Cloud < 5 min

Logiciels < 5 min

Ransomwares : Comment ça marche ?

Cryptolockers, Ransomwares, Cryptogiciels, Rançongiciels, ou Cryptovirus ?

Ces termes désignent tous un seul et même type d’attaque virale.
Un Ransomware est un virus envoyé par des personnes malveillantes. Il crypte tout ou une partie des fichiers présents sur un ordinateur pour les rendre inaccessibles. L’utilisateur reçoit ensuite un message du hacker l’invitant à payer une rançon (en Bitcoin le plus souvent) en échange d’une clef de cryptage permettant de rétablir ses données.

Pourquoi le BitCoin ? Car le BitCoin est une monnaie virtuelle et difficilement traçable...

Ransomwares : Comment ça marche ?

Comment Fonctionne un Ransomware ?

Les cryptolockers fonctionnent de différentes manières et sont en perpétuelle évolution, c’est d’ailleurs cette mutation constante qui les rend si complexes à repérer pour les éditeurs de solutions de sécurité.

D’autre part, les ransomwares les plus récents n’arrivent pas sous leur forme complète, ils se cachent dans des fichiers d’apparence inoffensive comme des Word ou des PDF qui, une fois ouverts, lancent une commande ou une macro qui va chercher les éléments manquants de son programme sur internet. Une fois le code complété, un algorithme de chiffrement est lancé sur l’ordinateur. Il cible soit l’intégralité des fichiers, soit certains formats jugés plus stratégiques (fichiers textes, images, PDF...). Les programmes les plus avancés tentent ensuite d’accéder aux fichiers externes accessibles via une connexion quelconque (serveurs en réseau, fichiers partagés, backup...).

fonctionnement d’un Ransomware

Comment peut-on être infecté par un Ransomware ?

Comment peut-on être infecté par un Ransomware ?

Les Ransomwares peuvent arriver sur votre poste par de nombreux biais mais ils sont le plus souvent contenus dans des pièces jointes reçues par mail. Ils peuvent également se manifester via un lien de téléchargement. Les mails infectés peuvent vous être adressés par une adresse inconnue, mais également par l’un de vos contacts dont la boite mail aurait été infectée. D’autre part, le texte des mails concernés est de plus en plus soigné et crédible (les pièces jointes sont par exemple désignées comme étant des factures à traiter rapidement), il convient donc d’être très vigilant.

Comment se protéger contre les Ransomwares ?

Comme le disent certains spécialistes en sécurité informatique, « La plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d’un PC. »

Your system is fully protected

Il n’existe pas encore de protection infaillible face aux cryptolockers car ces malwares évoluent et s’adaptent en permanence. Il existe toutefois plusieurs façons de limiter les risques :
La première chose à faire est de sensibiliser vos collaborateurs à ce danger afin que chacun puisse se montrer vigilant. Soyez attentif dans la gestion de vos mails et n’ouvrez les pièces jointes que si vous connaissez leur expéditeur et avez confiance en leur contenu.
Il convient également de déployer un antivirus performant et de vous fier à ses conseils (ne pas télécharger une pièce jointe signalée comme suspecte). Ces derniers savent reconnaître les cryptolockers déjà connus grâce à une base de signatures virales mais peuvent également identifier les nouvelles menaces grâce, par exemple, à des analyses comportementales des fichiers. Ces produits se basent sur un mode bac à sable qui isole les pièces jointes douteuses pour tester leur comportement dans un environnement neutre afin d’identifier celles qui pourraient représenter une menace.
Pensez à mettre à jour vos logiciels. Plusieurs Ransomwares, comme certains virus, exploitent des failles logicielles ayant déjà été patchées, vous êtes donc plus vulnérable si vous n’êtes pas à jour. Il existe différentes solutions de patch management qui permettent d’automatiser cette procédure et ainsi de gagner en temps et en fluidité.

Enfin, il faut garder à l’esprit que de nouveaux Ransomwares sont créés et diffusés chaque jour et que les hackers renouvellent d’ingéniosité pour créer des attaques de plus en plus innovantes. De plus, aucun antivirus classique ne peut vous garantir une protection totale face aux menaces n’étant pas encore identifiées dans les bases de signatures virales. Mieux vaut donc faire preuve de prudence en sauvegardant vos données sur des médias isolés de votre réseau via un backup externalisé.
L’idéal en matière de sauvegarde étant de respecter la règle du 3-2-1 à savoir : 3 copies des données de production, sauvegardées sur 2 supports différents (bandes, disque...) et une sauvegarde externalisée sur un site distant ou dans le cloud.
Notre solution Compufirst Backup vous permet de sauvegarder vos données en local, dans le cloud ou via une infrastructure hybride.

Régle du 3-2-1
Compufirst Backup

Sauvegardez vos données d'entreprise dans le Cloud, nous garantissons l'hébergement en France, dans un datacenter Tier IV.

En savoir plus

Quel risque j’encours si je suis infecté(e) ?

Victimes de Ramsomware

Les données sont ce qu’une entreprise a de plus précieux, une perte de ces dernières peut être dévastatrice, voire fatale.
Suite à l’infection, vos données sont inutilisables, entraînant une inactivité pour votre entreprise, et donc une perte de chiffre d’affaires !

De plus, selon le profil de la cible infectée, les rançons peuvent monter jusqu’à 15-20.000€. La rançon doit être payée rapidement (selon les cas) sous peine de perdre définitivement vos données.

Votre image aussi risque d’être écornée si vos données sont inutilisables pour cause de sécurité, vos clients et prospects auront du mal à vous faire confiance, et vos concurrents bénéficieront d’une opportunité pour prendre le dessus...
Les PME sont la cible privilégiée des hackers car les grandes entreprises disposent souvent de moyens de protections très développés tandis que les particuliers n’ont pas les moyens de payer des amendes élevées.
Retrouvez quelques témoignages qui ont fait couler beaucoup d’encre, comme celui de l’AFP avec son article : Le diable se cache dans la pièce jointe ou des hôpitaux de Los Angeles : Quand un ransomware paralyse un hôpital américain.

Comment supprimer un Ransomware ?

Actuellement on ne peut pas se débarrasser d’un cryptolocker. Lorsqu’un poste est infecté, il faut le nettoyer et restaurer les données sauvegardées.
Les hackers proposent de vous fournir une clé de chiffrement pour décrypter vos données en échange d’une rançon toutefois nous vous recommandons de ne pas payer. D’une part, car vous n'avez aucune garantie que vos données seront restaurées une fois la rançon versée. D’autre part car les sociétés ayant payé une rançon sont considérées comme étant susceptibles de payer à nouveau et sont donc susceptibles d’être ré-attaquées.

En cas d’infection, puis-je contacter les autorités ? être assuré(e) ?

Vous pouvez porter plainte auprès d’un ESCI (Enquêteur Spécialisé sur la Criminalité Informatique) de votre SRPJ (Service Régional de Police Judiciaire) local ou en passant par la plateforme Pharos .

Tout phénomène de mode (piratage de masse, catastrophes naturelles,...) est une opportunité pour les assureurs qui proposent de plus en plus des solutions concernant le vol de données personnelles, l’erreur humaine, l’atteinte à l’e-réputation et la tentative de détournement de fonds : tout ce qui concerne le Ransomware. De nos jours, il est donc devenu quasiment incontournable de s’équiper d’une « cyber-couverture ». Les ransomwares ont progressé de 1425% en 2015. (Source financen.fr)

Récapitulatif : Checklist pour lutter contre le Ransomware

  • 1. Sensibilisez vos collaborateurs : La plus grosse faille dans la sécurité se trouve souvent entre la chaise et le clavier d’un PC.
  • 2. Choisissez des mots de passe complexes (contenant majuscules, minuscules, chiffres,...)
  • 3. Utilisez un logiciel gestionnaire de mot de passe (non pas celui du navigateur)
  • 4. Verrouillez votre session quand vous vous absentez
  • 5. Ne jamais ouvrir les pièces jointes avec les extensions suivantes : .pif, .bat, .com, .exe,...
  • 6. Mettez à jour vos systèmes d’exploitation, logiciels et antivirus
  • 7. Sauvegardez fréquemment vos données sur une source externalisée (Cloud, SaaS,...)
  • 8. Soyez en veille sur l’actualité de la sécurité informatique
  • 9. En cas d’infection : Débranchez le poste infecté de votre réseau
  • 10. Ne payez jamais la rançon !
L’infographie Kaspersky ? Quand votre terminal est pris en otage ! >>
Caroline - Software

Par Caroline

Spécialiste Software

Traductrice Licensing‹-›Français, j'aime remettre les besoins, usages et enjeux métier au cœur des projets informatiques de mes clients.


Les articles qui peuvent vous interesser

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.