Ce n’est plus un secret : le ransomware est une menace douloureuse. Et il n’est pas prêt de disparaître de sitôt, sauf quelques exceptions bien entendu.
Bonne nouvelle : voici le récit d’une de ces exceptions. Dernièrement, Kaspersky Lab a aidé la police néerlandaise à neutraliser un autre type de ransomware, WildFire, connu principalement pour terroriser les habitants des Pays-Bas.
WildFire faisait partie de ces chevaux de Troie avides, en quête de votre argent rapidement, en réclamant des coûts supplémentaires en cas de retard de paiement. Dans ce cas, le malware demandait 300$ sous huit jours. Passé ce délai, le montant triplait.
La National High Tech Crime Unit de la police néerlandaise a saisi un serveur de commande et contrôle qui contenait 1600 clés de déchiffrement. Nous nous sommes servis de ces données pour concevoir un nouvel outil de déchiffrement, que nous avons publié sur nomoreransom.org, noransom.kaspersky.com, et support.kaspersky.com.
La police néerlandaise a remplacé le service malveillant par un nouveau qui envoie des notifications à toutes les victimes de WildFire, et qui peuvent à leur tour télécharger gratuitement l’outil de déchiffrement.
Locked out of your files by #ransomware? Check out #nomoreransom site for help & tips https://t.co/jtkXL6nWsB pic.twitter.com/1i6NNtD5so
— Kaspersky (@kaspersky) July 25, 2016
Retour en arrière
Depuis le tout début, WildFire visait les néerlandais. En fait, 90% des victimes étaient des Pays-Bas.
WildFire était envoyé via un spam, écrit dans un néerlandais parfait, qui indiquait aux utilisateurs qu’une société de transport n’avait pas réussi à livrer un colis. Le message contenait un lien pour télécharger un formulaire afin de reprogrammer la livraison. Le site web disposait d’un nom de domaine néerlandais et avait l’air dans l’ensemble convainquant.
Les victimes se sont rendues sur le site, ont téléchargé le document, l’ont ouvert, ce qui a provoqué l’activation de macros malveillants, qui à leur tour téléchargeaient et exécutaient WildFire. Comme le souhaitaient les cybercriminels, le code des macros comprenait des paroles de la chanson « Money » de Pink Floyd (ainsi que d’autres variantes avec des noms en polonais).
Comment vous protéger
S’il n’existait qu’un seul type de malware et qu’un moyen d’envoi, la cybersécurité serait de la tarte. Malheureusement, ça ne l’est pas, et il existe des millions d’autres menaces. Pour vous assurer de votre sécurité, suivez nos conseils :
- Si vous êtes victime de WildFire, téléchargez une clé de déchiffrement sur nomoreransom.org. Le site contient également des outils de déchiffrement pour des dizaines d’autres types de ransomwares.
2. Après avoir déchiffré vos fichiers, analysez votre PC, peut-être que WildFire n’est pas le seul malware présent sur votre système. Vous pouvez effectuer une analyse gratuite avec Kaspersky Virus Removal Tool.
10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF
— Kaspersky (@kaspersky) November 30, 2015
3. WildFire a été envoyé à l’aide d’e-mails frauduleux. C’est la raison pour laquelle nous vous recommandons fortement de comprendre comment fonctionne l’hameçonnage. La vigilance est de mise : si vous n’avez pas commandé de colis, qui pourrait donc bien vous en envoyer un ? Une livraison inattendue n’est pas forcément une mauvaise nouvelle, mais le mystère qui pèse sur elle devrait vous mettre la puce à l’oreille quant à une éventuelle fraude. Si vous pouvez, ouvrez vos fichiers suspects dans une machine virtuelle.
4. Si un élément de malware s’est introduit dans votre système, il semble évident qu’un autre malware l’ait pu également faire. C’est pourquoi il est si important de protéger votre système avec un bon antivirus. Bien sûr, nous vous recommandons notre propre solution de sécurité Kaspersky Internet Security. Mais indépendamment de votre choix, nous vous incitons vivement à utiliser une solution de sécurité sur tous vos dispositifs. Il vous suffit de l’installer, de l’exécuter et de la mettre à jour régulièrement.