Malheureusement, des milliers d'utilisateurs d'ordinateur se trouvent face à une situation qui, tout d'un coup, laisse leurs ordinateurs inutilisables à moins qu'ils ne paient pour le débloquer. Il semble que le FBI ou un autre organisme national chargé de l'application de la loi affirme que l'accès à votre ordinateur a été restreint. Le fait d'utiliser des logiciels piratés, de distribuer de la pédopornographie et d'enfreindre au droit d'auteur est souvent présenté comme raison de cette restriction. Ce n'est, bien entendu, pas la vérité, car en fait c'est une infection causée par un logiciel malveillant et non un organisme national chargé de l'application de la loi qui est responsable de ce blocage.
Il est vrai que l'idée de menacer un utilisateur pour qu'il paie de l'argent afin d'utiliser son ordinateur de nouveau n'est pas nouvelle et a été utilisée depuis des années par des logiciels de sécurité falsifiés, mais l'effet effrayant est d'autant plus efficace avec les rançongiciels, étant donné qu'il est très souvent absolument impossible d'utiliser l'ordinateur, la seule option disponible étant la saisie du code de déblocage obtenu après avoir payé le rançon.
Les derniers mois ont vu une augmentation énorme du nombre d'infections causées par des de nouvelles variantes de rançongiciels, des injecteurs et de nouvelles méthodes. Nous venons de traiter les rançongiciels dans La renaissance des rançongiciels, mais le risque d'une telle infection a grandement augmenté, nous nous sommes donc décidés à y prêter encore davantage d'attention, afin d'aider les utilisateurs à en prendre conscience et afin de leur montrer des mesures préventives.
Il y a deux catégories de rançongiciels, ceux dits screen lockers et ceux dits rançongiciels à chiffrement. Les screen lockers sont assez répandus et se servent de kits d'exploits, de sites web infectés et de téléchargements pour attaquer les particuliers et les utilisateurs professionnels. Les rançongiciels à chiffrement se propagent souvent (mais pas seulement) par des serveurs dédiés piratés, ce qui affecte moins les particuliers.
Screen lockers
Les screen lockers peuvent infecter un ordinateur de plusieurs manières. Parmi les méthodes populaires : les exploits Java puisque de nombreux utilisateurs de Windows utilisent des versions obsolètes de Java qui contiennent des vulnérabilités dont les malware peuvent se servir pour infecter un système. Souvent, ce sont les sites pornographiques avec des vidéos ou d'autres contenus executables qui installent des logiciels malveillants une fois que ces vidéos ou contenus sont executés ou activés.
Un screen locker typique montre toujours le logo d'un organisme chargé de l'application de la loi. Le type du logo dépend de la variante du screen locker, mais également du pays. D'ailleurs, on vous accuse d'un crime ; comme déjà dit avant, ce sont très souvent des infractions au droit d'auteur, la distribution de contenus pédopornographiques, le piratage de logiciels ou d'autres qui vous sont reprochés. Le plus révélateur : le mode de paiement. Parfois, on vous demande un code de déblocage spécifique, mais dans la plupart des cas, on s'appuie sur un mode de paiement tel que Ukash ou PaySafe.
Quelques screen lockers disposent d'autres éléments supplémentaires, tels que l'activation prétendue de votre webcam ou la collecte de données géographiques ; vous voyez votre adresse IP et votre emplacement.
Afin d'éviter des infections causées par ce genre de rançongiciels, il est très important d'assurer que Windows ainsi que tout logiciel fourni par des tiers installés sur votre ordinateur soient à jour à tout moment. Java et Adobe Reader en particulier, car ce sont des logiciels très souvent exploités par les logiciels malveillants étant donné qu'ils sont installés sur une très grande quantité de systèmes et de nombreux utilisateurs se contentent de versions obsolètes. Pour d'autres informations qui vous expliquent comment protéger votre ordinateur, veuillez voir cet article.
Le nombre et la variété des screen lockers, en particulier, a connu une augmentation fulgurante en 2012. Un des screen lockers les plus communs est Reveton (voir l'image), très souvent appelé le troyen FBO MoneyPak. Tandis que les infections causées par ce troyen étaient encore rares pendant les premiers mois de l'année dernière, il y a eu une augmentation explosive en juillet et août ; le nombre d'autres variantes a depuis augmenté énormément, ce qui a mené les infections causées par les screen lockers à dépasser celles causées par les logiciels de sécurité falsifiés.
Bien que les écrans présentés par les rançongiciels aient souvent l'air convaincant, ceux-ci ne sont rien d'autre que des fraudes 4-1-9 dont le seul but consiste à vous menacer, pour que vous payiez le rançon. Heureusement, il est possible de se débarrasser d'un screen locker, et nos experts du forum d'assistance Emsisoft sont toujours disponibles pour vous aider à débloquer votre ordinateur.
Rançongiciels à chiffrement
Les infections les plus connues causées par des rançongiciels à chiffrement sont ACCDFISA et Dorifel. Contrairement aux screen lockers, les rançongiciels à chiffrement cryptent pour de vrai vos fichiers personnels (sur tous les lecteurs connectés à votre ordinateur lors de l'infection), ce qui en ait une menace beaucoup plus grave que ces premiers. Les variantes de rançongiciels à chiffrement plus récents rendent la restauration des fichiers cryptés difficile et parfois même impossible. Une solution de sécurité préventive est indispensable sans quoi des fichiers personnels importants pourraient disparaître sans pouvoir être restaurés, ce qui peut causer des problèmes sérieux surtout en entreprise. Voici quelques mesures préventives qui sont nécessaires pour tout serveur :
- Veillez à toujours avoir les plus récentes mises à jour du serveur et des logiciels installés. Les serveurs sont souvent piratés à travers des vulnérabilités existantes des logiciels. Si jamais une vulnérabilité jour zéro est découverte, un fournisseur de logiciel publiera une mise à jour qui y remédie ; il est très important d'installer ces mises à jour le plus tôt possible.
- Veillez à faire des sauvegarde hors-ligne (sauvegardes enregistrés sur un médium qui n'est pas connecté au serveur) de manière régulière, car les données sur tout lecteur de sauvegarde connecté au serveur seront affectées par l'infection qui les rend inutilisables.
- Utilisez des mots de passe difficile à deviner qui contiennent des caractères aléatoires. Ce rendra beaucoup plus difficile d'accéder au serveur par des attaques de force brute.
D'autres rançongiciels à chiffrement tels que Birele infectent les particuliers et les professionnels en se servant de la même méthode que les screen lockers. Dans certains cas, il est possible de restaurer les données cryptées.
Quel est le montant que l'on vous demande de payer ?
Un screen locker typique vous demande 100 à 200 € alors que les rançongiciels à chiffrement exigent souvent beaucoup plus (les variantes récentes d'ACCDFISA vous demanderont des sommes de 4000 €).
La raison de cette différence s'explique par la différence des victimes, car la perte de fichiers importants sur un serveur dont on se sert pour sauvegarder des données d'une entreprise et de ses clients peut engendrer une perte financière directe pour cette entreprise). Chaque année, des personnes gagnent des millions par ces escroqueries. Les images vous montrent quelles sommes de rançon sont exigées par différentes variantes. Les rançongiciels étant tellement populaires et la restauration assez difficile, il est essentiel de prendre des mesures préventives, non seulement pour les professionnels mais également pour les particuliers. Conclusion : nous recommandons à tout utilisateur de suivre les tuyaux suivants afin de vous protéger et vous épargner des problèmes et la frustration qui en résulte :
- Veillez à ce que tout vos logiciels soient à jour, et surtout si vous avez des serveurs qui opèrent 24h/24, 7 jours sur 7, veillez à utiliser des mots de passe difficiles à deviner.
- Utilisez une solution anti-virus munie de protection en temps réel telle que Emsisoft Anti-Malware, qui détecte très tôt les modifications apportées par les rançongiciels.