnera la possibilité de tout restaurer si nécessaire.
CryptoLocker doit être supprimé de l’ordinateur affecté dès que possible. A ce stade, nous ne disposons pas d’un programme ad hoc. Mais l’un des meilleurs disponibles est Norton Power Eraser : un logiciel gratuit distribué par Symantec qui est capable d’analyser et d’éliminer les virus qui pourraient échapper aux analyses traditionnelles, sans avoir besoin d’être installé.
Comment récupérer des fichiers cryptés
La récupération des fichiers cryptés par CryptoLocker n’est pas possible (pour les autres ransomwares, il existe un certain nombre d’outils, répertoriés par l’initiative No more ransom). Nous n’avons qu’une seule possibilité : récupérer la sauvegarde, restaurer les données. Si nous ne l’avons pas fait, Windows effectue également des copies automatiques, qui peuvent être obtenues en téléchargeant des outils gratuits tels que Shadow Explorer.
Comment détecter un CryptoLocker
CryptoLocker et ses dérivés comme CryptoWall, TorrentLocker, Synolocker, CTB-Locker sont des chevaux de Troie conçus pour extorquer des fonds.
Ils fonctionnent en cryptant les documents personnels de l’utilisateur, puis en exigeant une rançon pour les décrypter.
Ce problème peut être grave, car il peut empêcher les utilisateurs d’accéder à des fichiers importants dont ils ont besoin pour leur travail ou leur usage personnel.
Heureusement, il existe des moyens de se protéger contre CryptoLocker et ses cousins. L’une d’entre elles consiste à maintenir votre ordinateur à jour avec les derniers correctifs de sécurité, car ces chevaux de Troie tirent souvent parti de vulnérabilités connues.
Vous pouvez également sauvegarder régulièrement vos données, afin de pouvoir restaurer vos fichiers s’ils sont cryptés par CryptoLocker. Enfin, l’utilisation d’un programme antivirus qui inclut une protection contre les ransomwares peut vous aider à protéger votre ordinateur contre ces menaces.
Le ransomware : payer ou ne pas payer ?
Lorsque vous voyez votre ordinateur verrouillé et l’œuvre de votre vie perdue, la question se pose : devez-vous payer la rançon ou non ? Parfois, le montant n’est pas très élevé, environ 800 dollars : il s’agit d’une stratégie des cybercriminels, demandant un petit paiement pour vous donner l’impression que le jeu en vaut la chandelle. En outre, ces logiciels malveillants sont diffusés par des campagnes d’hameçonnage, qui visent à faire tomber le plus grand nombre d’utilisateurs possible dans le réseau. En réalité, une fois que vous avez versé l’argent, vous ne récupérez pas toujours vos données. En outre, en payant, vous alimentez à la fois une organisation et une entreprise criminelle. C’est pourquoi la police suggère de ne jamais payer la rançon.
Pour une entreprise qui gère de l’envoi de marchandises, la sécurité du parc informatique et la sécurisation des données doivent être abordées avec le même sérieux que le choix du logiciel de gestion des stocks. Si vous n’avez pas les compétences en interne pour déterminer le niveau de protection face aux attaques informatiques, n’hésitez pas à consulter une entreprise d’infogérance.
À lire aussi : La guerre passe aussi par la cryptographie
