Définition du ransomware (rançongiciel)

Ransomware (rançongiciel)

À une époque, le ransomware ne donnait que l’impression d’être un médiocre thriller est aujourd’hui une dure réalité. L’essor des ransomware ces dernières années a fait de millions de personnes de par le monde des victimes de pirates avides de gain. Depuis la première attaque par ransomware majeure de 2013, cette cybermenace a rapporté des millions de dollars de rançons aux pirates et coûté des milliards en perte de revenus aux entreprises.

Sommaire: Un ransomware est un maliciel qui utilise le cryptage pour empêcher l’accès à vos fichiers et prendre votre ordinateur en otage. Avant de pouvoir reprendre le contrôle de vos fichiers, vous devez payer des centaines de dollars sous forme de rançon. Continuez votre lecture pour en savoir plus sur les types de ransomware les plus courants ainsi que les meilleurs moyens de garder votre ordinateur sécurisé.

• Qu’est-ce qu’un ransomware ?
• Quels sont les types de ransomware ?
• Les 5 attaques par ransomware les plus destructrices
• Comment supprimer un ransomware

Qu’est-ce qu’un ransomware ?

Un ransomware est un maliciel qui crypte les fichiers présents sur un ordinateur infecté, empêchant le propriétaire d’y accéder. Il lui est ensuite demandé de payer de l’argent en échange de la clé de décryptage, qu’il peut utiliser pour débloquer ses fichiers. D’où le nom de « ransomware ». La rançon pour les individus est généralement de quelques centaines de dollars, tandis que celle demandée aux entreprises peut monter à des milliers de dollars. Dans la plupart des cas, les pirates exigent que la rançon soit payée en cryptodevises, afin qu’elle ne puisse pas être retracée par les autorités.

Comme tous les autres types de maliciels, les ransomware sont principalement disséminés par des courriels d’hameçonnage qui soit renvoient l’utilisateur vers des contenus malveillants, soit contiennent des pièces jointes compromises. Il se peut aussi que les utilisateurs le téléchargent sans le savoir lorsqu’ils visitent des sites infectés qui installent des maliciels sur leur ordinateur sans leur accord. De nos jours, les ransomware sont aussi distribués à travers les réseaux sociaux et applications de messagerie instantanée.

Lorsque vous installez un ransomware sur votre ordinateur, celui-ci crypte vos fichiers en quelques secondes. Vous n’avez pas le temps de réagir. En règle générale, vous voyez immédiatement un écran qui vous informe du cryptage et vous donne les instructions de paiement. Si votre écran n’est pas verrouillé, vous pouvez peut-être toujours voir vos fichiers mais recevez un message d’erreur lorsque vous tentez de les ouvrir. Certains types de ransomware comportent aussi les logos du FBI ou d’Interpol pour effrayer la victime et qu’elle pense que la police fait partie de l’opération.

Bien qu’ils existent depuis 1989, les ransomware sont toujours une cybermenace relativement nouvelle et peu investiguée. 50 états des États-Unis ont des lois contre le piratage et violations de données, mais seulement quelques-uns ont mis en place des règlementations concernant les ransomware en particulier. Dans les états protégés, les attaques par ransomware sont catégorisées comme soit un crime, soit un délit et peuvent entraîner des amendes allant jusqu’à 25,000$ et 25 ans de prison.

Quels sont les types de ransomware ?

En fonction de la manière dont ils affectent le fonctionnement de votre ordinateur, la plupart des programmes de ransomware d’aujourd’hui sont classés en les deux types suivants :

1. Verrouilleurs d’ordinateur (Computer Lockers)

Aussi connus sous le nom de ransomware de verrouillage, les verrouilleurs d’ordinateur vous bloquent l’accès à l’interface de votre ordinateur, vous empêchant ainsi de l’utiliser. Si votre ordinateur est infecté par un ransomware de verrouillage, un écran comportant un message de son auteur ainsi que les instructions de paiement apparaissent au démarrage du système. L’auteur peut aussi tenter de vous persuader que la rançon est en fait une amende qui vous a été émise par une autorité légale.

Ce type de ransomware empêche généralement uniquement l’accès à l’interface de votre ordinateur et n’affecte ni les fichiers ni le système. Vous pouvez donc pouvoir supprimer le ransomware et conserver vos fichiers intacts.

2. Bloqueurs de données

 Étant donné qu’ils modifient les fichiers individuels et ne bloquent pas simplement l’accès à l’interface de l’ordinateur, les bloqueurs de données sont potentiellement plus dangereux que les verrouilleurs d’ordinateur. Aussi connu sous le nom de crypto ransomware, ce type de logiciel scanne votre ordinateur à la recherche de fichiers importants et change leur extension. Il la remplace pour une extension que votre ordinateur ne sera pas capable de reconnaitre. Pour débloquer vos fichiers, vous devez payer la rançon et obtenir la clé de décryptage.

Les pirates derrière les bloqueurs de données ciblent principalement les individus qui ne sauvegardent pas régulièrement leurs données importantes. Une fois confrontés à la possibilité de perdre tous leurs fichiers, les victimes sont plus susceptibles de payer la rançon. Un bon décrypteur de ransomware peut néanmoins les aider à regagner l’accès à leurs fichiers sans payer.

Autres types de ransomware

De nouveaux types de ransomware ont fait leur apparition ces dernières années, notamment :

• Scareware – Se fait généralement passer pour un logiciel antivirus. Un scareware utilise des pop-ups pour informer la victime de supposés problèmes détectés sur son ordinateur. Plutôt que d’extorquer directement de l’argent des victimes, le scareware les invite à acheter rapidement un logiciel antivirus pour résoudre ces problèmes. Une fois installé et payé, le logiciel agit en fait comme un maliciel et recueille les informations personnelles des victimes.
• Leakware – Aussi connu sous le nom de « doxware », ce type de ransomware menace la victime de publier ses informations personnelles si elle ne paie pas de rançon. Dans la majorité des cas, les pirates derrière les leakware ne ciblent pas de fichiers en particulier susceptibles de contenir des informations sensibles. Ils exploitent tout simplement le fait que de nombreux utilisateurs sauvegardent des informations confidentielles sur leurs ordinateurs (photos, vidéos, numéros de carte de crédit et documents personnels) et espèrent créer la panique.
• Ransomware-as-a-Service (RaaS) – Bien que n’étant pas exactement un type de ransomware totalement différent, le RaaS est un nouveau modèle d’affaires en plein essor sur le « dark web ». Plutôt que d’écrire leur propre code, les pirates en devenir peuvent conclure un accord avec un tiers qui développera le logiciel pour eux et le distribuera immédiatement aux victimes potentielles. Dans cette situation, le fournisseur de RaaS conserve une partie de la rançon alors que le reste est remis au pirate.

Les 5 attaques par ransomware les plus destructrices

De nouvelles souches faisant leur apparition presque tous les jours et les attaques étant de plus en plus dévastatrices, il ne se passe pas une semaine sans qu’une affaire de ransomware ne fasse la une des revues techniques spécialisées. Nous vous présentons ici cinq des attaques par ransomware les plus dévastatrices de ces dernières années.

1. WannaCry

Exploitant les failles du protocole Windows Server Message Block, WannaCry cryptait les fichiers des ordinateurs Windows et demandait aux victimes de payer une rançon d’un montant compris entre 300$ et 600$ en échange de la clé de décryptage. Cette technologie était basée sur EternalBlue, un outil de piratage dont le code fut révélé au cours de fuites de la NSA l’année précédente. Lancé en mai 2017, ce bloqueur de données avait infecté plus de 250,000 appareils dans le monde en quatre jours seulement, rapportant à ses auteurs près de 150,000$ en Bitcoin.

2. CryptoLocker

CryptoLocker a envahi le monde entier en 2013, infectant plus d’un demi-million d’ordinateurs à travers des pièces jointes à des courriels et pourriels. Bien que cette menace ait depuis été éliminée, au sommet de son effet il existait plusieurs variantes de ce bloqueur de données, qui ont permis à leurs auteurs de gagner environ 3 millions de dollars de rançon, faisant ainsi de Cryptolocker l’un des ransomwares les plus profitables.

3. CoinVault

Détecté pour la première fois en 2014, CoinVault n’a pas eu le même impact que d’autres ransomwares. Avec des milliers d’ordinateurs Windows infectés, dont la majorité en Europe centrale et occidentale, ce ransomware a rapporté un peu plus de 23,000$ à ses auteurs. Il s’agit cependant de la première attaque au ransomware majeure à passer au tribunal. En juillet 2018, les deux frères néerlandais derrière CoinVault, l’un d’entre eux mineur lors du lancement du ransomware, furent condamnés à 240 heures de travaux d’intérêt général.

4. Bad Rabbit

Bad Rabbit fait la une pour la première fois fin 2017, bien qu’étant déjà distribué à travers de fausses mises à jour de Flash depuis le moins de juin de cette année. Ce ransomware ciblait principalement les ordinateurs situés en Russie et dans le reste de l’Europe de l’est, bloquant l’accès aux fichiers sur les appareils infectés. Toujours actif, Bad Rabbit demande aux utilisateurs de payer environ 300$ en Bitcoin avant de recevoir le code de décryptage et récupérer l’accès à leurs fichiers.

5. NotPetya

Lancé pour la première fois en 2016, Petya connait une mise à jour après que la fuite de documents du NSA révèlent l’existence de l’outil de piratage EternalBlue. Renommé NotPetya, cette version modernisée ressemblait toujours à un ransomware, mais plutôt que de décrypter les fichiers des victimes après paiement, il les supprimait entièrement. NotPetya a causé d’énormes dommages aux réseaux dans le monde entier, les transports publics et banques d’Ukraine étant les plus durement touchés, attisant les opinions que ce programme faisait partie d’une cyberattaque organisée par la Russie.

Comment supprimer un ransomware

Lorsqu’ils sont confrontés à une attaque par ransomware, nombreux sont ceux qui choisissent de payer la rançon plutôt que de risquer de perdre leurs fichiers importants. Les autorités le déconseillent fortement, mais ce n’est peut-être pas du tout nécessaire. La plupart des meilleurs logiciels anti-ransomware pour Windows sont capables de détecter et éliminer rapidement les ransomware de votre ordinateur sans effacer vos fichiers. Ceci peut ne pas être possible avec certaines des souches de ransomware les plus avancées, c’est pourquoi il est important de savoir comment éviter les attaques par ransomware.

Pour protéger votre ordinateur contre les ransomwares, vous ne devez jamais ouvrir de courriels suspects ni cliquer sur des liens ou pièces jointes qu’ils pourraient contenir. Les ransomwares exploitant les failles d’un logiciel, il est indispensable que vous mettiez votre système d’exploitation à jour régulièrement, ainsi que les programmes installés sur votre ordinateur. N’oubliez pas enfin de sauvegarder périodiquement vos données, soit sur un disque dur externe ou sur un nuage. Si un maliciel crypte vos fichiers, vous y aurez ainsi toujours accès.

En addition à tout ceci, il est important d’utiliser le meilleur logiciel anti-ransomware pour Mac pour protéger votre ordinateur contre toute menace potentielle. La majorité des programmes réputés offrent un décrypteur de ransomware intégré qui surveille votre ordinateur en temps réel et élimine rapidement tout maliciel qu’il détecte. Pour une protection optimale contre les ransomware, n’omettez pas d’activer les mises à jour automatiques des bases de données et programmez des scans.

Sources (en anglais)

• AVG
• Barkly
• Berkeley Security
• Business Insider
• Computerworld
• CS Online
• Interpol
• NBC Washington
• New Scientist
• PC World
• Symantec
• US News
• ZD Net (1)
• ZD Net (2)