De plus en plus présent sur internet dans nos boites mail, les ransomwares (ou rançongiciels) sont des programmes informatiques malveillants destinés à bloquer l’utilisation de votre système informatique ou bien encore qui cryptent certaines de vos données sensibles et vous en rendent l’accès moyennant une contribution financière plus ou moins importante.
De nos jours, Internet est loin d’être un long fleuve tranquille et le simple fait de surfer sur le net peut se reveler une experience dangereuse. Certains pirates peut scrupuleux ont développés des escroqueries de plus en plus ingénieuses pour réussir a forcer les utilisateurs lambda a mettre la main au portefeuille.
Tout le monde connaît plus ou moins le célèbre ransomware « Gendarmerie » qui se faisait passer pour les services de Gendarmerie et demandait a l’utilisateur de payer une certaine somme sous couvert d’amende ADOPI ou autre afin de récupérer l’accès a son ordinateur.
Nous rappelons que le seul site officiel pour régler une amende est www.amendes.gouv.fr.
Ce ransomware ce faisait passer pour les services de la Gendarmerie ou de la Police Nationale et demandait a l’utilisateur de régler une amende qui variait entre 100 et 200 euros afin de « lever le déblocage de l’ordinateur ». Dans le cas contraire celui-ci serait confisqué et l’utilisateur assigné au tribunal.
Inutile de vous dire que tout cela est faux, mais le ransomware présent sur de nombreux site de streaming utilisait la naïveté ou la culpabilité de l’utilisateur qui consultait un site de streaming illégal et de ce fait rendait possible le fait d’avoir été intercepté par les autorités et de devoir payer une amende.
De nos jour, une nouvelle forme de ransomware / Trojan Winlock a vu le jour sur internet. Cette fois-ci, des serveurs mails non sécurisé ou des adresses mail piratés sont utilisé pour vous faire parvenir un courriel de menace ou d’intimidation (Voir exemple ci dessous).
Mail reçu ce jour d’une adresse connue de nos services.
Le pirate vous informe qu’il avait piraté votre ordinateur il y a quelques mois et qu’il a envoyé un mail depuis votre compte mail personnel (qui aurait été lui aussi piraté). Il vous informe également qu’il avait placé un logiciel de piratage sur un site web à caractère pornographique que vous avez l’habitude de visiter et que vous avez été filmé a votre insu lorsque vous consultiez ses sites web pornographiques.
Evidemment, dans le cas présent, les pirates informatique savent très bien que les sites web à caractère pornographique sont parmi les sites les plus visités par les utilisateurs avec ceux de streaming.
Le pirate vous menace de diffuser une vidéos de vos activités sur ses sites, car comme il l’explique, il a fait un montage ou l’ont voit le site que vous étiez entrain de visiter et des images filmés au même moment par votre webcam. Il vous explique aussi que cette vidéo est déjà téléchargé vers un site distant et qu’il vous sera impossible de la supprimer même si vous détruisez votre ordinateur ou formatez votre disque.
Il vous garanti que vous ne serez pas déranger à l’avenir une fois le paiement effectué et que tout sera effacé. Bien évidemment, le seul conseil utiles que nous pouvons vous donner, c’est de contacter votre entreprise informatique ou votre Administrateur (si vous êtes en entreprise) et de ne surtout jamais effectué de règlement et ne répondez pas à ce genre de messages.
Vous avez 48h pour effectuer votre règlement sinon la vidéo sera transmise à tous vos contacts, vos parents, vos collègues. Si le paiement est effectué il effacera la vidéo tout simplement. Bien évidemment inutile de vous précisez que cette vidéo n’existe pas et que le seul but de ce mail est de vous réclamer 520 euros sans aucune raison valable.
Dans ce genre de cas, les utilisateurs lambda ont tendances à régler la somme et oublier ce mail le plus rapidement possible en espérant ne plus être importuné. Bien entendu, ce n’est pas la bonne démarche. Faire appel à un professionnel vous coutera beaucoup moins cher et sera beaucoup plus utile que de succomber au chantage de ce pirate.
Dans tous les cas, une bonne protection antivirale, des recherches sur internet et le bon sens sont les meilleurs outils pour lutter contre ce genre d’escroquerie. Elles sont de plus en plus répandus et la formation des utilisateurs pour lutter contre ce type d’escroquerie étant inexistante, le procédé ce répète de plus en plus tous les jours.
Pour finir, si vous recevez ce genre de message, gardez votre calme, n’effectuer aucun paiement en ligne ou par un quelque autre moyen, ne pas répondre au mail et contacter votre informaticien local qui saura vous aiguillez dans vos démarches.
Les chercheurs de la firme de sécurité informatique chinoise « Qihoo 360’s NetLab » ont révélés les détails d’une campagne de piratage visant à voler les informations de cartes bancaires sur plus de 105 sites de e-commerces visités par des clients.
Durant leurs monitoring du domaine malveillant « www.magento-analytics(.)com » durant les sept derniers mois, les experts ont découverts que les pirates avaient injecté des scripts JS malicieux hébergé sur ce domaine sur plus de centaines de sites d’achats en ligne.
Les scripts JavaScript en question utilisent un code « d’écrémage » de carte numérique. Lorsqu’il est exécuté par le site marchand, il vise à voler automatiquement les informations bancaires tels que le nom du propriétaire de la carte de crédit, le numéro de carte, la date d’expiration, le cryptogramme (CVV) lorsqu’ils sont renseignés sur les sites marchands.
Dans une interview par mail, l’expert de NetLab nous a informé qu’il ne disposait pas de suffisamment d’informations pour déterminer avec précisions comment les pirates informatiques ont infecté les sites Web concernés en premier lieu ou quelles vulnérabilités ils ont exploitées, mais a confirmé que tous les sites d’achat concernés fonctionnent avec le logiciel de e-commerce CMS « Magento » .
Une analyse plus approfondie a révélé que le script malveillant envoyait ensuite les données de carte de paiement volées vers un autre fichier hébergé sur le serveur magento-analytics [.] Com contrôlé par les attaquants.
« Prenez l’exemple d’un site victime (www.kings2.com) qui lorsqu’un utilisateur charge sa page d’accueil, charge également le script JS. Si un utilisateur sélectionne un produit et se rend dans la rubrique « Informations de paiement » pour soumettre les informations de carte de crédit, après avoir saisi les données CVV, les informations de carte de crédit seront téléchargées « , expliquent les chercheurs dans un blog publié aujourd’hui.
La technique utilisée par le groupe responsable de cette attaque n’est ni nouvelle, ni exactement identique à celle des groupes de piratage de cartes de crédit MageCart utilisés dans des centaines de leurs attaques récentes, notamment Ticketmaster, British Airways et Newegg.
Cependant, les chercheurs de NetLab n’ont pas explicitement reliés cette attaque avec les attaques du groupe MageCart.
Ne soyez pas induit en erreur concernant le nom de domaine — www.magento-analytics(.)com. Avoir « Magento » dans votre nom de domaine ne signifie pas que le domaine malveillant soit affilié à la plateforme de commerce électronique Magento. Les pirates ont utilisé ce mot-clé pour dissimuler leurs activités et dérouter les utilisateurs habituels.
Selon les chercheurs, le domaine malveillant utilisé dans la campagne est enregistré au Panama. Toutefois, ces derniers mois, l’adresse IP a été déplacée de « États-Unis, Arizona » à « Russie, Moscou », puis à « Chine, Hong Kong. «
Les chercheurs ont constaté que le domaine malveillant volait des informations de cartes de crédit depuis au moins cinq mois sur un total de 105 sites Web déjà infectés par le JS malveillant, mais ils estiment que ce nombre pourrait être supérieur à ce qui apparaît sur leur radar.
Hier encore, un utilisateur a indiqué sur un forum que son site Web Magento avait également été piraté et que des attaquants ont secrètement injecté un script de vol de carte de crédit du même domaine, apparemment une variante distincte qui n’a pas encore été répertoriée sur le site Web 360 NetLab.
Comme les pirates exploitent généralement les vulnérabilités connues des logiciels de commerce électronique en ligne pour injecter leurs scripts malveillants, il est vivement conseillé aux administrateurs de sites Web de respecter les meilleures pratiques de sécurité, telles que l’application des dernières mises à jour et correctifs, la limitation des privilèges pour les systèmes critiques et le renforcement des serveurs Web.
Les administrateurs de sites Web sont également invités à tirer parti de la politique de sécurité du contenu (CSP), qui permet de contrôler de manière stricte les ressources pouvant être chargées sur votre site.
Pendant ce temps, il est également conseillé aux acheteurs en ligne de vérifier régulièrement les relevés de leurs cartes de crédit et leurs relevés bancaires en cas d’activité inconnue. Quelle que soit l’ampleur de la transaction non autorisée que vous remarquez, vous devez la signaler immédiatement à votre banque.
Pour prévenir les menaces liées aux logiciels malveillants qui tentent d’extorquer de l’argent ou tenter de réparer s’il est déjà trop tard CNET France vous propose quelques actions.
(Mise à jour du 23/02/2018 : ajout d’un guide pour utiliser la protection des dossiers de Windows 10). Le nom de ransomware est maintenant familier chez les internautes, en partie à cause de la communication faite autour de cette menace mais aussi parce que bon nombre y ont déjà été confrontés ou ont été ciblés par une tentative d’infection. Dernier exemple en date, le ransomware WannaCrypt qui a touché de nombreux ordinateurs et pris en otage les fichiers des utilisateurs.
Pour ne pas se retrouver dans cette situation voici quelques conseils à appliquer en prévention et d’autres pour limiter les dégâts lorsqu’il est trop tard.
Qu’est-ce qu’un Ransomware ?
Le ransomware est un malware, appelé parfois à tort « virus », ou à raison s’il se duplique et propage de lui même, qui a pour but final de soutirer de l’argent à sa victime. L’infection passe par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un email piégé ou au bout d’un lien. Il peut aussi se diffuser par le biais de pages web piratées qui tentent d’utiliser les failles des systèmes d’ordinateurs ou des logiciels.
Lorsque le ransomware a pris place sur l’ordinateur (ou le smartphone, dans 20% des cas selon Kaspersky) de sa victime il applique un blocage du système ou un chiffrement (cryptage) sur les fichiers et dossiers personnels de l’ordinateur de telle sorte qu’ils deviennent illisibles. Une fois son travail terminé il indique à l’utilisateur piégé un moyen de débloquer l’ordinateur de récupérer ses fichiers, généralement en payant une rançon contre la clé de cryptage qui permettra d’ôter le chiffrement. Le logiciel tente de se faire passer pour une autorité : police, gendarmerie, FBI, lutte contre le téléchargement illégal etc. D’autre exemples dans le sujet du forum sur les ransomware.
L’utilisateur n’a donc d’autres choix que de perdre ses fichiers ou de payer la rançon. La paiement ne garantit toutefois pas que les moyens permettant la récupération seront effectivement fournis par le pirate. Il est donc conseillé de ne pas payer et de tenter de récupérer quelques fichiers par d’autres moyens.
Comment le malware agit-il ?
Le fonctionnement d’un ransomware est un peu particulier car il doit mener à bien de multiples tâches pour être efficace. La première est probablement la plus importante mais la moins technique : elle consiste à s’introduire sur l’ordinateur d’une victime. Dans certains cas particuliers comme lors de l’attaque Petya/NotPetya/Petrwap les pirates ont utilisé le système de mise à jour d’un logiciel, MEDoc, pour s’introduire ne laissant aucune possibilité aux victimes pour prévenir l’infection.
Plus habituellement les pirates utilisent la ruse pour s’introduire sur l’ordinateur en se servant d’emails piégés (technique du phishing). Ils redirigent l’utilisateur vers un site infecté ou font télécharger une pièce jointe piégée. Une fois sur l’ordinateur, s’ils arrivent à passer le cap de l’antivirus, c’est là que le malware commence à faire son oeuvre, parfois en établissant la communication avec un serveur pour récupérer les éléments nécessaires à l’infection.
La suite est toujours la même avec seulement une petite variante. Soit les pirates affichent un message de menace et bloque quelques fonctionnalités, soit le malware chiffre les données personnelles pour les rendre inaccessibles. Un message s’affiche ensuite pour indiquer à l’utilisateur les conditions pour récupérer ses données, généralement via le paiement d’une rançon.
Comment se protéger ?
Il existe plusieurs variantes de ransowware baptisés avec des noms tels que : Wannacrypt, Cryptowall, Cryptolocker, Petya ou Locky etc. Ce dernier est particulièrement virulent selon l’éditeur de solutions de sécurité Kaspersky qui fournit quelques conseils pour éviter de tomber dans la piège des ransomwares.
1. Sauvegarder ses fichiers Le conseil est valable pour les ransomwares mais aussi pour l’informatique en général. Les disques durs ou autre systèmes de mémoire tout comme les systèmes ne sont pas infaillibles, il convient donc d’avoir ses données importantes (photos, documents etc…) dupliqués à deux endroits différents en tout temps. Dans l’idéal la sauvegarde doit être faite de façon régulière sur un support qui n’est liée à l’appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne…). En effet les ransomwares peuvent également se propager aux supports de stockage connectés à l’appareil infecté.
2. Mettre à jour son système et ses logiciels Le ransomware, ou plus généralement les malware, se diffusent en utilisant des failles de logiciels ou des systèmes comme porte d’entrée. C’est ce qui a permis aux pirates de mener la cyberattaque WannaCrypt. Tenez à jour vos systèmes Windows, Linux, Mac, Android, iOS ou autres et vérifiez régulièrement que vous utilisez la dernière version de vos logiciels favoris, notamment les navigateurs. Enfin, certains systèmes d’exploitation ou logiciels ne sont plus supportés et ne reçoivent plus de mises à jour de sécurité. C’est le cas notamment de Windows XP qui ne devrait plus être utilisé
3. Redoubler de prudence avec les pièces jointes Le système de pièces jointes des courriers électroniques est devenu au fil du temps un moyen indispensable pour échanger des fichiers mais c’est aussi un des moyens que les pirates utilisent pour diffuser leur logiciel malveillant. Comme on l’a vu avec le cas Locky une pièce jointe annoncée comme étant une facture peut contenir un malware, il convient donc d’éviter d’ouvrir ou d’exécuter des pièces jointes reçues si on a un doute sur le but du message. Demandez confirmation à l’expéditeur si vous n’êtes pas certains que l’envoi est légitime.
4. Utiliser un antivirus à jour Les logiciels malveillants, virus et autres malwares, évoluent en permanence. Pour cette raison on pourra trouver différentes variantes d’un ransomware. Utiliser un antivirus à jour permet de s’assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que votre antivirus pourra le reconnaitre. Attention toutefois, un fichier téléchargé mais non signalé comme dangereux par l’antivirus ne signifie pas pour autant qu’il est sain.
5. Activer la protection des dossiers de Windows 10 Dans sa dernière version majeure distribuée à l’automne 2017 Microsoft a mis en place un nouveau moyen de défense qui vise particulièrement les ransomware : le dispositif d’accès contrôlé aux dossiers. Il permet d’indiquer au système que l’on souhaite protéger ses dossiers personnels, ceux utilisés habituellement par Windows. Si d’autres dossiers sont à protéger il est également possible de les désigner manuellement. Activer cette protection, qui ne l’est pas par défaut, va empêcher les applications non autorisées d’accéder aux dossiers pour y apporter des modifications, exactement le type de fonctionnement des malware qui veulent bloquer l’accès aux fichiers.
6. Ne pas payer Il est tentant de payer si l’on possède les moyens de céder au chantage mais c’est une fausse bonne idée. Tout d’abord rien ne garantit que les pirates vous fourniront la clé qui permettra de déchiffrer vos fichiers ou débloquer votre ordinateur. Ensuite cela encourage ce type d’attaques et la mésaventure pourrait bien se répéter pour vous ou vos proches.
7. Arrêter la propagation Dès que vous connaissance de l’infection, débranchez les disques externes encore sains pour éviter le chiffrement de vos fichiers encore intacts et isolez l’ordinateur dans votre réseau pour éviter que le logiciel malveillant se propage à d’autres ordinateurs. Éteignez tout simplement l’ordinateur et débranchez-le d’internet.
8. Désinfecter l’ordinateur Si vous avez éteint l’ordinateur alors que tous les fichiers n’étaient pas encore chiffrés utilisez un CD bootable (un CD Ubuntu par exemple) qui va vous permettre de mettre en sécurité sur un disque externe ou une clé USB ce qui a été préservé. Utilisez ensuite un autre CD bootable de sécurité comme ceux proposés par les antivirus (exemple avec Comodo ou BitDefender) pour tenter de désinfecter l’ordinateur. Si l’infection ne bloque pas l’ordinateur et que celui-ci est toujours en route et internet accessible, cherchez un outil de désinfection en vous faisant aider éventuellement en demandant de l’aide dans le forum désinfection.
9. Retrouver ses fichiers Les éditeurs de logiciels et chercheurs spécialisés en sécurité ont mis au point des outils et mis la main sur des clés de cryptage de certains ransomware. Vérifiez avant tout en cherchant sur internet et en demandant conseil dans les forums. Si aucune solution n’existe vous pouvez tenter de récupérer quelques fichiers en cherchant dans les fichiers temporaires ou en utilisant des logiciels de récupération spécialisés : Solutions Locky et autres Ransomware (récupération de quelques fichiers)
Signaler l’attaque aux autorités Il est peu probable que la gendarmerie ou le commissariat de votre quartier mettre en oeuvre des moyens techniques dignes des experts pour analyser votre ordinateur ou tenter d’arrêter les attaquants qui se trouvent généralement à l’étranger. Le signalement ou dépôt de plainte aura toutefois le mérite d’attirer l’attention sur ce fléau très en vogue.
Telephone: 06.25.37.63.80
Fax: N/C
Email: Contact@Corse-Informatique.Com
Vous devez être connecté pour poster un commentaire.