Les attaques par rançongiciels (ransomwares) sont devenues l’arme préférée des hackers, professionnels ou du dimanche. Peu chères à mettre en place et ultra-rentables, elles visent principalement les entreprises, mais aussi les particuliers imprudents.
Qu’est-ce qu’un ransomware ?
Le mot «ransom» ou «rançon» en français vous dit tout ce que vous devez savoir sur ce parasite. Le ransomware est donc un logiciel de racket qui verrouille votre ordinateur et demande une rançon en échange du déverrouillage de celui-ci.
Comment fonctionne une attaque de ransomware
1) L’attaquant envoie un Spam ( Envoi répété d’un message électronique, souvent publicitaire, à un grand nombre d’internautes sans leur consentement.) dixit le dico en ligne le Robert.
2) Le spam évite le filtre anti-spam de la victime et arrive dans sa boîte mail.
3) La victime clique sur le lien malveillant.
4) L’antivirus ne le détecte pas.
5) Le malware se connecte grâce à un serveur C&C pour donner des instructions.
6) Le ransomware chiffre les données de la victime.
7) L’attaquant envoie une notification, généralement une demande de rançon.
8) Enfin, l’attaquant tente de répandre le virus de façon latérale aux autres ordinateur de l’entreprise.
Quarante-six pour cent des cibles bloquées paient !
Selon le rapport de Sophos d’avril dernier, 46 % des entreprises dont les données ont été chiffrées lors d’une attaque de ransomware ont payé la rançon.
L’impact d’une attaque de ransomware peut être immense: le coût moyen de récupération pour les grandes entreprises est régulièrement supérieur au million d’euros. Il aura fallu en moyenne, à ces entreprises, un mois pour se remettre des dégâts et des perturbations causés. 90 % des entreprises ont déclaré que l’attaque avait eu un impact sur leur capacité à mener à bien leurs activités, et 86 % des victimes du secteur prive ont déclaré avoir perdu des opportunités et/ou du chiffre d’affaires à cause de l’attaque.
2022, est la nouvelle année record !
La dernière étude d’importance a été livrée par WatchGuard en juillet 2022: alors que les conclusions du Rapport sur la sécurité Internet de son Threat Lab pour le quatrième trimestre 2021 montraient que les attaques par ransomware avaient tendance à diminuer.
Tout a changé au premier trimestre 2022 avec une explosion massive des détections de ransomwares. Fait marquant, le nombre d’attaques par ransomware détectées au premier trimestre atteint déjà le double du nombre total de détections pour 2021!
Corey Nachreiner, Chief Security Officer chez WatchGuard commente:
« Compte tenu de la hausse des ransomwares en ce début d’année et des données issues des trimestres précédents, nous prévoyons que 2022 établira un nouveau record de détections annuelles de ransomwares. »
Comment se prémunir des ransomwares?
L’agence nationale de la sécurité des systèmes d’information, l’ANSSI, donne plusieurs conseils clés pour se protéger efficacement des attaques par rançongiciel.
1. Se déconnecter du réseau:
Cela paraît bête dit comme ça, mais couper la connexion internet de son appareil prive le pirate de son accès. Il ne peut plus surveiller vos actions, ni modifier ou renforcer le chiffrement de vos fichiers. Pour une connexion filaire, débranchez simplement le câble Ethernet. En WiFi, rendez-vous dans le Centre Réseaux et Partage et cliquez sur “Déconnecter”
« Attention contrairement à ce que l’on peut penser, il ne faut pas redémarrer ou arrêter votre PC. Comme le précise l’ANSSI, vous risqueriez de provoquer une modification sur le système de fichiers et de perdre de l’information utile pour l’analyse de l’attaque ». Vous voilà prévenu.
2. Sauvegarder ses fichiers:
Dupliquer ces données, c’est assurer leur préservation, Les disques durs et autres SSD de nos ordinateurs ne sont pas infaillibles ni imprenables. Prenez le réflexe de toujours copier vos données essentielles sur un support alternatif: disque dur externe, clé USB, sur le Cloud avec Google Drive ou Dropbox, etc.
Prudence néanmoins, le ransomware peut se propager aux systèmes de stockages secondaires s’ils sont branchés au PC au moment de l’attaque. De fait, il faudra désinfecter d’abord son ordinateur avant de copier.
3. Mettre à jour son OS et ses logiciels:
Le ransomware profite de la moindre brèche de sécurité pour s’infiltrer. Restez à jour avant de vous garantir d’être protégé par les dernières MAJ de sécurité.
Cela vaut autant pour votre système d’exploitation que pour vos logiciels favoris, comme les navigateurs de recherche, par exemple. Le mieux reste encore d’activer le téléchargement et l’installation automatique des patchs récemment déployés.
4. Ne cliquez pas n’importe où !
Le spam est le vecteur d’infection préféré des pirates. Simple à mettre en oeuvre, il permet de berner facilement la cible. Un colis que vous avez raté, une fausse facture, un fichier PDF sur les bienfaits de l’homéopathie, tous les moyens sont bons pour vous inciter à cliquer. Au moindre doute sur l’expéditeur, prenez ce réflexe salvateur: ne cliquez pas.
5. Utilisez un antivirus:
Et oui mesdames et messieurs, avoir un antivirus à jour installé sur votre PC vous assure une protection actualisée, capable de vous défendre face aux dernières trouvailles des hackers.
Bien sûr, aucun n’est infaillible, mais il est toujours préférable d’avoir une première ligne de défense avant la bataille non?
6. Activer la protection des dossiers sur Windows 10 ou 11:
Microsoft est ce qu’il est, la firme de Redmond a de bonnes idées de temps à autre. Le constructeur a mis en place sur son dernier OS une nouvelle contre-mesure aux ransomwares: le dispositif d’accès contrôlé aux dossiers. Le principe est simplissime: indiquer à Windows les fichiers sensibles à protéger, et empêcher de fait toute application tierce de les modifier. Soit exactement le modus operandi des ransomwares.
Je suis infecté(e) que dois-je faire ?
Là encore plusieurs comportements sont à adopter en cas d’infection. Premièrement, respirez un bon coup. Vous pouvez encore agir pour limiter les agissements des hackers. Vous envisagez de payer? Oubliez cette idée. Rien ne dit que le pirate vous fournira la clé de cryptage après avoir reçu l’argent.
Céder, c’est encourager ces attaques et aider financièrement le délinquant pour créer de nouveaux maliciels par exemple.
Une fois l’ordinateur isolé du réseau, il est temps de dératiser tout ça. Sauvegarder ce qui a pu être préservé sur un CD bootable, puis utilisez ensuite un CD bootable de sécurité cette fois-ci ( la quasi-totalité des antivirus les proposent) pour tenter de bouter le malware hors de votre système.
En cas d’attaque: No More Ransom est le premier réflexe à adopter.
Le projet No More Ransom fêtait en juillet dernier son sixième anniversaire après avoir aidé des millions de victimes de ransomwares à récupérer leurs fichiers gratuitement.
Lancé en juillet 2016, No More Ransom est un portail en ligne et un partenariat public-privé créé par les forces de l’ordre (Europol et la police nationale néerlandaise) et des sociétés de sécurité informatique (Kaspersky et McAfee).
Alors que le projet ne proposait que quatre outils au moment de sa création, “Six ans plus tard, No More Ransom propose 136 outils gratuits pour 165 variantes de ransomwares, dont Gandcrab, REvil/Sodinokibi, Maze/Egregor/Sekhmet et bien d’autres”, rappelait Europol l’été dernier.
Au cours des six années écoulées depuis son lancement, l’initiative a fourni à plus de 10 millions de personnes des décrypteurs gratuits pour récupérer leurs fichiers sans payer les cybercriminels.
L’outil Crypto Sheriff de No More Ransom vous aidera à trouver un décrypteur gratuit en comparant les types de chiffrements sur votre votre PC à une liste d’outils disponibles. S’il trouve une correspondance, il partage un décrypteur de ransomware approprié pour vos fichiers chiffrés, avec des instructions détaillées pour les déverrouiller.
Si aucun décrypteur n’est trouvé, il vous sera conseillé de vérifier à nouveau une correspondance à l’avenir, car de nouveaux outils de déverrouillage sont ajoutés régulièrement.
Une vidéo tuto sur l’utilisation de l’outil Crypto Sheriff est disponible sur le site nomoreransom.org.
Utilisez l’outil Windows pour vous protéger des ransomwares !
Le système de Microsoft embarque un outil de protection contre les rançongiciels pour mettre à l’abri vos fichiers les plus précieux.
1) Activez la protection.
Ouvrez les paramètres de Windows. Choisissez Mise à jour et sécurité → Sécurité Windows → Protection contre les virus et menaces. Au bas de la fenêtre qui s’affiche, cliquez sur «Gérer la protection contre les ransomwares». Basculez l’interrupteur «Dispositif d’accès contrôlé aux dossiers» en position active.
2) Protéger des dossiers.
Par défaut, les dossiers système de Windows sont protégés contre les attaques, y compris les dossiers Documents, Images, etc. Vous pouvez ajouter d’autres dossiers. Cliquez sur Dossiers protégés puis sur le bouton + Ajouter un dossier protégé. Choisissez l’élément que vous souhaitez mettre à l’abri des ransomwares et validez.
3) Autorisez des applications.
La protection des dossiers entraîne leur verrouillage. Il ne sera pas possible pour n’importe quelle application d’y écrire des données. Pour autoriser une appli à avoir accès à un dossier protégé, cliquez sur Autoriser une app via un dispositif d’accès contrôlé aux dossiers. Cliquez sur + Ajouter une application autorisée puis Rechercher dans toutes les applications. Choisissez votre appli et validez.
4) Récupérer des fichiers.
En cas d’attaque, si vous avez paramétré OneDrive pour la sauvegarde automatique dans le cloud de vos fichiers, ceux-ci demeurent bien à l‘abri en ligne.
Par défaut, il s’agit des éléments enregistrés sur le Bureau et dans les dossiers Documents et Images. Au bas de la fenêtre Protection contre les ransomwares, cliquez sur Afficher les fichiers pour en retrouver la trace sur OneDrive.
Voilà tout concernant les ransomwares ! Vous avez maintenant les clés pour vous protéger. A bientôt !