En général, les ransomwares ne sont pas les malwares les plus dangereux mais une nouvelle variante – appelée CryptoLocker – est particulièrement préoccupante car elle effectue ce que la plupart des ransomwares affirment faire : elle chiffre le contenu de votre ordinateur en utilisant un système de chiffrement fort.
Au cas où vous ne savez pas de quoi il s’agit, les ransomwares sont une variété de malware qui, une fois qu’ils ont infecté un ordinateur, affirment en avoir chiffré les données avant de bloquer l’ordinateur de la victime. Le malware informe ensuite l’utilisateur infecté qu’il ou elle doit payer une rançon afin de déverrouiller ses fichiers. Bien évidemment, il n’existe aucune garantie que le paiement de la rançon vous permettra de débloquer quoi que ce soit. Il y a en fait de grandes chances pour que le paiement de la rançon ne serve qu’à renflouer les poches de ceux qui ont installé le malware.
Nous écrivons sur de nombreuses menaces dans ce blog car elles sont intéressantes et parce que vous avez peut-être entendu parler d’elles dans l’actualité. Nous aimons expliquer comment fonctionne la menace, de quoi il s’agit, et en général, pourquoi vous ne devriez pas vous en inquiéter. Mais ce n’est pas le cas ici. CryptoLocker est un type de menace qui pourrait sérieusement ruiner votre semaine, votre mois et même votre année, selon la valeur des données qui se trouvent sur votre ordinateur (et la fréquence de vos copies de sauvegarde), vous devriez donc vous en inquiéter un minimum.
Sans surprise, certains utilisateurs infectés ont payé la rançon et affirment qu’ils n’ont jamais reçu la clé de déchiffrement en échange, bien que certains rapports indiquent que le groupe à l’origine de l’attaque a commencé à distribuer des clés de déchiffrement la semaine dernière.
Il semble que plusieurs groupes utilisent actuellement CryptoLocker. J’ai écrit un article à ce sujet le mois dernier sur Threatpost.com. Le malware en question chiffrait les photos, les vidéos, les documents et bien plus, et il fournissait même aux victimes un lien vers une liste complète des types de fichiers chiffrés. Le malware utilisait un chiffrement RSA-2048 protégé d’une clé privée. Le ransomware affichait un compte à rebours de trois jours, prévenant les utilisateurs qu’une fois le temps écoulé, la clé de chiffrement privée serait effacée pour toujours et les fichiers chiffrés ne pourraient jamais être récupérés.
Les pirates exigent le règlement d’une rançon d’environ 300 dollars et proposent différentes formes de paiement, y compris en Bitcoin.
Cette menace est tellement puissante que la United States computer emergency readiness team (US-CERT) a publié un message d’alerte. La US-CERT est une branche du Département américain de la sécurité intérieure qui a essentiellement pour mission d’analyser et de réduire les risques représentés par les menaces en ligne. Leur avertissement indiquait que les infections de CryptoLocker étaient en augmentation, mais son objectif principal était d’encourager les utilisateurs infectés à ne pas payer la rançon exigée par le malware.
CryptoLocker est diffusé via des campagnes d’hameçonnage, certaines proviennent d’entreprises légitimes alors que dans d’autres cas, il s’agit d’étranges notifications de Federal Express ou d’UPS. Certaines victimes ont déclaré que CryptoLocker est également apparu à partir d’un botnet d’infection séparé. Selon Costin Raiu, directeur de la recherche chez Kaspersky Lab, ce malware cible avant tout les utilisateurs situés aux États-Unis et au Royaume-Uni bien que l’Inde, le Canada, l’Australie et la France ont également été ciblés.
Certaines versions de CryptoLocker seraient capables d’infecter non seulement les fichiers locaux mais aussi les fichiers stockés sur d’autres supports tels que les clés USB, les disques durs externes, les fichiers partagés et certains services de stockage dans le cloud qui sont capables de synchroniser les fichiers locaux avec l’espace de stockage en ligne. La notification de US-CERT déclare également que le malware peut sauter d’une machine à l’autre au sein d’un même réseau et conseille aux utilisateurs infectés de supprimer les machines de leur réseau immédiatement.
Brian Krebs, le célèbre journaliste expert en sécurité, a déclaré plus tôt la semaine dernière que le groupe derrière CryptoLocker aurait assoupli sa limite de 72 heures, certainement parce qu’il perdait de l’argent avec les utilisateurs qui étaient prêts à payer mais qui ne trouvaient pas comment payer en Bitcoin ou en MoneyPak dans le laps de temps fourni. Le compte à rebours reste, mais la clé de déchiffrement n’est pas supprimée après que le temps se soit écoulé. Au lieu de cela, les pirates se contentent de multiplier le prix original par dix.
Lawrence Abrams, un expert en malware de BleepingComputer.com, qui est mentionné dans l’article de Kreb, affirme qu’un certain nombre d’entreprises et d’individus n’auront pas d’autre choix que de payer la rançon. Je ne suis pas d’accord avec cela : si vous payez les pirates vous ne ferez que les encourager. Effectuez une copie de sauvegarde de votre ordinateur dès maintenant, faites-le régulièrement et ne laissez pas votre disque dur externe constamment branché à votre ordinateur. Si vous êtes infecté, restaurez votre ordinateur à partir de l’une de vos copies de sauvegarde. Certaines fonctionnalités de produit antivirus pourront peut-être vous aider, mais selon le rapport de Kreb, certains produits antivirus suppriment l’infection après que les fichiers aient été chiffrés ce qui empêche les utilisateurs de pouvoir payer la rançon. Curieusement, les auteurs de CryptoLocker utilisent un système de fond d’écran pour remédier à cette situation. Si la victime souhaite payer la rançon mais que l’antivirus a supprimé l’infection (les fichiers restent néanmoins chiffrés), il est possible de télécharger volontairement le malware en utilisant le lien indiqué sur le fond d’écran.
Les utilisateurs de Kaspersky Internet Security sont protégés contre toutes les actuelles versions de CryptoLocker, l’empêchant ainsi de s’installer sur leur système.