Tout comme les requins en affaires, les cybercriminels sont en quête perpétuelle de conquérir de nouveaux marchés. Ils font des expériences, changent de cible, et traquent leurs victimes, le tout pour se faire plus d’argent facile. C’est justement ce à quoi nous avons pu assister dans la dernière version de CTB-Locker.
Ce type de ransomware s’est montré astucieux par le passé. Il utilisait le réseau informatique superposé Tor pour se protéger des experts en sécurité, et acceptait seulement des paiements introuvables par le biais de la monnaie cryptographique Bitcoin.
The best line of #defense against any #ransomware is to have backed up your machines yesterday. https://t.co/cpcBqX1Qy2
— Kaspersky (@kaspersky) January 30, 2015
Voici l’heure des bonnes nouvelles pour les particuliers, mauvaises en revanche pour les entreprises : le tout nouveau CTB-Locker cible uniquement les serveurs web. Alors que le ransomware traditionnel crypte les fichiers des utilisateurs, celui-ci crypte les données hébergées sur le routeur du serveur web. Et sans ces fichiers, un site web ne peut pas exister.
Les hackers soutirent 150$ (ou plus précisément 0,4 de Bitcoin) de rançon. Si une victime ne paie pas dans les délais, le prix double.
https://cdn.securelist.com/files/2016/02/ctb_locker_en_1.png
Les coupables remplacent également la page principale d’un site web piraté avec un message, dans lequel ils expliquent en détails ce qui est arrivé, et quand / comment l’argent peut être transféré. Ils ajoutent ensuite sans le moindre scrupule une vidéo d’instructions pour ceux qui ignorent comment acheter sur Bitcoin et proposent de décrypter deux fichiers aléatoires pour prouver leur » bonne foi « . Une victime peut même chatter avec les hackers qui utilisent un code spécial disponible uniquement pour les victimes.
De ce qu’on en sait, le nouveau CTB-Locker a déjà crypté les données de plus de 70 serveurs localisés dans dix pays, le plus touché étant les Etats-Unis, pas étonnant.
https://cdn.securelist.com/files/2016/03/ctb_locker_en_123.png
Le ransomware CTB-Locker est un véritable fléau sur Internet étant donné qu’il n’existe toujours pas d’outil de décryptage qui puisse aider les victimes.
On ignore toujours de quelle façon le CTB-Locker se déploie sur les serveurs web, en revanche on a remarqué une chose en commun : un grand nombre de victimes utilisent la plate-forme WordPress. C’est pourquoi on vous recommande fortement de :
Actualiser WordPress régulièrement, étant donné que les versions non mises à jour contiennent un certain nombre de vulnérabilités ;
Soyez très prudent concernant les plugins de tierce partie, ces ajouts peuvent être très utiles mais seulement lorsqu’ils sont conçus par des développeurs fiables ;
Sauvegardez toutes les données importantes
Faites attention aux mails d’hameçonnage (phishing)
Ne vous fiez pas aux ajouts du type » trop beau pour être vrai « , qu’on trouve en ligne et qui vous incite à installer des logiciels de tierce partie pour n’importe quelle raison (par exemple pour des analyses web).
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
Même si cette version de ransomware en particulier cible seulement des sites web, il existe de nombreux autres cryptolockers qui visent vos fichiers personnels. Pour les particuliers, nous vous recommandons d’installer une solution de sécurité efficace, en faisant des sauvegardes fréquemment sur une base régulière et ainsi éviter la technique de l’hameçonnage puisque de nos jours elle est devenue la méthode la plus répandue pour toutes sortes de programmes malveillants y compris les ransomwares.