Qu’est ce qu’un ransomware ?

Le ransomware (rançongiciel en français) est un petit logiciel malveillant qui vient infecter un ordinateur ou un téléphone. Il est souvent dissimulé dans un fichier téléchargé, ou dans la pièce jointe contenue dans un e-mail piégé (phishing). Il peut aussi se cacher dans une URL piégée qui lancera un téléchargement. Une fois la barrière de l’antivirus franchie, le ransomware peut alors crypter et bloquer les fichiers contenus sur l’ordinateur puis demander une rançon en échange d’une clé permettant de les déchiffrer. Vos données sont alors prises en otage… et on ne vous propose de payer une rançon (souvent par monnaie virtuelle) pour les récupérer !

Tour d’horizon des plus grands attaques de ransomwares

Les attaques ransomwares sont de plus en plus nombreuses. Elles se propagent à l’international à une vitesse éclair.

Voici une petite liste des dernières attaques :

• • Wannacry / WannaCrypt : est considéré comme le plus grand piratage à rançon de l’histoire d’Internet ayant touchées de grandes entreprises ou institutions telles que Vodafone, FedEx, Renault, Telefonica, National Health Service, le ministère de l’Intérieur russe ou la Deutsche Bahn. Il utilise les failles de sécurité des versions antérieures à Windows 10.
  • Petya / NotPetya : qui touche toutes les versions de Windows, de XP à Windows 10 et utilise également une faille de sécurité qui a été volée à la NSA par un groupe de pirates informatiques. Cette faille de sécurité de Windows a été corrigée par Microsoft, mais beaucoup d’entreprises n’ont pas mis à jour leur système d’exploitation, d’où cette cyberattaque mondiale.
    
  • Locky, le ransomware aux 60 variantes se présente sous la forme d’une facture à ouvrir avec Microsoft Word. Pour s’ouvrir correctement, le document demande à l’utilisateur d’activer les macros. Une fois celles-ci activées, Locky va télécharger un programme sur l’ordinateur et chiffrer automatiquement toutes les données. L’internaute doit ensuite procéder à un paiement en bitcoins pour récupérer ses données.
    
  • On peut encore citer CryptoLocker, CryptoWall, Reveton, etc…
    

Comment se protéger des ransomwares ?

1) Un antivirus à jour, tu auras

C’est la règle de base ! Maintenez votre antivirus à jour pour réduire le risque de transmission de logiciels malveillants. En effet, les ransomwares signalés seront reconnus par l’antivirus et seront bloqués avant d’entrer dans l’ordinateur. Attention, cela ne vous empêche pas de suivre la 2ème règle !

2) Avant d’ouvrir les pièces jointes, vigilant tu seras

On a vu que les ransomwares sont dans la plupart des cas transmis par de fausses pièces jointes : fichiers, photos, factures… Vérifiez bien l’identité de l’expéditeur avant de cliquer !

3) Les mises à jour Windows, tu feras

On constate que les entreprises et les administrations sont bien plus souvent touchées que les particuliers par le rançonnage. Pourquoi ? Et bien, la raison est simple : chez les particuliers, les mises à jour sont bien souvent paramétrées pour se faire automatiquement, contrairement aux entreprises… Pourtant maintenir son ordinateur à jour permet de corriger les failles de sécurité dès qu’elles sont détectées par les systèmes d’exploitation. Ce n’est pas une solution sûre à 100%, mais cela aura au moins le mérite de vous éviter quelques cyberattaques !
Cela ne vaut pas que pour Windows… sont aussi concernés mac / iOS, Android, Linux mais aussi vos navigateurs.

4) Des sauvegardes régulières, tu prévoiras

Pour se protéger efficacement, la meilleure méthode reste encore d’effectuer des sauvegardes régulières externalisées des fichiers considérés comme importants… Ainsi, les fichiers de l’entreprise ne seront jamais pris en otage par un malware.

5) La protection des des dossiers dans Windows 10, tu activeras

Afin de protéger efficacement ses dossiers, il est également préconisé d’activer le « dispositif d’accès contrôlé aux dossiers personnels » (disponible seulement sous Windows 10). Ainsi, les applications non autorisées ne pourront pas accéder aux dossiers et y apporter des modifications ou bloquer l’accès aux fichiers.

Que faire en cas d’infection ?

Le CERT-FR donne plusieurs conseils à suivre en cas d’infection :

• Débrancher la machine du réseau informatique et du wifi.
• Ne pas éteindre la machine infectée pour permettre de récupérer d’éventuels fichiers.
• Faire une recherche internet pour voir les actions préconisées par les personnes déjà touchées par ce ransomware. Le site www.nomoreransom.org , crée par l’European Cybercrime Centre basé à Europol, met à disposition des internautes des solutions permettant de déchiffrer les fichiers bloqués par certains rançongiciels !
• Restaurer le système.
• Si vous n’avez pas instauré de système de sauvegarde, vous pouvez utiliser un programme de recouvrement des données.
• Et enfin ne pas payer la rançon car, en plus de conforter les pirates informatiques dans leur démarche, cela ne garantit pas la récupération des données.

Rançongiciel / #Ransomware – Vos données sont prises en otage ? Ne payez pas !
Adoptez les bons réflexes pour votre vie numérique avec #TousSecNum
🔎https://t.co/foYhINcBwO pic.twitter.com/DhKcpaIals

— ANSSI (@ANSSI_FR) 19 octobre 2018

Belles et bien réelles, les menaces sur le système d’information des entreprises sont de plus en plus nombreuses. La meilleure des préventions reste encore la formation régulière des salariés, couplée à des solutions de défense dédiées. Asgard peut vous aider à mettre en place une charte informatique au sein de votre entreprise, à sensibiliser vos collaborateurs et à sécuriser votre système d’information.

L’article Ransomware : comment les reconnaître et les supprimer ? est apparu en premier sur ASGARD.