Ransomware, cryptoware : s’informer

En 2014, un homme s’est suicidé après qu’un message qui le menaçait de prison s’il ne payait pas une rançon de milliers de dollars soit apparu sur son écran. Aussi incroyable que cela puisse paraitre, c’est la première fois qu’un virus informatique a littéralement tué quelqu’un.

Cette nouvelle génération de malware ne cesse de s’améliorer, allant désormais jusqu’à contaminer les tablettes et smartphones qui sont de plus en plus utilisés pour stocker des informations personnelles pour les particuliers ou sensibles pour les entreprises.

En France, le début de l’année 2015 a été particulièrement marqué par le cryptoware CTB Locker, qui a contaminé de nombreuses PME.

En quoi un ransomware est différent d’un malware traditionnel ?

  • Les ransomwares ne volent pas d’informations personnelles, ils en bloquent l’accès à l’utilisateur
  • Ils demandent une rançon, la plupart du temps en Bitcoin
  • Ils sont assez faciles à créer – de nombreuses  bibliothèques de chiffrement bien documentées sont disponibles

Quels sont les différents types de ransomwares ?

Les ransomwares classiques

Les ransomwares classiques ne chiffrent pas les données mais se chargent de bloquer l’écran de l’appareil (ordinateur, smartphone ou tablette) en affichant une image détaillant le processus de récupération du contrôle de la machine, précisant le montant de la rançon et la procédure de paiement.

L’écran de blocage peut prendre la forme d’un message provenant des forces de l’ordre, c’est notamment le cas du fameux « virus gendarmerie » qui faisait croire aux destinataires que l’ordinateur était bloqué pour cause de téléchargement illégal ou consultation de pédopornographie.

Le ransomware est capable d’afficher un écran de blocage différent en fonction de l’adresse IP de l’utilisateur, de manière à rendre crédible le message. Ainsi, les utilisateurs français verront un message de la police ou de la gendarmerie française, les américains du FBI, etc.

Les cryptowares

Les cryptowares agissent comme les ransomwares classiques, à la différence qu’ils sont capables de chiffrer les fichiers présents sur l’appareil de l’utilisateur – documents, fichiers Office, images, vidéos et photos, selon leur technologie utilisée.

Lorsque le malware est installé sur le poste de la victime, il contacte son centre de commande et contrôle (C&C server) afin de générer une clé de chiffrement et une clé de déchiffrement (elle-même chiffrée).

Une fois les fichiers chiffrés, le cryptoware affiche un message à l’écran, qui se retrouve bloqué. Le message diffère de celui des ransomwares classiques, puisqu’il affiche également un décompte de temps, généralement de l’ordre de deux ou trois jours, avant que le cryptoware ne détruise la clé de déchiffrement.

Cela incite le particulier ou l’entreprise, pour qui les documents de travail sont inaccessibles et irrécupérables dans l’intervalle, à payer la rançon rapidement.

Dans le cas contraire, les documents seront très probablement perdus pour toujours, car un chiffrement très fort est utilisé.

Le paiement de la rançon permet au cryptoware de dévoiler la clé de déchiffrement, afin de reprendre possession des documents pris en otage.

Selon les technologies utilisées, les cryptowares sont capables de chiffrer les lecteurs réseaux, c’est-à-dire tous les appareils connectés au poste victime – disque dur externe, clé USB mais aussi serveur local. Le potentiel de dégâts en entreprise est donc particulièrement élevé.

Parmi les cryptowares les plus connus, citons Cryptowall, Critroni (une variante de CTB Locker) et TorLocker.

Certains groupes de cybercriminels passent par le réseau TOR afin d’anonymiser les communications entre le cryptoware et son serveur C&C.

Les cryptowares sont une véritable manne commerciale, le ransomware TorLocker est ainsi vendu sur les forums pirates comme un véritable programme d’affiliation. Cela signifie que le créateur du malware recevra un pourcentage de la somme extorquée à la victime.

TorLocker comporte également des clés renouvelables qui permettent de chiffrer les fichiers sur l’ordinateur de la victime même si celui-ci n’est pas connecté à Internet, ce qui en fait une arme redoutable.

« La situation va en s’aggravant, et nous voyons de plus en plus d’infections, » déclare Bogdan Botezatu, analyste sénior des e-menaces chez Bitdefender. « Une fois que vous êtes victime d’un ransomware, il n’y aucun autre moyen que de payer pour retrouver vos données. Mais si vous payez, cela ne fait qu’encourager le business et le financement de la recherche et du développement de ces malwares. D’autre part, il y a un risque pour que les cybercriminels ne vous rendent pas l’accès à vos données même après avoir reçu votre paiement, vous serez alors doublement victime de ce malware. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut