Chiffrement de fichiers façon CryptoLocker : devez-vous payer la rançon ?

Voilà comment ça se passe : vous recevez un e-mail vous demandant de lire un document important se trouvant en pièce jointe, vous vous précipitez pour l’ouvrir et tout à coup, vos fichiers commencent à disparaître, deviennent illisibles ou prennent des extensions étranges comme « exx ». Après un moment, une sympathique fenêtre s’affiche vous indiquant que vos fichiers sont fortement chiffrés et qu’un déchiffrement est uniquement possible à l’aide d’une clé privée se trouvant sur le « serveur secret » du pirate. On vous demande de cliquer sur un lien ou bien d’installer TorBrowser et d’accéder à un site Internet du Web profond. Dans les deux cas, vous êtes redirigés vers une page Web de rançon où l’on vous demande une somme d’argent conséquente, comme dans l’exemple ci-dessous :

cryptolocker_01
Typical Ransom Page

La question est : faut-il oui ou non payer la rançon ?

Nous ne pouvons malheureusement pas prendre cette décision à votre place. Toutefois, nous vous présentons quelques raisons qui expliquent pourquoi nous vous recommandons de ne pas le faire :

1. Savoir à qui l’on a affaire
Il ne s’agit pas là d’un simple « accident » et vous n’êtes pas en train d’acheter un « service de déchiffrement ».

Vous êtes face à des cybercriminels qui ont conçu un logiciel dans le but de « voler » vos fichiers et qui vous réclament maintenant de l’argent en échange.

Ces types sont de la même trempe que les agresseurs qui s’enfuient avec votre sac à main ou qui enlèvent votre animal de compagnie en vous demandant une rançon, et il est primordial d’avoir cela à l’esprit au moment de prendre votre décision.

2. Comprendre les risques
En général, les rançonlogiciels sont effectivement conçus de sorte à envoyer la clé de déchiffrement aux pirates, mais plusieurs choses peuvent mal tourner dans le processus, entraînant la perte de la clé de déchiffrement.

Par exemple, la plupart des rançonlogiciels se connectent à un domaine habituel pour télécharger la clé de déchiffrement, mais beaucoup de domaines impliqués dans des activités de logiciels malveillants sont bloqués ou suspendus chaque jour. Si le domaine en question est suspendu, la clé de déchiffrement n’est pas envoyée au pirate, elle est simplement supprimée de votre système.

Si cela se produit et que vous payez la rançon (ne sachant bien évidemment pas que la clé est perdue), vous vous retrouverez avec des fichiers chiffrés pour toujours et 500 $ de moins. Si vous pensez pouvoir obtenir un remboursement, reportez-vous au paragraphe 1. Savoir à qui l’on a affaire et lisez-le à nouveau.

cryptolocker_02
Example of malware code uploading keys to regular domain

Autre exemple, votre système peut être infecté par un cheval de Troie vieux de six mois dont l’auteur a déjà été arrêté. Vous n’avez aucun moyen de le savoir et l’envoi de bitcoins à son adresse ne requiert aucune confirmation. Par ailleurs, à l’inverse des transactions bancaires ordinaires, les transactions en bitcoins ne peuvent être reversées. Dans ce cas, vous envoyez de l’argent à une personne qui ne peut pas restaurer vos fichiers car elle est en prison, et là encore, vous pouvez vous retrouver avec vos fichiers chiffrés sur les bras et 500 $ de moins dans votre portefeuille.

3. Penser aux autres victimes
Tout d’abord, vous devez comprendre que les pirates créent ce genre de logiciels malveillants pour se faire de l’argent. Plus il y aura de personnes qui payent la rançon, plus ils seront encouragés à réitérer cette escroquerie et plus le nombre de personnes lésées sera important. En refusant de payer la rançon et donc en renonçant à vos fichiers chiffrés, vous aidez les éventuelles futures victimes. Si personne ne payait la rançon, les pirates n’auraient plus aucune raison de concevoir des rançonlogiciels. Nous pensons que c’est un boycottage louable.

4. Penser à une revanche
« Il doit bien y avoir quelque chose que je puisse faire, non ? Comme aller voir la police, ou peut-être que le FBI a un site Web, ou… »
Nous pensons que le moyen le plus sûr et le plus efficace d’obtenir votre revanche personnelle sur le type qui vous a fait ça est de ne pas payer la rançon. Ainsi, vous frapperez là où ça fait mal. Et si vous souhaitez causer encore plus de dégâts, vous pouvez poster cet article sur votre blog personnel ou sur Facebook.

Que faire après coup ?

Donc vous en êtes là : soit vous avez décidé de payer et avez récupéré vos fichiers (ou pas ?), soit vous avez pris une décision difficile en renonçant à payer la rançon.
Dans les deux cas, il y a deux ou trois petites choses supplémentaires à savoir :

1. Votre ordinateur est peut-être encore infecté
Certains chevaux de Troie du genre de CryptoLocker s’autosuppriment une fois le délai de paiement écoulé ou après le déverrouillage des fichiers, mais ce n’est pas le cas de tous. Et quelques semaines plus tard, alors que vous avez repris le cours de votre vie numérique, il se peut que de nouveaux fichiers se retrouvent chiffrés une fois de plus et qu’une nouvelle rançon vous soit demandée !

Nous vous recommandons au moins de démarrer votre ordinateur en mode sans échec et d’effectuer une analyse complète du système pour éviter que ce cauchemar ne se reproduise.

2. Il existe plusieurs moyens de vous protéger
Mettons que vous avez installé un très bon antivirus qui peut détecter et bloquer 100 % de toutes les menaces, tout danger n’est pas écarté pour autant. Voici quelques exemples :

  • Votre ordinateur portable n’a pas eu accès à Internet pendant un moment, de sorte que votre antivirus n’a pas eu la possibilité d’obtenir les dernières définitions de virus disponibles, et vous connectez à votre appareil une clé USB qui est infectée avec un virus récent.
  • Le disque dur peut avoir un secteur défectueux dans l’un des fichiers antivirus, entraînant ainsi un dysfonctionnement de ce dernier.
  • Le système de fichiers peut être endommagé après une panne de courant et empêcher le chargement de la protection en temps réel de l’antivirus.
  • Certains programmes d’installation de logiciel désactivent ou demandent à l’utilisateur de désactiver l’antivirus pendant l’installation.
  • Pendant le court moment où l’antivirus est mis à jour vers une nouvelle version, le système est vulnérable.

Ces cas sont rares, mais pour bénéficier de la meilleure protection possible, vous devez :

  • faire des sauvegardes régulières de vos fichiers

C’est vraiment simple, il vous suffit de vous équiper d’un disque dur externe et de copier régulièrement vos fichiers importants dessus. Veillez à le déconnecter de votre ordinateur une fois la sauvegarde terminée, car certains rançonlogiciels chiffrent également les fichiers des disques durs externes lorsqu’ils sont connectés à l’ordinateur. Si votre ordinateur est infecté mais que vous avez une sauvegarde de vos fichiers, vous n’avez qu’à réinstaller le système d’exploitation et
copier vos fichiers du disque dur externe vers leur emplacement d’origine.

  • toujours vous assurer que votre programme antivirus est actif

Nous pensons qu’utiliser un ordinateur sans antivirus revient à laisser la porte de votre maison grande ouverte. La plupart des programmes antivirus ont des méthodes de détection génériques, appelées « analyses heuristiques », qui peuvent aider à stopper les rançonlogiciels avant qu’ils n’infectent votre système. Nous, chez Avira, surveillons de près ce type de logiciels malveillants et nous bloquons les fichiers et liens depuis lesquels ils sont téléchargés en temps utile.

Toutefois, avoir installé l’antivirus ne suffit pas, vous devez également vous assurer qu’il est actif en vérifiant que l’icône d’antivirus est bien présente dans la zone de notification et en cliquant dessus pour en contrôler le statut. Si, pour une raison ou pour une autre, vous vous rendez compte que l’antivirus est désactivé, essayez de l’activer à nouveau et, si cela ne fonctionne pas, réinstallez-le.

Vous pouvez aider les autres
Maintenant que vous avez lu cet article, vous êtes un véritable cybersamouraï et vous pouvez aider vos amis à se protéger en suivant les étapes simples décrites ci-dessus.

Un autre bon moyen d’aider les autres est de partager cet article. Vous leur faites ainsi prendre conscience de ces menaces tout en leur indiquant comment protéger leurs fichiers. Alors, rejoignez la lutte contre les virus et les logiciels malveillants !

Cet article est également disponible en: AnglaisAllemandItalien