Qu'est-ce qu'un ransomware ?

L'un des types de logiciels malveillants les plus récents est connu sous le nom de ransomware. Le ransomware est un type de malware particulièrement méchant car il traverse et crypte chaque fichier sur votre ordinateur, puis vous montre une demande de rançon. Pour déverrouiller votre appareil, vous devez payer la rançon pour ensuite recevoir un code de déverrouillage. Historiquement, la plupart des campagnes de ransomware décryptent les fichiers une fois la rançon payée, car la publicité sur les pirates qui respectent leur part du marché est un élément important pour persuader les gens payer.

Remarque: il est généralement recommandé de ne pas payer la rançon. Cela continue de prouver que les ransomwares peuvent être rentables, cela ne garantit pas non plus que vous aurez à nouveau accès à vos données.

Astuce: Le cryptage est un processus de brouillage des données avec un chiffrement et une clé de cryptage. Les données chiffrées ne peuvent être déchiffrées qu'à l'aide de la clé de déchiffrement.

Comment ça marche?

Comme tout malware, le ransomware doit être installé sur votre ordinateur pour fonctionner. Il existe de nombreuses méthodes d'infection potentielles, mais certaines des méthodes les plus courantes sont les téléchargements infectés sur des pages Web, la publicité malveillante et les pièces jointes malveillantes.

Astuce: La publicité malveillante consiste à diffuser des logiciels malveillants via des réseaux publicitaires.

Une fois téléchargé sur votre ordinateur, le ransomware commencera à crypter les fichiers en arrière-plan. Certaines variantes le feront aussi vite que possible, vous remarquerez peut-être que cela affecte les performances de votre système, mais vous aurez alors peu de temps pour faire quoi que ce soit à ce sujet. Certaines variantes de ransomware crypteront les données lentement, afin de réduire les chances qu'elles soient remarquées en action. Quelques variantes de ransomware restent en sommeil pendant des semaines ou des mois afin d'être incluses dans toutes les sauvegardes qui pourraient être utilisées pour restaurer le système.

Astuce: les ransomwares évitent généralement de chiffrer les fichiers système critiques. Windows devrait toujours fonctionner, mais tous les fichiers personnels, etc. seront cryptés.

Une fois que le ransomware a tout crypté sur l'ordinateur, son dernier acte consiste à créer une note de rançon, généralement sur le bureau. La note de rançon explique généralement ce qui s'est passé, fournit des instructions sur la façon de payer la rançon et ce qui se passera si vous ne le faites pas. Une limite de temps est généralement également fixée, avec la menace d'une augmentation de prix ou la suppression de la clé utilisée pour inciter les gens à payer.

Un certain nombre de variantes de ransomware offrent une fonctionnalité qui vous permet de déchiffrer un petit nombre de fichiers en guise de geste « de bonne volonté » pour prouver que vos fichiers peuvent être déchiffrés. Le mode de paiement sera généralement le bitcoin ou diverses autres crypto-monnaies. La demande de rançon fournit généralement une gamme de liens vers des sites où vous pouvez acheter les crypto-monnaies pertinentes, dans le but de faciliter leur paiement.

Une fois que vous avez fourni le paiement, ou parfois une preuve de paiement, vous recevrez généralement une clé de déchiffrement que vous pourrez utiliser pour déchiffrer vos données. Malheureusement, il existe certaines variantes qui ne décryptent jamais, même si vous payez – en d'autres termes, vous ne devriez PAS payer, mais chercher d'autres solutions.

Le processus de cryptage sur votre ordinateur est généralement effectué avec une clé de cryptage symétrique générée de manière aléatoire. Cette clé de chiffrement est ensuite chiffrée avec une clé de chiffrement asymétrique, pour laquelle le créateur du ransomware dispose de la clé de déchiffrement correspondante. Cela signifie que seul le créateur du ransomware peut déchiffrer le mot de passe dont vous avez besoin pour déchiffrer votre ordinateur.

Astuce: Il existe deux types d'algorithmes de chiffrement, symétriques et asymétriques. Le chiffrement symétrique utilise la même clé de chiffrement pour chiffrer et déchiffrer les données, tandis que le chiffrement asymétrique utilise une clé différente pour chiffrer et déchiffrer les données. Le chiffrement asymétrique permet à une personne de donner à plusieurs personnes la même clé de chiffrement tout en conservant la seule clé de déchiffrement.

Certaines variantes de ransomware incluent également des fonctionnalités d'assistance qui vous permettent de contacter la personne qui exécute l'escroquerie. Ceci est conçu pour vous aider tout au long du processus de paiement, cependant, certaines personnes ont réussi à l'utiliser pour essayer de négocier le prix vers le bas.

Astuce: dans certains cas, un ransomware sera déployé en tant qu'infection secondaire pour tenter de dissimuler l'existence d'un autre virus qui aurait pu voler secrètement d'autres données. L'intention, dans ce cas, est principalement de crypter les fichiers journaux et de rendre le processus de réponse aux incidents et d'investigation plus difficile. Ce type d'attaque n'est généralement utilisé que dans des attaques très ciblées contre les entreprises plutôt que contre les utilisateurs d'ordinateurs en général.

Comment se protéger

Vous pouvez réduire les risques d'être infecté par un ransomware et d'autres logiciels malveillants en faisant attention sur Internet. Vous ne devez pas ouvrir les pièces jointes que vous n'attendiez pas, même si vous faites confiance à l'expéditeur. Vous devriez jamais activer les macros dans les documents bureautiques, surtout si le document a été téléchargé depuis Internet. Les macros de documents Office sont une méthode courante d'infection.

Un bloqueur de publicités, comme uBlock Origin, peut être un bon outil pour se protéger contre les publicités malveillantes. Vous devez également vous assurer que vous ne téléchargez que des fichiers à partir de sites Web légitimes et dignes de confiance, car les logiciels malveillants peuvent souvent être cachés dans des téléchargements infectés se faisant passer pour des versions gratuites de logiciels payants.

Posséder et utiliser un logiciel antivirus ou anti-malware est généralement une bonne défense de secours contre les logiciels malveillants qui parviennent à franchir votre première ligne de défense.

Au secours, je suis infecté !

Si vous vous trouvez dans la situation où un ransomware a pris le contrôle de votre ordinateur, vous pourrez peut-être déverrouiller le ransomware gratuitement. Un bon nombre de programmes de ransomware étaient mal conçus et/ou ont déjà été supprimés par les forces de l'ordre.

Dans ces cas, il est possible que la clé principale de déchiffrement ait été identifiée et soit disponible. Europol EC3 (Centre Européen de la Cybercriminalité) dispose d'un outil appelé «Shérif crypto" qui peut être utilisé pour identifier le type de ransomware que vous possédez, puis vous lier à l'outil de décryptage approprié s'il existe.

L'une des meilleures protections que vous puissiez avoir contre les ransomwares est de bonnes sauvegardes. Ces sauvegardes doivent être stockées sur un disque dur non connecté à l'ordinateur ou au même réseau que l'ordinateur pour éviter qu'elles ne soient également infectées. La sauvegarde ne doit être connectée à l'ordinateur concerné qu'une fois le ransomware supprimé, sinon il sera également crypté.