Cryptolocker : C’est quoi, et comment ça marche ?

cryptolocker loupe au dessus d'un code en binaire

L’informatique est au centre de la plupart des entreprises, surtout depuis l’avènement de la transformation numérique. Elles se dotent donc de moyens informatiques performants pour rester compétitives. Ceci a également entraîné la multiplication des attaques informatiques, et l’explosion des logiciels malveillants. Un des logiciels malveillants des plus répandus est le malware CRYPTOLOCKER

CryptoLocker, c’est quoi ?

CryptoLocker est un exemple de logiciel de rançon conçu pour infecter les ordinateurs par le biais d’un cheval de Troie. Il restreint l’accès aux ordinateurs ainsi touchés en chiffrant leur contenu. Une fois touchées, les victimes doivent payer une « rançon » pour déchiffrer et récupérer leurs fichiers. Il est apparu en 2013, et fait partie des tous premiers rançongiciels identifiés.

L’attaque de CryptoLocker la plus marquante s’est produite entre le 5 septembre 2013 et la fin mai 2014. Elle a été identifiée comme un virus cheval de Troie qui visait les ordinateurs exécutant plusieurs versions du système d’exploitation Windows. Il accédait à un ordinateur cible par le biais de faux emails, conçus pour imiter l’apparence d’entreprises légitimes, et par le biais de faux avis de suivi de FedEx et UPS.

Contrairement aux virus et aux vers, CryptoLocker ne pouvait pas se répliquer. Afin de lui permettre d’infecter d’autres victimes, les cybercriminels ont utilisé le botnet GameOver Zeus. Il s’agissait d’un réseau d’ordinateurs infectés par des malwares pouvant être contrôlés à distance par l’opérateur du botnet, à l’insu et sans le consentement de leurs propriétaires. En d’autres termes, un public tout prêt pour une infection massive par le ransomware. Début novembre 2013, il avait infecté environ 34 000 machines, principalement dans les pays anglophones. Près de 27 millions de dollars ont été extorqués grâce à Cryptolocker et GameOver Zeus, bien que des outils de décryptage aient été publié à la mi-2014.

Comment fonctionne un crypto virus ?

CryptoLocker et ses dérivés, sont des logiciels de type cheval de Troie spécialisés dans l’extorsion. Ils pénètrent les systèmes informatiques de manière détournée, comme un web Exploit (*), ou le plus souvent via un courriel contenant le trojan en pièce jointe. Ils répondent à un serveur maître, comme le font les botnets et chiffrent les documents personnels de l’utilisateur afin de lui réclamer ensuite une rançon, les données cryptées sont généralement celles les plus importantes pour l’utilisateur. Sur chacun des répertoires/dossiers cryptés, le malware génère un fichier avec un lien contenant les instructions à suivre (le montant de la rançon à payer) pour le décryptage. De plus un compte à rebours menace de détruire les données sensibles si la rançon n’est pas payée à temps. Et si la rançon est payée, l’auteur du cryptage partage avec les victimes, la clé pour déchiffrer les données.

Comment se protéger des logiciels crypto verrouilleur ?

1.      Comment les détecter ?

Afin de vous protéger sereinement, Il est important de prendre des mesures en amont pour détecter d’une part, et signaler d’autre part, les malwares et leurs actions.

Surveiller les accès aux fichiers : Un logiciel à crypto virus génère un ensemble d’actions sur les fichiers (ouverture, lecture, modification…). Il est donc important d’opter pour des solutions de sécurité informatique capables de détecter les actions non voulues, et qui émettent une alerte le cas échéant.

Réaliser un audit de sécurité informatique poussé : par un prestataire informatique qualifié, afin de détecter les failles éventuelles dans le système, et y apporter des solutions professionnelles. Aussi, l’audit a également pour but de vérifier la conformité des données protégées, dans leur intégralité.

2.      Se prémunir contre un CryptoLocker ransomware

Il existe également des moyens de se prémunir contre l’attaque de malware à crypto virus. Pour ce faire :

Mettre régulièrement à jour les dispositifs de sécurité : Optez dans un premier temps pour un antivirus professionnel performant, puis en faire la mise à jour régulièrement, en respectant scrupuleusement les contraintes techniques qui y sont liées. Il est également impératif d’effectuer la mise à jour des logiciels tiers.

Optez pour une approche de sécurité zéro trust : Il s’agit d’un modèle de sécurité qui repose sur le principe qu’aucun utilisateur n’est totalement digne de confiance sur un réseau, et qu’on ne devrait pas permettre à des utilisateurs d’accéder à des ressources avant d’avoir vérifié leur légitimité et leur autorisation. Ce modèle met en place un « accès basé sur des droits minimums », permettant ainsi de restreindre l’accès des utilisateurs ou groupes d’utilisateurs qu’aux ressources dont ils ont besoin, rien de plus.

Optez pour une sauvegarde externalisée des données ainsi que la sauvegarde des infrastructures : Effectuez une sauvegarde sécurisée des données critiques auprès d’un partenaire informatique qualifié. L’intégralité de vos informations sont sauvegardées et dupliquées, afin de vous permettre de reprendre vos activités en cas d’attaque ou d’interruption.

Ne pas négliger la formation et la sensibilisation à la sécurité informatique (à la cybersécurité) : Plusieurs études démontrent qu’au moins 75% des attaques informatiques débutent par une erreur / faute de l’utilisateur ; d’où la nécessité de sensibiliser et de former durablement les employés et/ou collaborateurs sur la sécurité informatique et sur la cybersécurité en général.

Dans un contexte de perpétuelles évolutions technologiques, les menaces informatiques évoluent très rapidement. Afin de vous assurer une protection optimale, faites-vous accompagner par un prestataire informatique qualifié tel que WEODEO. Nous réalisons un audit de sécurité informatique de qualité afin de vous accompagner sur vos besoins réels ; vous permettre d’optimiser votre infrastructure informatique, en termes de sécurité informatique et sur bien d’autres thématiques.

(*) Depuis 2011, des « web exploits » sont utilisés massivement par les pirates pour infecter les internautes. L’infection se fait par la simple visite d’un site Web piraté ou contenant une publicité malicieuse (malvertising) qui va charger un « Web exploit kit ».

Ces derniers exploitent alors des failles de sécurité éventuelles du navigateur ou des logiciels installés sur l’ordinateur, afin de télécharger et d’exécuter le fichier servant à infecter la machine de l’utilisateur. En tirant parti des plugins non à jour sur le navigateur web, un malware va pouvoir être téléchargé et installé sur l’ordinateur.

Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.