Prévenir les Infections de Rançongiciels

Table des Matières 

Introduction

Cela fait plus ou moins 10 ans que les attaques de rançongiciels ont commencées. Depuis ce temps elles sont devenus l’une méthode les plus, si non la plus, employées par les logiciels malveillants pour extorquer de l’argent aux victimes. En 10 ans elles sont devenues incroyablement complexes et avancées et elles une grande nuisance. Les attaques de rançongiciels ont augmentées exponentiellement depuis leur création et font maintenant partie de notre lexique des temps modernes. Les campagnes d’attaques de rançongiciels récentes telles que WannaCry ont fait les manchettes internationales, souvent ces manchettes et les articles subséquents ont traités des coûts et des inconvénients occasionnés. On accordé peut d’attention à ce qu’est un rançongiciel, comment il est distribué, et peut-être encore plus important comment ne pas devenir une victime d’une telle attaque. L’intention de cet article est de couvrir plus en détails ces aspects ignorés dans de courts et nouveaux segments.

Qu'est-ce qu'un rançongiciel?

Pour donner une définition de base du rançongiciel il est important de prendre le temps de comprendre ce que le programme malicieux cherche à atteindre et également comprendre que c’est des cybers criminels qui déploient le programme. Essentiellement le programme malicieux cherche à encrypter les données des utilisateurs afin qu’ils ne puissent pas accéder à leurs fichiers. Souvent les fichiers qui sont encryptés seront des types de fichiers qui sont essentiels aux affaires ou des informations personnelles qui peuvent détruire des réputations ou compromettent des règles de conformité. Une fois que les fichiers sont encryptés on envoie une note de rançon à l’instruction qui lui indique qu’un paiement doit être fait afin d’essentiellement décrypter les données. En résumé, les données de l’utilisateur lui sont effectivement prises jusqu’à ce qu’il pait la rançon. Plus souvent qu’autrement le paiement doit être payé en Bitcoin ou une autre crypto devise. Elles sont utilisées car elles donnent un certain degré d’autonomie à ceux qui utilisent le rançongiciel.

Les rançongiciels, viennent historiquement en deux types. Un des premiers types de rançongiciels lancés cherchait à verrouiller l’ordinateur des utilisateurs afin que l’utilisateur n’est plus accès du tout à leur ordinateur, on l’appelait souvent un rançongiciel verrouilleur. La popularité de ce type de rançongiciel apparaît être en déclin. Le second type, plus souvent utilisé, sont des variantes  de rançongiciels qui encryptent divers fichiers, ce qui permet généralement aux utilisateurs d’avoir un accès limité à leur ordinateur. Cet accès limité est destiné à permettre aux utilisateurs de faire le paiement plus facilement et avec un peu de chance en temps opportun. On les nomme crypto-rançongiciel. Au fil des ans on a utilisé plusieurs termes pour décrire les rançongiciels ajoutant de la confusion. Les termes tels que crypto-rançongiciels, crypto-virus, et Crypto Locker ont été utilisés pour décrire les rançongiciels. Afin de ne pas ajouter à la confusion le terme rançongiciel est utilisé dans cet article pour décrire un programme malicieux qui encrypte, ou limite l’utilisation que l’utilisateur peut faire de son ordinateur avec l’intention de demander une rançon.

Captures d'écran de 4 rançongiciels largement propagés Cerber, Locky, CryptXXX et Jaff:

prévention de rançongiciel rançongiciel cerber prévention de rançongiciel rançongiciel  cryptxxx prévention de rançongiciel rançongiciel  jaff prévention de rançongiciel rançongiciel  locky

Résumé de l’attaque

Tandis que les attaques de rançongiciels augmentent, les données de 2016 montrent que les attaques augmentent de coefficient de trois chaque année, il est essentiel de savoir comment on effectue une telle attaque. C’est comment un délivre et déploie le programme malicieux en plus de comment on extorque la rançon. On investiguera plus détail comment un livre le rançongiciel dans un système plus loin mais nous en parlerons brièvement dans cette section. Pourquoi parlerons en détail de la livraison? C’est parce que vous pouvez arrêter la livraison du rançongiciel si vous arrêtez son déploiement en cours de route. Ce qui suit peut être vu comme un résumé de l’attaque.

  1. Livraison : Le rançon est délivré de deux façon au système de la personne qui en sera bientôt la victime. Soit par email, soit par un kit d’exploitation joint à un site web compromis (Nous en parlerons plus en détail ci-dessous).
  2. Exécution et cryptage : Souvent les créateurs du programme incluront de nombreuses mesures pour éviter la détection par les programmes antivirus. Une méthode populaire qui est en croissance est par code injection, qui injecte le code dans des services authentiques utilisés par le système d’exploitation. Une fois que le rançongiciel a évité avec succès l’antivirus et le pare-feu le rançongiciel commencera à chercher des fichiers qui ont été programmés pour le cryptage. Souvent ce sont des fichiers .docx .xls ou certains types de fichiers d’images qui seront ciblés. Les variantes de rançongiciels plus avancés peuvent même propager sur les lecteurs réseaux comme tentative d’infecter les autres ordinateurs et systèmes connectés à la cible initiale. Une fois que les fichiers ont été trouvés le programme commencera le processus de cryptage. Cela peut prendre quelques minutes ou quelques secondes. La variante Chimera encryptent avec succès les fichiers en 18 secondes. Souvent les protocoles de cryptage de 128 bit sont utilisés ce qui fait que le décryptage est exceptionnellement difficile et virtuellement impossible pour quelqu’un n’ayant pas les connaissances requises.
  3. La rançon : Une fois que le cryptage est complet une note de rançon ou un verrouilleur d’écran sera affichée informant l’utilisateur que leurs fichiers ont été encryptés et qu’ils ont un certain temps pour faire le paiement autrement les fichiers seront encryptés de façon permanente. En théorie une fois que le paiement est reçu les cybers criminels enverront le code de décryptage. Il y a des fois où le paiement a été fait mais aucun code n’a été reçu afin de décrypter les fichiers. C’est important de se souvenir que si vous êtes prêt à payer vous avez souvent affaire à des entreprises criminelles, mais avec des gens ayant des principes moraux guidant affaires immorales. Comme toujours il n’y a aucune garantie qu’une fois que le paiement est effectué vous recevrez le code de décryptage. Incidemment qui développent des guides de suppression et de décryptage, tels que notre site web, ceux-ci peuvent aider en cas d’infection.

Bien que le résumé ci-dessous soit un résumé simplifié de comment se déroule l'attaque en pratique il fournit un regard unique sur comment le rançongiciel est déployée et comment on extorque de la crypto-monnaie à la victime. Par la suite en discutera plus en  profondeur de comment ces programmes malicieux sont délivrés, ou distribués, et comment ces attaques peuvent être prévenues.

Comment le rançongiciel est-il délivré

Tel que mentionné ci-dessus le rançongiciel délivré de deux façons principales. Ce sont des emails ou des kits d'exploitation. Si les utilisateurs savent comment ces programmes malicieux sont délivrés ils feront en sorte que la prévention sera une perspective plus facile. Chaque méthode sera examinée à tour de rôle :

  1. L’email : L’email est devenu une méthode privilégiée pour la distribution de rançongiciels et de logiciels malveillants. L'une des raisons pour laquelle il est favorisé est parce qu'il est de confiance, en plus d’être une méthode de distribution facile. Cette méthode d'utilisation des courriels est souvent appelée hameçonnage. Un email qui ressemble à un courriel légitime qui peut sembler provenir d'une entreprise légitime est envoyé avec des pièces jointes qui contiennent le rançongiciel, souvent avec d'autres types de logiciels malveillants. Une fois ces pièces jointes ouvertes, le rançongiciel sera automatiquement installé sur le système des utilisateurs. Les créateurs du rançongiciel peuvent également lier des sites web corrompus, plutôt que d'utiliser des pièces jointes corrompues. L'hameçonnage s'est révélé être un succès majeur, selon Verizon, 30% des emails d'hameçonnage ont été ouverts en 2016. Donc, le taux de réussite représente près d'un tiers de tous les emails. Pour cette raison, il a été adopté par les développeurs de rançongiciels comme une méthode de distribution majeure.
  2. Des kits d'exploitation : Fondamentalement, un kit d'exploitation permet au développeur de rançongiciels de télécharger des codes malveillants sur n'importe quel site web auquel ils ont accès. Le code est conçu pour exploiter les vulnérabilités du logiciel que l'utilisateur pourrait exécuter. Par le passé, Adobe Flash Player a été exploité pour fournir des rançongiciels et diverses autres formes de logiciels malveillants. Malheureusement, cela ne se limite pas aux sites web douteux. Afin d'augmenter le taux d'infection, les développeurs utiliseront des sites web légitimes et populaires pour distribuer des rançongiciels. Bien que cela soit menaçant, il n'y a aucune raison d'empêcher les utilisateurs de profiter de nombreux avantages offerts par Internet. La meilleure protection contre de telles attaques consiste simplement à maintenir votre logiciel à jour. Les développeurs de logiciels utilisent souvent des mises à jour pour effacer les vulnérabilités dans leur logiciel, limitant ainsi les vulnérabilités auxquelles les utilisateurs sont exposés. Comme nous allons le voir, la mise à jour du logiciel est l'une des principales façons de prévenir les infections.

Captures des emails qui sont utilisés par les cybers criminels pour propager le rançongiciel:

prévention du rançongiciel email escroc exemple 2 prévention du rançongiciel email escroc exemple 3 prévention du rançongiciel email escroc exemple 4 prévention du rançongiciel email escroc exemple 1

Captures d'écran de pièces jointes infectées - documents malveillants contenant des macros qui, une fois activées, installent des rançongiciels sur l'ordinateur de la victime :

prévention du rançongiciel macros escrocs exemple 1 prévention du rançongiciel macros escrocs exemple 2 prévention du rançongiciel macros escrocs exemple 3 prévention du rançongiciel macros escrocs exemple 4

Bien que tout ce qui a été couvert jusqu'à présent puisse sembler très décourageant, il existe des moyens de prévenir les infections. Comme dirait le le vieil adage «Il vaut mieux prévenir que guérir», il en va de même pour le rançongiciel et de nombreuses méthodes de prévention contre les attaques sont incroyablement faciles à réaliser. Souvent, ils ont besoin d'un peu de discipline et d'un processus Quand on considère qu'il coûte souvent une moyenne de 500 USD pour décrypter des fichiers déjà cryptés, la prévention est quelque chose que votre portefeuille appréciera.

Comment prévenir l'infection

Ce qui suit peut être considéré comme un guide sur la façon d’augmenter votre niveau de sécurité dans tous les domaines de la cyber-sécurité. Ceux-ci sont faciles à mettre en œuvre et ne nécessitent souvent aucune dépense en capital, mais ils plutôt nécessitent d'être conscients des menaces auxquelles vous faites face quotidiennement en utilisant simplement un ordinateur connecté à Internet. Voici quatre méthodes pour aider à prévenir l'infection par le rançongiciel :

  1. S’assurer que le logiciel soit mis à jour régulièrement : Les développeurs de logiciels mettent constamment à jour un logiciel dont l'un des principaux objectifs est de réduire la quantité de vulnérabilités pouvant être exploitées par les cybercriminels. La plupart des logiciels vous informeront lorsqu'une mise à jour est nécessaire ou qu'ils seront mis à jour automatiquement si vous ne désactivez pas cette fonction. On peut considérer comme ennuyant de mettre constamment à jour votre système et votre logiciel, mais lorsque vous considérez ce qui pourrait aller mal, un inconvénient mineur est toujours préférable à un problème majeur. Prenons l'exemple de la récente vague d'attaques WannaCry. L'une des principales raisons pour lesquelles l'attaque était si répandue est parce que les gens n'avaient pas téléchargé et installé des mises à jour de sécurité vitales. Dans de nombreux cas où les gens blâmaient Microsoft, plutôt que les cybercriminels eux-mêmes dans certains cas, Microsoft avait déjà réalisé des mises à jour pour empêcher l'exploitation des vulnérabilités WannaCry, bien que l'utilisation de DoublePulsar soit exploitée.
  2. Installation d’un logiciel d'antivirus : Cela empêche non seulement les attaques de rançongiciel mais empêche également de nombreuses autres attaques de logiciels malveillants. Il existe de nombreux produits sur le marché et nécessiteront des études de marché de votre part quant à savoir quelles entreprises sont réputées. Il en va de même pour d'autres logiciels, car vous devez garder votre logiciel antivirus à jour. Ceci est fait pour que le logiciel puisse bloquer les dernières variantes de logiciels malveillants. Cette méthode de prévention nécessite de dépenser de l'argent durement gagné, mais à long terme, cela peut vous sauver de l'attaque et cela vous empêchera d’avoir à dépenser de l'argent pour financer un syndicat du crime organisé plutôt qu'une entreprise chargée de protéger votre ordinateur.
  3. Faites attention lors de l'ouverture des courriels et méfiez-vous des fenêtres pop-up suspectes : Bien qu'il existe d'excellents produits de filtrage de courriel disponibles sur le marché pour accroître encore votre position de sécurité, il est conseillé d'acheter un tel produit, de nombreuses variantes de rançongiciel peuvent être évitées en adoptant votre propre processus de filtrage. Tout d'abord, lorsque vous ouvrez des courriels, vérifiez s'il est envoyé par une source légitime, ceci peut être fait facilement lorsque vous regardez l'adresse de l'expéditeur. Si cela semble suspect, n'ouvrez aucune des pièces jointes. Dans le corps du courrier électronique, recherchez rapidement des erreurs d'orthographe évidentes et des erreurs grammaticales. Il est peu probable que les entreprises envoient des communications par courrier électronique contenant des erreurs évidentes, car elles reflètent mal l'entreprise. Sachez également que les banques et les autres institutions financières ne vous demanderont jamais d'informations sensibles telles que les mots de passe pour accéder aux services bancaires sur Internet par courriel. Certaines variantes de rançongiciels nécessiteront que vous cliquiez sur une fenêtre pop-up pour déployer le rançongiciel. Ne cliquez pas sur la fenêtre pop-up, mais fermez-la plutôt en toute sécurité pour éviter toute infection.
  4. Prenez l'habitude de créer des sauvegardes : Cela n’est pas nécessairement relié à la prévention, mais si votre système est infecté, elle permettra à l'utilisateur de supprimer et de restaurer toutes les données sauvegardées à partir d'une date antérieure. En créant des sauvegardes régulières, vous pouvez atténuer les résultats désastreux potentiels de l'infection par le rançongiciel. La création de sauvegardes n'est pas uniquement conseillée pour la lutte contre les cybers menaces, mais aussi dans le cas où un ordinateur tombe en panne. Une sauvegarde supplémentaire peut être effectuée sur un disque dur amovible qui peut être débranché de l'ordinateur et stocké dans un endroit sûr.

Simply by employing these for measures one can successfully defend or prevent against a ransomware attack. Further businesses and large corporations can institute stricter security policies which restrict privileged access to only those educated as to the threats faced by the organization. Policies like contacting the IT department if an employee receives a suspicious email can save the company literally millions of dollars in the event of a malware attack or data breach.

Conclusion

L'une des composantes clés de la lutte contre les cyber-menaces a toujours été l'éducation. Dans cette mesure, on espère que cet article a permis de clarifier ce qu'est un rançongiciel, comment il est distribué et surtout comment se défendre contre les attaques ou préférablement comment prévenir une attaque. En employant les méthodes énumérées ci-dessus, vous augmenterez certainement votre niveau de sécurité et vous ferez très certainement de grands progrès pour prévenir les attaques. Juste en effectuant des sauvegardes, par exemple, vous avez limité les dégâts causés par l'attaque de rançongiciel si vous êtes infecté. On espère que vous avez trouvé cet article informatif et éclairant sur les menaces posées par la vie dans l'ère numérique.