Parades anti-Ransomware

Ce n’est pas nouveau mais ça fait toujours autant mal.

Le chantage au cryptage de disque dur revient en force ces derniers jours avec TeslaCrypt et CryptoLocker, qui appartiennent à la famille des ransomwares.

Principe des ransomwares

Un ransomware, ou rançongiciel en français, est un malware qui chiffre certains de vos fichiers en utilisant des clefs secrètes.

Le chiffrement concerne certains fichiers du disque dur (documents word, excel, images, etc.), ainsi que ceux des partages réseaux.

Lorsque le ransonware a fini de crypter vos fichiers, il affiche un écran qui vous invite à payer une rançon entre 100 $ et 1000 $ (voire plus) afin de déchiffrer les fichiers.

L’écran affiche aussi une minuterie indiquant que vous avez 2 ou 3 jours pour payer la rançon. Si vous ne payez pas avant ce délai, soit votre clé de déchiffrement sera supprimée et vous n’aurez plus aucun moyen pour déchiffrer vos fichiers, soit le montant de la rançon augmente.

La rançon doit généralement être payée à l’aide de Bitcoins. Cette méthode de paiement ne permet pas de retrouver l’identité de l’encaisseur du paiement.

Une fois que vous avez envoyé le paiement, le programme déchiffre les fichiers qu’il a chiffrés.

À ce jour, compte-tenu du chiffrage fort et de l’implémentation, il n’existe pas de solutions efficaces pour déchiffrer les fichiers chiffrés à l’aide d’un logiciel du commerce sans la clé de déchiffrement.

Vous refusez de céder au chantage

Si vous ne voulez pas payer, vous avez d’autres solutions :

  1. Supprimer le malware
  2. Repartir d’une sauvegarde
  3. Utiliser un point de restauration

Vous pouvez récupérer vos données d’une sauvegarde manuelle, ou d’un cliché instantané si la restauration du système est active. La restauration à partir d’un cliché instantané est simplifiée avec l’outil gratuit ShadowExplorer.

Pour connaître la liste des fichiers chiffrés par le malware, vous pouvez utiliser http://download.bleepingcomputer.com/grinler/ListCrilock.exe. Pour en savoir plus, consultez l’article CryptoLocker Ransomware Information Guide and FAQ.

Lorsque vous faites des sauvegardes, pensez à les échelonner: sauvegardes quotidiennes, hebdomadaires, mensuels (fin de mois), annuels (fin d’année).

Idéalement, triplez-les : les disques durs externes sont de moins en moins chers.

Prévention de CryptoLocker

CryptoLocker est un programme qui est apparu en septembre 2013.

Ce malware se propage sous forme d’une pièce jointe au format Zip attaché à un email. Le fichier Zip contient un exécutable avec l’icône PDF pour faire croire à un fichier Acrobat PDF.

Si vous avez le moindre doute avec une pièce jointe, passez-la au crible de VirusTotal. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

L’outil, gratuit pour les particuliers, CryptoPrevent vous aidera à éviter à vous faire contaminer. Cet outil vous évite d’être contaminé par CryptoLocker en interdisant son exécution à partir de ses emplacements préférés. Son éditeur Foolish IT propose aussi un service payant facultatif de mise à jour automatique de CryptoPrevent.

Les entreprises peuvent s’appuyer sur Cryptolocker Prevention Kit pour protéger leurs domaines.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *