Qu’est-ce qu’un ransomware? Comment se protéger et le supprimer

Ransomware est une forme de logiciel malveillant (ou malware) qui, une fois  sur votre ordinateur, vous menace, notamment en vous interdisant l’accès à vos données. L’agresseur demande une rançon à la victime, promettant mais pas toujours de manière sincère de rétablir l’accès aux données lors du paiement. En d’autres mots, c’est un ransomware, ou rançongiciel en français, est un logiciel informatique malveillant, prenant en otage les données. Le ransomware chiffre et bloque les fichiers contenus sur votre ordinateur et demande une rançon en échange d’une clé permettant de les déchiffrer.

Les utilisateurs reçoivent des instructions sur la manière de payer des frais pour obtenir la clé de déchiffrement. Les coûts peuvent aller de quelques centaines de dollars à des milliers de dollars, payables aux cybercriminels en Bitcoin

 

Comment fonctionne le ransomware

Il existe un certain nombre de vecteurs qu’un ransomware peut prendre pour accéder à un ordinateur. L’un des systèmes de diffusion les plus courants est le spam par hameçonnage ( pièces jointes qui parviennent à la victime dans un courrier électronique, se faisant passer pour un fichier auquel elles doivent faire confiance).

Une fois téléchargés et ouverts, ils peuvent prendre le contrôle de l’ordinateur de la victime, en particulier s’ils disposent d’outils de social engineering intégrés qui incitent les utilisateurs à autoriser un accès administratif.

Certaines autres formes de ransomware plus agressives, telles que NotPetya, exploitent des failles de sécurité pour infecter les ordinateurs sans pour autant piéger les utilisateurs…

 

Une fois qu’il s’est emparé de l’ordinateur de la victime, le logiciel malveillant peut faire plusieurs choses, mais de loin l’action la plus courante consiste à chiffrer tout ou partie des fichiers de l’utilisateur.

Dans certaines formes de programmes malveillants, l’agresseur peut prétendre être un organisme chargé de l’application des lois qui ferme l’ordinateur de la victime en raison de la présence de pornographie ou de logiciels piratés, et qui demande le paiement d’une « amende », peut-être pour rendre les victimes moins susceptibles de signaler l’attaque aux autorités.

Mais la plupart des attaques ne dérangent pas avec ce prétexte. Il existe également une variante, appelée leakware ou doxware, dans laquelle l’attaquant menace de publier des données sensibles sur le disque dur de la victime, sauf si une rançon est payée. Mais comme la recherche et l’extraction de telles informations sont très délicates pour les attaquants, le cryptage des ransomwares est de loin le type le plus courant.

Lire aussi :
Meltdown et Spectre: Comment se protéger de ces deux nouvelles vulnérabilités qui font trembler le monde informatique

 

Qui est une cible pour les ransomwares?

Les pirates informatiques choisissent les organisations qu’ils ciblent avec un ransomware de différentes manières. Parfois, c’est une question d’opportunité: par exemple, les attaquants peuvent cibler les universités car ils ont généralement des équipes de sécurité réduites et une base d’utilisateurs disparate qui partage beaucoup de fichiers, facilitant ainsi la pénétration de leurs systèmes de défense.

D’autre part, certaines organisations sont des cibles tentantes car elles semblent plus susceptibles de payer une rançon rapidement. Par exemple, les agences gouvernementales ou les installations médicales ont souvent besoin d’un accès immédiat à leurs dossiers. Les cabinets d’avocats et autres organisations disposant de données sensibles peuvent être disposés à payer pour garder les nouvelles d’un compromis; et ces organisations peuvent être particulièrement sensibles aux attaques de logiciels malveillants.

Mais ne vous sentez pas pourautant en sécurité si vous ne rentrez pas dans ces catégories: comme nous l’avons noté, certains ransomwares se propagent automatiquement et sans distinction sur Internet.

 

Comment prévenir et se protéger des ransomwares

Un certain nombre de mesures défensives peuvent être prises pour prévenir l’infection par ransomware. Ces étapes constituent bien sûr de bonnes pratiques de sécurité en général. Par conséquent, les suivre améliore votre défense contre toutes sortes d’attaques:

  • Gardez votre système d’exploitation patché et mis à jour, afin de réduire le nombre de vulnérabilités à exploiter.
  • N’installez pas de logiciel ou ne lui donnez pas de privilèges administratifs, à moins que vous ne sachiez exactement de quoi il s’agit et ce qu’il fait.
  • Installez un logiciel antivirus, qui détecte les programmes malveillants tels que les ransomwares dès leur arrivée, et un logiciel en liste blanche, qui empêche les applications non autorisées de s’exécuter.
  • Et bien sûr, sauvegardez vos fichiers fréquemment et automatiquement! Cela n’empêchera pas les attaques de logiciels malveillants, mais les dommages causés par ceux-ci seront beaucoup moins graves.
Lire aussi :
45% des grandes entreprises restent vulnérables en Afrique de l'Ouest

 

Comment supprimer un ransomware

Si votre ordinateur a été infecté par un ransomware, vous devrez reprendre le contrôle de votre ordinateur. Une excellente vidéo vous comment faire cela sur une machine Windows:

La vidéo contient tous les détails, mais les étapes importantes sont les suivantes:

  • Redémarrez Windows 10 ou antérieur en mode sans échec
  • Installer un logiciel anti-programme malveillant ou supprimez le ransomware manuellement et sautez les étapes suivantes.
  • Analysez le système pour trouver le programme de ransomware
  • Restaurer l’ordinateur à un état antérieur

Mais gardez à l’esprit ce qui suit: si vous suivez ces étapes pour supprimer le logiciel malveillant de votre ordinateur et le restaurer sous votre contrôle, il ne décryptera pas vos fichiers. Leur transformation en illisibilité est déjà arrivée et, si le malware est sophistiqué, il sera mathématiquement impossible à quiconque de le déchiffrer sans accès à la clé détenue par l’attaquant. En fait, en supprimant le logiciel malveillant, vous avez exclu la possibilité de restaurer vos fichiers en payant aux pirates la rançon demandée.

Cela soulève une question évidente: si votre système a été infecté par des logiciels malveillants et que vous avez perdu des données vitales que vous ne pouvez pas restaurer à partir d’une sauvegarde, devez-vous payer la rançon?

 

Devez-vous payer la rançon?

En théorie, la plupart des organismes chargés de l’application de la loi vous exhortent à ne pas payer les pirates informatiques, en invoquant la logique selon laquelle cela incite uniquement les pirates informatiques à créer davantage de logiciels malveillants.

Cela étant dit, de nombreuses entreprises touchées par les logiciels malveillants cessent rapidement de penser en termes de « bien commun » et commencent à effectuer une analyse coûts-avantages, en comparant le prix de la rançon à la valeur des données cryptées.

Selon une étude de Trend Micro, alors que 66% des entreprises déclarent qu’elles ne paieraient jamais une rançon par principe, dans la pratique, 65% paient effectivement la rançon quand elles sont touchées.

Les agresseurs de ransomware maintiennent leurs prix relativement bas, généralement entre 700 et 1 300 dollars, montant que les entreprises peuvent généralement se permettre de payer à court préavis. Certains logiciels malveillants particulièrement sophistiqués détecteront le pays où l’ordinateur infecté est en marche et ajusteront la rançon pour correspondre à l’économie de ce pays, exigeant davantage des entreprises des pays riches et moins de celles des régions pauvres.

Lire aussi :
4 méthodes pour pirater ou espionner un smartphone et comment s'en protéger

Des remises sont souvent proposées pour une action rapide, de manière à encourager les victimes à payer rapidement avant de trop réfléchir.

En général, le prix est fixé de manière à ce qu’il soit suffisamment élevé pour valoir le coupable, mais suffisamment bas pour que ce soit souvent moins cher que ce que la victime devrait payer pour restaurer son ordinateur ou reconstituer les données perdues. C’est dans cet esprit que certaines entreprises commencent à prendre conscience de la nécessité potentielle de payer une rançon dans leurs plans de sécurité: par exemple, certaines grandes entreprises britanniques qui n’ont pas recours à la crypto-monnaie gardent des Bitcoins en réserve spécifiquement pour les paiements de rançons.

 

Il y a quelques points difficiles à retenir ici, en gardant à l’esprit que les personnes avec lesquelles vous traitez sont, bien sûr, des criminels.

Premièrement, il se peut que ce qui ressemble à un ransomware n’ait pas du tout chiffré vos données; Assurez-vous de ne pas avoir affaire à un « scareware » avant d’envoyer de l’argent à qui que ce soit.

Et deuxièmement, payer les attaquants ne garantit pas que vous récupérerez vos fichiers. Parfois, les criminels prennent juste l’argent et n’ont même pas de fonctionnalité de décryptage intégrée au logiciel malveillant. Mais ces logiciels malveillants acquièrent rapidement une réputation et ne génèrent pas de revenus.

0 Replies to “Qu’est-ce qu’un ransomware? Comment se protéger et le supprimer”

Laisser un commentaire