Mon père otage d’une rançon

C’est une crainte avérée qui peut frapper quelconque utilisateur chevronné en entendant un membre de sa famille s’écrier : « Je ne peux plus utiliser mon ordinateur ! Tout ce que je vois sont des messages bizarres et je ne peux plus RIEN ouvrir ! »

Telle fut la situation à laquelle un collaborateur d’Avira fut confronté – avec son père. Voici les détails de ce qui a été fait, ce qui n’a pas été fait, et ce pourquoi le FBI peut vraiment avoir tort :
« Tout ce que mon père a pu reconnaître, comme dans la plupart des cas, est que plus rien ne fonctionnait », relate Andrei Petrus, chef de produit chez Avira. « Tant de fichiers, documents et images collectionnés au fil des années rendus inaccessibles – et des caractères bien étranges figuraient désormais dans les noms de fichier. »

attachment2

Lorsqu’Andrei put observer la situation de visu, il avait devant lui un PC de bureau des plus courants fonctionnant sous Windows Vista. À ceci près qu’un programme antivirus (non Avira) était installé, et parfaitement à jour de surcroît, mais tous ses boucliers étaient désactivés.

Et la notification de la rançon s’afficha

Les mauvaises nouvelles se sont annoncées immédiatement après le démarrage de Windows. L’annonce affichée dans une fenêtre intempestive indiquait clairement que l’ordinateur était infecté par une variante du rançonlogiciel « Cryptolocker » et que tous les fichiers avaient été chiffrés par un algorithme AES robuste de façon à être inutilisables. Les caractères étranges ajoutés aux noms des fichiers correspondaient à un identifiant spécial permettant aux cyberescrocs d’identifier la clé qui devrait (probablement) vous être fournie après versement de la rançon pour pouvoir récupérer vos fichiers.

Les options de récupération de données étaient limitées. Les outils disponibles sur le marché pour opérer le déchiffrement en recourant à la force brute ne fonctionnaient pas avec cette variante. « Mais j’ai copié les fichiers sur un lecteur de sauvegarde en attendant qu’un outil de déchiffrement soit disponible un jour », expliqua Andrei.

La seule chose à faire était de recommencer à zéro : s’occuper du disque dur, le reformater et réinstaller Windows. Mais en prenant soin d’installer l’antivirus Avira pour éviter la répétition de tels événements.

Se plier au jeu du rançonnage de données

Le FBI recommande de payer la rançon. Avira non. En voici la raison : « Pour m’amuser, j’ai décidé de prendre contact avec les cyberescrocs et de jouer le jeu, afin de connaître le prix de la rançon et de traverser toutes les étapes nécessaires », raconte-t-il. « Et, me mettant à la place de mon père – qui n’est vraiment pas un pro de l’informatique – j’ai tenté de poser des questions très simples sur la meilleure façon de transférer les bitcoins. »

mail-initial

« Je n’ai jamais obtenu de réponse. Je me demande si le fait d’acheter les bitcoins aurait réellement changé quelque-chose », affirme-t-il. « Et quand bien même, ne devraient-ils pas s’enquérir de mes modalités de paiement et me guider correctement le long du processus de paiement, étant donné que je leur ai affirmé avoir payé et qu’ils n’ont jamais reçu d’argent ? »mail-replies

Le rançonnage de fichiers, tout du moins dans cette variante du rançonlogiciel, peut être un faux-semblant. « Je suis persuadé qu’ils n’aident pas les victimes à récupérer les fichiers, que celles-ci se prêtent au règlement ou non », déclare Andrei. « Je pense aussi que le processus (infection, communication par e-mail) est automatisé de bout en bout. Ils sont sans doute en train de savourer un cocktail quelque part en Thaïlande. »

Quatre points à mémoriser :

1. Utilisez Avira pour vous protéger en premier lieu contre ce type de rançonlogiciel perfide. Si vous utilisez un autre antivirus, veillez à ce qu’il soit entièrement opérationnel.
2. Soyez circonspect envers les e-mails que vous recevez, notamment ceux affichant des pièces jointes aux lignes d’objet accrocheuses ou au sujet brûlant. Et ce aussi envers les e-mails provenant d’amis : il vaut parfois mieux leur demander personnellement pourquoi ils vous envoient de tels e-mails, au lieu d’ouvrir la pièce jointe sans réfléchir.
3. Prévoyez un solide plan de sauvegarde, au mieux en faisant appel à un service cloud qui offre des fonctionnalités de gestion et de restauration des versions. Utiliser un disque HDD/SSD de rechange pour effectuer une sauvegarde locale ne suffit pas, car le virus peut chiffrer les fichiers sur ces emplacements aussi.
4. Ne comptez pas sur un quelconque secours ou sur le paiement de la rançon pour récupérer vos données chiffrées.

Cet article est également disponible en: AnglaisItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.