Ransomware, un danger pour vos données ?

Le monde qui nous entoure se numérise de plus en plus et nous avons tous des données sur nos ordinateurs qui nous sont précieuses, que ce soit des photos ou même simplement des travaux. Néanmoins internet n’est pas peuplé que de personnes bienfaisantes. Certains criminels armés d’un virus et de leur cupidité, veulent attenter à vos données dans le but de vous soutirer de l’argent. Ce virus prend vos fichiers en otage et pour pouvoir les réutiliser vous devrez payer une rançon. On appel ce virus un « ransomware ».

Mais qu’est-ce qu’un ransomware ?

Le ransomware (aussi appelé rançongiciel) est une attaque cybercriminel qui consiste à envoyer à une ou plusieurs cibles un logiciel malveillant (malware) qui a pour fonction de crypter l’intégralité des données d’une machine. Une fois les données cryptées, le logiciel affichera un message. Ce dernier indiquera le montant et la manière de payer la rançon pour pouvoir récupérer la clé de déchiffrement qui permettra à la victime de récupérer ses données. En supposant qu’une fois la rançon payée, le « hacker » donne vraiment la clé.

Un ransomware peu fonctionner de diverses façons :

  1. En verrouillant l’écran de la victime lui empêchant ainsi d’accéder à ses données. La fenêtre de rançon recouvre entièrement l’écran et il est impossible de la fermer avant d’avoir payé. Évidemment le fait d’éteindre et rallumer sa machine ne marche pas. Une fois l’ordinateur redémarré, la fenêtre réapparaît.
  2. En bombardant de « pop-up » (fenêtre intruse qui s’ouvre sans qu’on lui ait demandé) vous indiquant que vous êtes soi-disant victime d’un virus et qu’il faut payer un logiciel « ultra performant » pour s’en débarrasser. Dans ce cas-ci vos données restent en sécurité malgré l’apparition abusive de ces fenêtres.
  3. Et enfin, la manière la plus populaire et celle que nous abordons dans notre article : En chiffrant les données.

À la portée de tous ?

Le ransomware est un malware fort répandu sur internet et il est très facile d’en récupérer un. Que ce soit un RaaS : Ransomware-as-a-Service (C’est-à-dire un ransomware vendu sur le web) ou un code récupéré sur un site d’open source.

En voici quelques exemples :

   « Satan  »

Satan est un malware de type RaaS. Il suffit juste d’avoir un navigateur web capable d’aller sur le « Deep Web » (comme Tor), de s’inscrire sur le site et le kit sera disponible gratuitement. Néanmoins, « Satan » prélèvera 30% des gains par victime.

 

Une fois le compte créé sur ce site,
il suffit juste de remplir une page où il sera demandé le montant de la rançon ainsi qu’une adresse bitcoin pour pouvoir récupérer l’argent en tout sécurité. Il est aussi possible de personnaliser ce kit en ajoutant un multiplicateur de rançon par rapport aux jours passés, une note personnelle, etc…

 

Après la configuration et le téléchargement du malware le site propose même à ses clients une aide pour créer un « Trojan » contenant le ransomware.

 

 

« Github  »

 

Si vous ne désirez pas naviguer sur le dark/deep-web, il est aussi possible d’aller sur un site de partage comme Github afin d’y trouver plusieurs programmes de ransomware opensource. (C’est-à-dire, disponible gratuitement au grand publique).

Sur ce site, on peut en trouver un grand nombre de version codé dans différents langages comme le « C » ou le « Python ».

Cette manière demandera un peu plus de connaissance mais donnera plus de liberté au rançonneur. Que ce soit pour le déclenchement du malware ou simplement la façon dont la rançon va être récupérée.

 

 

 

https://github.com/deadPix3l/CryptSky

Présentation d’un ransomware sur une machine virtuelle déconnectée du réseau :

 

« La diffusion »

Une fois le ransomware créé et fonctionnel, il reste l’étape la plus importante : la diffusion. Pour ce faire il y a plusieurs techniques :

  • Le Phishing: Cette technique consiste à usurper l’identité dans le but de mettre en confiance la victime. (Prendre l’identité de sa banque ou d’une personne qu’elle connait) Le cybercriminel va ensuite envoyer un lien qui redirigera vers une page qu’il a créé. Cette page aura pour  pour but de : soit soutirer des informations (mot de passe ou numéro de carte de crédit). Soit elle possèdera une pièce jointe que la victime devra télécharger (ici notre ransomware).  Les hackers utilisent généralement cette technique à grande échelle dans le but de toucher un maximum de personne et de récolter le maximum d’argent (Ou d’information).
  • Le Trojan: Vous connaissez tous l’histoire du cheval de Troie où Ulysse a réussi à pénétrer dans l’imprenable ville de Troie en se cachant dans un cheval de bois géant. En informatique c’est pareil, le trojan est un logiciel qui parait légitime mais qui contient une fonctionnalité malveillante. Cette technique est souvent utilisée sur des sites de téléchargement ou des programmes illégaux.

Exemple : Certaines applications Android ont été infectées par un ransomware appelé « LeakerLocker » qui, une fois l’application installée, verrouillait l’écran d’accueil ,volait et bloquait les données personnelles en arrière-plan. Une fois terminé, un message était envoyé indiquant la procédure de payement pour récupérer les fameuses données.

  • USB : Nous arrivons ici sur une technique plus compliquée nécessitant beaucoup de clé USB appelées « Rubber Ducky ». Elles se comportent comme un clavier qui, une fois branché, écrira le code que vous leur aurez attribué (ici le ransomware). Il suffira donc de les laisser tomber par terre ou de les distribuer gratuitement et attendre que quelqu’un l’insère dans son ordinateur.

Comment s’en défendre ?

Comme vous avez pu le constater dans le chapitre précédent, un ransomware est plutôt facile à créer et à diffuser. Il est donc très important de s’en protéger et de savoir comment réagir si vous avez malencontreusement téléchargé ce type de malware.

  1. Pour commencer il faut régulièrement sauvegarder vos données (Voir notre article sur les backups : https://www.infosec.systems/2018/12/18/pour-ne-plus-perdre-vos-donnees-votez-backup/ ).
  2. Vérifiez les expéditeurs des emails. En cas de doute, n’ouvrez pas les pièces jointes.
  3. Gardez votre antivirus, votre système d’exploitation et en règle générale l’intégralité de vos logiciels à jour.
  4. Ne branchez pas une clé USB que vous avez trouvé à terre ou qui, tout simplement, ne vous appartient pas.
  5. Et pour finir, vérifiez la provenance de ce que vous téléchargez. (Privilégier les sites officiels et surtout restez vigilants avec les fichiers en .exe).

Et si, par malheur, vous avez été victime d’un ransomware, déconnectez immédiatement du réseau la machine infectée. Cela évitera que le virus ne se propage. Surtout ne payez pas la rançon car, une fois payée, le rançonneur risque de ne jamais vous donner la clé. Dans certain cas, il est arrivé que la police, une fois l’affaire résolu, publie des clés de déchiffrage.

En conclusion :

Ensemble nous avons pu voir que la conception d’un ransomware ne nécessitait que très peu de connaissance en informatique. Ceci fait de ce malware un très gros danger pour vos données. N’importe qui peut récupérer un code qu’il n’a pas conçu, l’envoyer en masse et donc finir par arriver à vous. (On appel ce genre de hacker de manière péjorative « script kiddies »). Il est donc nécessaire de prendre toutes les précautions possible pour s’en défendre. N’oubliez ni les backups, ni les mises à jour et surtout restez vigilant lorsque vous téléchargez ou que vous ouvrez une pièce jointe sur vos mails.

L’informatique est un merveilleux outil qui facilite grandement la vie. Néanmoins comme tout les outils il faut savoir s’en servir et, si danger il-y-a, utiliser les protections adéquate.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *