Ransomware / Rançongiciels

Septembre 2016

Les ransomwares (ou rançongiciels en français) sont des menaces informatiques qui visent à soutirer de l'argent à la victime.
C'est une forme de racket numérique qui vise à prendre en otage des documents ou l'accès à l'ordinateur afin de faire payer une rançon.



On distingue deux types de ransomwares :
  • Les Ransomwares Winlock qui empêchent l'accès à Windows et demandent de payer une rançon, en langage commun, sont les virus gendarmerie puisqu'ils se font aussi passer pour les autorités afin de faire payer une amende imaginaire. Se reporter à la page : Trojan Winlock : "Virus Gendarmerie / ANSSI / Police / Interpol" et Ransomware Virus Gendarmerie : Votre ordinateur est bloqué. Le paiement se fait souvent au moyen de Ukash ou Paysafecard, d'où le nom parfois de virus Ukash.
  • Les Crypto-Ransomware : ces derniers prennent en otage vos documents en les chiffrant (crypter en langage commun), modifient souvent l'extension des documents, par exemple .mp3 .locked ou .locky, et un message contenant les instructions de paiement est ensuite affiché. Le paiement se fait souvent en Bitcoin à travers un site sur le réseau TOR.

Les Crypto-Ransomware

Les Ransomware Winlock ont eu le vent en poupe fin de 2010 jusqu'en 2014, avec une pointe en 2011, 2012 et ont disparu petit à petit.
Les Crypto-Ransomware sont apparu de manière courante en 2014 avec une attaque massive fin de 2015 et 2016. On distingue alors plusieurs grandes variantes touchant la France :
  • CryptoWall : ce dernier aurait touché plus de 6 000 000 ordinateurs de part le monde.
  • TeslaCrypt : actif début 2015, une campagne importante a eu lieu en Décembre 2015, Celle-ci bien que moins importante est toujours active en 2016. Les campagnes Email persistent, TeslaCrypt RSA 4096 est aussi distribué par des Web Exploit.

Teslacrypt a été abandonné fin mai par son auteur qui a publié la clef privée pour récupérer tous les documents chiffrés par ce ransomware quelque soit la variante.
Le programme TeslaDecrypt permet de récupérer ses documents, Plus d'informations : https://forum.malekal.com/fiche-teslacrypt-t53943.html#p420280
TeslaDecrypt devrait laisser la place à CryptXXX.
  • Ransomware Locky : apparu mi-Février, il a connu une très forte campagne utilisant les mêmes campagnes que le Trojan Dridex, à savoir des campagnes importantes d'emails.
  • Ransomware Cerber : Apparu Avril 2016, ce dernier change l'extension en .cerber - ce dernier est surtout distribué par des Web Exploit.
  • Ransomware RSA-4096 CryptXXX apparu avril 2016, ce dernier modifie les extensions des fichiers chiffrés en .crypt - les pages d'instructions reprennent celles de TeslaCrypt. Voir l'Astuce Virus RSA 4096. Début Juin, CryptXXX utilise l'extension .cryp1 puis .crypz avant de passer à des extensions aléatoires.
  • CTB-Locker : plutôt courant en 2014, il est beaucoup moins virulent. Une variante s'attaque au site WEB a vu le jour en 2016


Voici un exemple de demande de paiement du Ransomware/Rançongiciel CryptoWall :



Notez que certains rançongiciels peuvent aussi modifier le fond d'écran pour faire apparaître les instructions de paiements.

Une fois l'ordinateur infecté, ces ransomwares vont :
  • chiffrer tous les documents des disques locaux
  • chiffrer tous les documents des disques amovibles si insérés (clefs USB, disque dur externe)
  • tenter de chiffrer tous les documents des ressources réseaux (lecteur réseau, UNC etc), d'où dans les entreprises la possibilité à partir d'un poste client qu'une partie des documents du serveurs de fichiers soient touchés.

Cas Spéciaux : Crypto-Ransomware - MBR Ransomware

Mention spéciale pour les MBR Ransomware qui visent à chiffrer les partitions des disques dur.
Notamment le Ransomware Petya en fait partie.

Petya Ransomware est un ransomware qui contrairement aux autres crypto-ransomware ne va pas chiffrer les fichier un par un, mais chiffre l'intégralité du disque dur au niveau de la partition.
Petya Ransomware est aussi un MBR Ransomware puisqu'il se copie au niveau du MBR et démarre avant le chargement de Windows.

Le chiffrement des partitions prenant du temps, Petya Ransomware simule un BSOD puis lance un faux checkdisk Windows (ou chkdksk) afin que l'utilisateur ne se doute de rien.



Comment les Crypto-Ranwomare sont distribués

Les Crypto-Ransomwares utilisent deux méthodes pour être distribuées à grande échelle, ce sont les mêmes méthodes que les infections traditionnelles et notamment les Trojans :
  • Les campagnes d'emails malicieux, avec des pièces jointes au format Word ou JavaScript. Dans ce dernier cas, la désactivation de Windows Script Hosting est recommandé : Comment se protéger des scripts malicieux sur Windows. Notez que certaines campagnes sont en français, comme par exemple, l'utilisation des emails Free Mobile
  • Les Web Exploit qui visent à infecter un ordinateur en tirant parti des logiciels non à jour (notamment les plugins du navigateur WEB), elles touchent plus les utilisateurs d'Internet Explorer. Pour ne pas être vulnérable, il est fortement recommandé de maintenir ses logiciels à jour.


On distingue aussi d'autres variantes, qui visent plus particulièrement les entreprises, à travers des attaques bruteforce RDP. Une fois la main sur le serveur, l'attaquant désactive l'antivirus et chiffre les documents et laisse les instructions de paiement. Deux grandes campagnes de ransomwares/raçongiciels ont utilisés ce type d'attaque OMG Ransomware et .Crysis Ransomware

Les campagnes d'Emails malicieux restent très utilisent avec des pièces jointes zip contenant un fichier JavaScript (Trojan.JS).
Si les campagnes poussant le Ransomware TeslaCrypt sont en langue anglaise et imitent de faux services tels que Invoice ou Fedex, celles du Ransomware Locky reprennent des emails en langue française telles que de fausses commandes, de fausses factures ou se faisant passer pour Free Mobile.



Cette vidéo montre comment le Ransomware Locky peut s'installer sur un ordinateur à partir d'un JavaScript malicieux reçu dans un zip par email et lorsque cela ne fonctionne pas car Windows Script Host est désactive.




Cette autre vidéo montre comment un ordinateur vulnérable aux WEB Exploits, se voit infecter par la simple visite d'un site WEB (en l’occurrence ici Google avertit du danger) :



Soyez donc vigilant.

Si vous avez été infecté par un Crypto-Ransomware

Nous vous recommandons de suivre la procédure suivante :

Si vous avez des sauvegardes, vous pouvez les remettre en place, assurez-vous avant que l'ordinateur soit bien désinfecté intégralement.

Conclusion

Vous l'aurez compris, les ransomwares sont très vicieux et peuvent faire beaucoup de dégâts, d'où l'importance d'effectuer des sauvegardes des documents importants.
Soyez vigilants sur la toile et sécuriser votre ordinateur à l'aide de l'astuce suivante : Sécuriser son PC.

Notamment concernant les emails malicieux Trojan.JS, la désactivation de Windows Script Host est fortement recommandé, rendez-vous sur la page : Comment se protéger des scripts malicieux sur Windows.

Liens externes et ressources :
Crédit photo : 8vfanrf / 123RF Banque d'images

A voir également :

Ce document intitulé «  Ransomware / Rançongiciels  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.