Attention: Ransomware!

A la fin de 2013 une nouvelle menace est apparue sur internet: les virus de type ransomware qui encryptent les données personnelles de l’utilisateur et qui demandent, pour les débloquer, une “récompense” entre 500 et 1000 Euro.

Dans cette catégorie, on retrouve des virus comme: CryptoLocker, CrypTorBit, TeslaLocker, CTB-locker, SinoLocker, CryptoWall, CryptoBlocker, OphionLocker, PcLock, VaultCrypt, LowLevel04, Jigsaw, Locky, Chymera, Apocalypse, Cerber, WildFire etc…

Chymera menace même de publier les fichiers personnels de l’utilisateur sur internet si la récompense n’est pas payée.

Tous ces virus ont en commun quelques aspects:

• ils encryptent les fichiers personnels de l’utilisateur (images, documents, e-mails) en utilisant un encryptage AES ou RSA très forte (sur 2048 ou même 4096 bits), et demandent une récompense pour les décrypter;
• ils ajoutent une extension etrange aux fichiers (exemple: à la place de “photo.jpg”, le fichier sera nommé “photo.jpg.fwfgqergqe”)
• pour éviter que les pirates soient découverts, la récompense doit être payée en BitCoins, par un lien qui peut être accédé par le navigateur internet Tor, d’habitude dans les 3 jours suivantes;
• ils évoluent en permanence, pour empêcher les compagnies de sécurité informatique de déchiffrer leurs algorithmes et de produire des outils qui peuvent permettre à l’utilisateur de récupérer ses données. Certains virus de ce type sont déjà arrivés à la 4e génération.

Ce qu’on peut faire:

1. La prévention:
   • on doit sauvegarder périodiquement les données personnelles sur un support externe (disque-dur, clé USB etc.). ATTENTION: après la sauvegarde, le support externe doit être retiré de l’ordinateur. Autrement, le virus va l’infecter aussi et les données sauvegardées seront aussi détruites.
   • l’installation de Malwarebytes Anti-Ransomware (gratuit), un outil qui promet qu’il va protéger les ordinateurs contre ce type de menaces. On espère qu’ils vont tenir leurs promesses, en tenant compte que cet outil est encore en version “beta” depuis quelques mois…
   • la plupart de ces virus arrivent par e-mail, sous forme d’une pièce jointe, d’habitude un fichier .pdf intitulé “Votre facture” ou “Uw factuur” (selon ce qu’on a vu les derniers temps). Regardez attentivement l’adresse e-mail de l’expéditeur et n’ouvrez pas des fichiers joints à des e-mails dont les expéditeurs sont inconnus, ou si vous n’attendez aucune facture de la part de cet expéditeur-là (peut-être son compte e-mail a été piraté et son identité usurpée). Cela ne veut pas dire que vous ne devez pas payer vos factures 🙂
2. Ne pas payer la récompense: ceux qui sont victimes d’un tel virus ne doivent jamais payer en espérant qu’ils vont récupérer leurs données. Moins de 20% des personnes qui ont payé ont confirmé qu’ils ont réussi de récupérer – totalement ou partiellement – leurs données. Ainsi, payer les récompenses demandées c’est l’équivalent de jeter l’argent par la fenêtre.
3. La désinfection: télécharger un bon antivirus payant et désinfecter l’ordinateur. Si on ne veut pas le payer, on peut l’installer en version d’essai de 30-60 jours (la plupart des antivirus offrent cette possibilité).
4. L’essai de récupérer les données encryptées:
   • à partir de Windows Vista, dans les systèmes d’exploitation Microsoft a été implémentée la possibilité de créer des “Shadow Copies” (copies ombre) des fichiers. Les “copies ombre” contiennent des versions anciennes des fichiers, créées régulièrement par le système d’exploitation. On peut les accéder en utilisant un outil qui s’appelle Shadow Explorer, qui représente une interface graphique pour voir ces fichier par le service VSS de Windows. Si le virus n’a pas effacé les “copies ombre” des fichiers, on peut les retrouver en utilisant ce logiciel et on peut les récupérer exactement comme ils étaient à la date quand la “copie ombre” a été créé.
   • pour certaines versions de ces virus (d’habitude pas pour les dernières, malheureusement), les laboratoires des compagnies qui produisent des antivirus ont créé des outils gratuits qui peuvent aider l’utilisateur de récupérer ses fichiers. Vous pouvez les consulter en cliquant sur les liens ci-dessous:
     • Le projet NoMoreRansom
     • Outils Kaspersky
     • Outils AVG
     • Outils Emsisoft
     • Outils Trendmicro
     • Outil Eset (uniquement pour TeslaCrypt)
5. Le nettoyage: Si le décryptage des fichiers est impossible, alors la seule chose à faire est d’enregistrer les fichiers encryptés dans un dossier séparé, éventuellement sur un autre disque-dur, en espérant qu’un outil de décryptage pour ce type spécifique de virus sera produit, un jour… Sinon, on peut simplement effacer ces fichiers, pour qu’ils n’occupe plus inutilement de l’espace et qu’ils ne rendent pas le travail sur l’ordinateur plus difficile (exemple: dans le dossier “Mes Documents”, peut être difficile d’identifier un document valide parmi quelques dizaines, centaines ou milliers des documents invalides / encryptés). Aussi, on doit vérifier si des fichiers appartenant au système d’exploitation (Windows) ont été endommagés, chose relativement facile à constater si le système fonctionne d’une manière défectueuse après l’élimination du virus.