Ransomware : le mode d’emploi

Ransomware - Mode d'emploi


WannaCry, Petya, GoldenEye… Il ne s’agit pas là de noms de tempêtes tropicales, mais des dénominations des dernières attaques de ransomware (ou rançongiciel en bon français) en date. Lors d’un précédent article, nous vous mettions en garde contre ces attaques de ransomware. Cette fois-ci, nous allons vous apprendre comment ces ransomwares fonctionnent, et surtout, pourquoi ils sont si dévastateurs.


Un ransomware ? Qu’est-ce que c’est ?

L’objectif premier d’un rançongiciel est de réclamer de l’argent. Des Bitcoins plus précisément. En effet, cette monnaie virtuelle a pour avantage de n’être liée à aucune banque. Et outre sa non-traçabilité, son taux de change est très élevé : 1 bitcoin vaut environ 2 220€ (au 29/06/2017) !

Or, pour forcer quelqu’un à payer, il faut être sûr qu’il soit prêt à payer. Dans la vraie vie, on prend en otage des personnes... en informatique, on prend en otage des données. Et pour prendre en otage des données, il faut les crypter, pour les rendre illisibles.


Alors, un ransomware, comment ça marche ?


Le ransomware est introduit par un mail contaminé, ou par une faille de sécurité du système d’exploitation. Des failles de sécurité sont découvertes tous les jours, et ces mêmes failles sont corrigées régulièrement par des mises à jour : d’où l’intérêt de les faire !

Une fois introduit dans le système, le rançongiciel va alors chercher tous les fichiers personnels de l’utilisateur (.pdf, .doc, .jpg entre autres) et y appliquer un cryptage. Ce cryptage va transformer les données du fichier touché en d’autres données illisibles. Une fois le fichier terminé, le ransomware passe au suivant. Une fois le PC crypté, il passe par le réseau local pour atteindre le PC suivant, et recommence jusqu’à infecter tout le réseau.

 


Comment fonctionne un ransomware ?

Contre un rançongiciel, que faire….

… Avant l’attaque ?

Il n’existe aucune solution fiable à 100% contre les ransomwares. Il y a cependant des gestes simples pour vous prémunir d’un tel risque. L’un de ces gestes étant de mettre à jour son antivirus et son système. Autre geste crucial : la sauvegarde de données, qui reste un "must have", mais qui n’est efficace que si elle est régulière, et que si le support est déconnecté du réseau.

… Pendant l’attaque ?

Si vous (ou vos collègues) remarquez que des fichiers se transforment en fichiers non-lisibles, avec des extensions étranges : vous êtes contaminés ! Chaque seconde est cruciale et va déterminer le degré de perte.

Commencez par débrancher tous les PC du réseau, et arrêtez-les, afin de contenir le virus sur l’ordinateur qui lance l’attaque.
Si des fichiers sur vos serveurs sont touchés, arrêtez le serveur. Plus vous tarderez à arrêter le serveur, plus il sera difficile de sauver les données.
Contactez votre support informatique afin de déterminer quel(s) PC a/ont été(s) victime(s) de l’attaque, et le(s) réinstaller au besoin.


… Après l’attaque ?

Même si vous en avez les moyens, ne payez surtout pas la rançon demandée. En effet, vous n’avez aucune garantie de récupérer les données. N’essayez pas non plus de trouver une solution pour décrypter les données : c’est impossible sans la clef qui a servi au chiffrage. Au mieux, vous tomberez sur un logiciel placebo, qui ne sera qu’un “pansement sur une jambe de bois”, au pire, vous risquez d’installer un autre rançongiciel sur un pc sain.

Consultez votre assurance : selon le contrat que vous avez souscrit, vous pouvez prétendre à une indemnisation correspondant aux frais engagés pour la réparation de vos machines, voire à une indemnisation au titre du préjudice subi (arrêt d’exploitation….).


Pourquoi est-ce qu’un ransomware est dévastateur ?

Outre le fait que les données soient irrécupérables, ces virus sont dévastateurs du fait qu’ils se propagent sur le réseau, et vont infecter les autres ordinateurs. De plus, si vous connectez une clef USB, un disque dur, ou tout autre support de stockage à un ordinateur infecté, le virus va crypter le disque, qui va à son tour contaminer d’autres postes. Il est donc essentiel d’attendre le feu vert du prestataire informatique avant de reprendre la main sur son poste après une attaque.


Quelques idées reçues….


« Je paye cher entre ma sauvegarde et mon anti-virus ! Pourquoi le virus est passé ? »

La réponse est simple : aucun système n’est fiable à 100% ! Aucun système ne peut vous garantir une sécurité absolue. De plus, lorsqu’un virus apparaît sur internet, il faut généralement entre 24 et 48h avant que 90% des anti-virus le reconnaissent comme tel. La meilleure protection reste la vigilance et le respect des règles simples : Mise à jour, Sauvegarde, et Prudence.

 


« Je connais quelqu’un qui connaît quelqu’un qui est arrivé à récupérer ses données…. »

Si la personne est vraiment arrivée à récupérer ses données à la suite d’une attaque d’un ransomware, elle n’y arrivera sans doute pas sur votre poste. Chaque attaque génère une clef de cryptage unique pour chaque poste et il est peu probable qu’un décryptage fonctionne, et quand bien même il fonctionne, il est très peu probable qu’il arrive à fonctionner deux fois sur deux postes différents.

« Je suis sur Mac, je ne risque rien ! »

Il y a en effet moins de virus sur Mac que sur PC, mais les menaces existantes sont réelles. Avoir un Mac ne dispense en aucun cas d’avoir un antivirus, de faire les mises à jour, et d’effectuer des sauvegardes de manière régulière !

En bref : soyez vigilants sur Internet, externalisez vos sauvegardes, et consultez votre support informatique en cas de doute !

 

Sébastien Gaillard

Administrateur système