Lumières sur la sécurité

lundi 21 août 2023

Nous avons déjà parlé des ransomwares, ou, comme on les appelle également, des rançongiciels, sur les pages du projet Lumières sur la sécurité. Ce type de logiciel malveillant est considéré à juste titre comme l'un des plus dangereux. Les dommages causés par les rançongiciels au cours des dix dernières années peuvent difficilement être calculés. Car il ne s'agit pas seulement des montants de rançons que les utilisateurs, privés ou professionnels, ont payé aux pirates, qui, eux pourraient se chiffrer. Il faut également prendre en compte les coûts liés à la récupération des données et les pertes de profits. Et il existe enfin un coût non monétaire induit par les pertes de temps et de données.

Si vous suivez les nouvelles et les tendances dans le domaine de la sécurité informatique, vous aurez peut-être l'impression que ces dernières années, les attaques utilisant des rançongiciels ne menacent que les grandes entreprises et les institutions gouvernementales. En effet, chaque année, les médias relatent des attaques ayant touché de grandes firmes ou des institutions publiques (hôpitaux, gouvernements etc.). Les motivations des cybercriminels sont claires : en attaquant avec succès les grandes entreprises, ils comptent obtenir de l'argent. La perspective de détruire ou, pire, de divulguer des informations sensibles constitue une menace sérieuse, de sorte que certaines victimes sont prêtes à conclure un accord.

Mais cela ne signifie pas que les utilisateurs particuliers et les systèmes et réseaux domestiques ont cessé d'être la cible de rançongiciels. Il existe un grand nombre de malwares de ce type sur Internet, qui sont souvent distribués dans des pièces jointes ou déguisés en programmes utiles. Les petites entreprises qui ne prêtent pas suffisamment attention à la sécurité et à la formation appropriée de leurs employés sont également à risque. Une attaque n'a pas besoin d'être ciblée pour causer de graves dommages.

On dit souvent qu'il est toujours plus facile et moins coûteux de prévenir une menace que de faire face aux conséquences d'un incident. Les scénarios et les résultats des attaques de rançongiciels prouvent cette affirmation. Nous avons déjà parlé des méthodes permettant de minimiser les risques d'infection par un rançongiciel dans une de nos publications. Aujourd'hui, nous allons parler de ce qu'il faut faire si des données se trouvant sur votre ordinateur ont déjà été cryptées.

Pour commencer, rappelons comment un ransomware ordinaire fonctionne dans la plupart des cas. Une fois lancé, il démarre le processus de chiffrement des fichiers sur l'ordinateur en fonction de son programme. Ce programme, tout d'abord, détermine quels fichiers doivent être cryptés. Le plus souvent, il s'agit d'images, de documents, d'archives, de fichiers de base de données, de sauvegardes et d'autres informations utilisateur. En règle générale, le code du cheval de Troie définit une liste d'extensions et même de noms de fichiers à chiffrer. Ensuite, les fichiers sont chiffrés selon un certain algorithme à l'aide d'une clé de cryptage. En général, le cheval de Troie chiffre tous les fichiers avec des extensions spécifiées auxquelles il peut accéder. Certaines modifications de ransomware tentent également d'accéder à des lecteurs réseau ou à d'autres appareils connectés à l’ordinateur. De cette façon, il peut chiffrer les fichiers, y compris ceux présents sur des disques externes et/ou des stockages réseau. Le processus de chiffrement n'est pas instantané, c'est-à-dire que si vous éteignez de force l'ordinateur pendant que le programme est en cours d'exécution, certains fichiers resteront intacts. La durée de fonctionnement du ransomware à chiffrement dépendra du nombre de fichiers traités, de la vitesse de l'ordinateur et de l'algorithme du cheval de Troie lui-même. Une fois les fichiers cryptés, le logiciel malveillant crée une « note de rançon » (ransom note en anglais) sur le bureau — un fichier texte avec une explication de ce qui s'est passé, des exigences et les « coordonnées » de l'attaquant.

La plupart des ransomwares à chiffrement ajoutent leur propre extension au nom du fichier modifié, extension qui peut, entre autres, être utilisée pour essayer de déterminer l'exemplaire du malware. Il convient de dire que les fichiers cryptés ne sont pas seulement des données modifiées. Le plus souvent, durant son activité, le malware crée un fichier crypté temporaire basé sur le fichier « clean », puis écrase l'original avec ce fichier temporaire. Cette approche empêche techniquement de récupérer des informations sans déchiffrement.

Si les fichiers sont chiffrés par un cheval de Troie, la solution la plus efficace et la plus simple est de lancer un scan antivirus pour neutraliser la menace, et de restaurer ensuite les données grâce à une copie de sauvegarde. Mais il est vrai que tout le monde n'a pas de copies de sauvegarde. Si les données chiffrées sont d'une grande valeur, l'utilisateur peut céder à la pression et payer la rançon à l’attaquant pour récupérer ses fichiers. Souvent, les cybercriminels dans leurs notes promettent non seulement de restaurer les données, mais aussi de partager des connaissances « secrètes » sur la façon de protéger un PC contre des attaques similaires à l'avenir — en général, ils font tout leur possible pour pousser l'utilisateur à payer.

Les spécialistes en sécurité recommandent fortement de résister à l'extorsion. Le paiement des rançons encourage ces activités criminelles et le développement de nouvelles versions de logiciels malveillants. De plus, il n'y a aucune garantie qu'après le paiement, l'opérateur du rançongiciel contacte l'utilisateur pour lui envoyer la clé de déchiffrement. Il est à noter que les créateurs de chevaux de Troie n'ont pas toujours la possibilité de déchiffrer les données chiffrées par leurs propres programmes. Enfin, l'ordinateur peut être infecté par une version ancienne de ransomware, qui n’est plus connu et donc difficilement désamorçable. Mais l'utilisateur, peut-il faire quelque chose lui-même ?

En fait, l'issue de l'incident dépendra en grande partie de la chance. Si l'ordinateur est infecté par un ransomware à chiffrement, dont la clé de déchiffrement est accessible au public, nous pouvons supposer que l'utilisateur s'en est tiré avec une légère frayeur. La mauvaise nouvelle est que la probabilité d'un tel événement est très faible, il existe des milliers de modifications de chevaux de Troie ransomwares dans le monde, et leurs versions modernes utilisent des algorithmes cryptographiques et des clés uniques à chaque copie du malware. La restauration de fichiers à partir de copies d'ombre Windows (shadow copy) n'est pas toujours possible, car les rançongiciels sont capables de supprimer les fichiers auxiliaires nécessaires à la récupération de données à l'aide d'outils standard.

Alors, comment faire si des fichiers sont chiffrés ? Tout d'abord, vous devez isoler l'ordinateur s'il fait partie d'un réseau. Après cela, nous vous recommandons de contacter le support technique de Doctor Web en utilisant le formulaire spécialisé sur notre site Web. Vous devrez enregistrer un échantillon du fichier crypté et la note de rançon sur un support séparé (nous verrons comment le faire correctement ci-dessous), après quoi il est préférable de déconnecter l'ordinateur infecté pendant un certain temps. Toutes les autres actions, y compris le contact avec le support technique, doivent être effectuées sur un autre appareil. N'oubliez pas que les tentatives de modification ou de suppression de fichiers corrompus ou temporaires, ainsi que le lancement de programmes de récupération et d'autres actions sur le système infecté peuvent entraîner le fait que même un utilitaire spécialisé avec la clé nécessaire ne pourra pas restaurer les données. Par conséquent, il est important d'attendre le verdict des experts sur la possibilité technique de récupération avant de prendre d'autres mesures, y compris le traitement du système avec un programme antivirus.

Parallèlement, nous vous recommandons de porter plainte. Plus il y a de plaintes et de recueil de données liées aux ransomwares, plus la police spécialisée sera en mesure d’arrêter ou, au moins, de suivre l’activité de groupes cybercriminels. Le partage des informations sur ces groupes avec des forces de police d’autres pays permettent de mener des actions concrètes contre eux. Pensez toutefois que la police aura besoin de réquisitionner le ou les appareils concernés et que l’investigation peut être longue.

Si vous voulez essayer de résoudre le problème vous-même, il existe un certain nombre de services spéciaux sur Internet qui, sur la base de l'analyse de l'échantillon de fichier crypté et de la note de rançon, déterminent la version du cheval de Troie. Une fois que le ransomware qui vous a infecté est connu, vous pouvez rechercher sur Internet des clés de déchiffrement et des instructions pour récupérer les fichiers. Il est à noter que toutes les actions d'enquête sur les incidents doivent être effectuées sur un appareil tiers. Dans le même temps, prenez des précautions lors du transfert des fichiers d'échantillons sur un support amovible. Pour réduire les risques, activez l'affichage des fichiers cachés et système sur l'appareil infecté. Transférez ensuite les données concernées sur un « lecteur flash » formaté : les échantillons de fichiers cryptés et un document texte avec la note de rançon. Assurez-vous qu'aucun fichier supplémentaire n'apparaît sur le lecteur amovible. Il convient de noter que les rançongiciels ne se propagent généralement pas via des lecteurs amovibles, mais une prudence supplémentaire à cet égard reste utile. Si vous connectez un lecteur de données à un appareil infecté, il existe un risque élevé que les fichiers qu'il contient soient également cryptés. Par conséquent, nous vous recommandons d'utiliser notre produit Dr.Web LiveDisk comme un environnement sécurisé, dont nous décrivons les capacités dans cet article. En utilisant cet utilitaire, vous pouvez transférer les données nécessaires, tandis que le programme malveillant ne pourra pas fonctionner dans son environnement.

En suivant le même principe, vous pouvez copier tous les fichiers chiffrés sur un support vierge pour les déchiffrer à l'avenir lorsque la clé de déchiffrement a été trouvée. La probabilité qu’elle le soit est faible, mais elle ne peut pas être exclue, surtout si les fichiers perdus étaient d'une valeur particulière pour vous.

Comme vous pouvez le voir, une attaque de rançongiciel réussie utilisant des algorithmes de crypto-résistance ne laisse pas trop de moyens de récupérer vos fichiers. Les auteurs de virus continuent d'améliorer leurs créations et, en règle générale, testent de nouveaux ensembles de logiciels malveillants avec les logiciels antivirus. Cela signifie que le risque d'infection est toujours présent, en particulier en cas de négligence des règles de sécurité. Dans le même temps, l'utilisation d'une protection antivirus complète et le respect de règles simples, associées à la création régulière de sauvegardes, sont des remèdes efficaces.