Vous avez sûrement entendu parler du logiciel de rançon après la catastrophe de WannaCry. La mauvaise nouvelle est qu’à côté de cela, il existe plusieurs autres malwares ayant la même apparence : bloquer des fichiers ou même un disque dur entier avec une clé cryptographique et demander le paiement d’une rançon en cryptomaine pour libérer vos données.
Si cela vous est arrivé, à vous ou aux ordinateurs de votre entreprise ? puisque les pirates informatiques ciblent des victimes ayant un potentiel financier plus important ? lisez les informations, identifiez le logiciel malveillant qui vous a infecté (c’est plus courant dans Windows) et recherchez la clé.
Sommaire
Qu’est-ce qu’un logiciel de rançon ?
Les rançons sont des logiciels malveillants qui bloquent l’accès de l’utilisateur à la machine ou à certains fichiers et envoient des messages demandant un sauvetage, presque toujours chargés en bitcoins. Il est donc courant d’entendre dire que les logiciels de rançon “détournent les ordinateurs”.
Il existe des logiciels malveillants de type rançon qui cryptent les dossiers et les fichiers personnels (documents, feuilles de calcul, photos et vidéos), d’autres qui bloquent l’écran de l’ordinateur, il y a aussi ceux qui cryptent tout le disque dur ou un nombre considérable de fichiers et, en outre, il existe des variantes pour les appareils mobiles, notamment Android, par le biais de fausses applications.
Lorsque cela se produit, vous ne pouvez pas récupérer vos données sans payer la rançon. Les experts affirment que même après le paiement, le recouvrement n’est pas garanti et ils conseillent à la victime de ne pas payer, afin que le crime d’extorsion ne se propage pas.
Comment ai-je été infecté ?
Normalement, une infection commence par un courriel avec une pièce jointe exécutable (.exe), un fichier compressé (.zip), un document Office avec des macros, et d’autres fichiers qui traitent des actions sur votre machine. La pièce jointe est ouverte par le propriétaire de l’ordinateur et un logiciel malveillant est exécuté. Mais les logiciels de rançon peuvent également être distribués par le biais de sites web, et lorsque le visiteur y accède, il est infecté sans s’en rendre compte.
Sur les ordinateurs non protégés (pas d’antivirus), les logiciels malveillants fonctionnent en silence jusqu’à ce que le cryptage soit terminé. Ensuite, il est aussi bruyant que possible : il verrouille les actions sur le PC et affiche un message informant que les données ont été bloquées et demandant le paiement de la rançon. À ce stade, il est presque impossible d’inverser cette situation.
No More Ransom, la solution
Cependant, si vous avez été infecté par un logiciel de rançon, vous n’avez peut-être pas perdu vos fichiers de façon permanente. Des fabricants d’antivirus et des entités internationales se sont associés pour créer “No More Ransom” ? un site qui rassemble les clés de rançon déchiffrées.
Le projet est jeune mais possède déjà un nombre raisonnable de clés. Il est né en 2016, à l’initiative de l’unité de criminalité de haute technologie de la police néerlandaise, du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol et des fabricants d’antivirus : Kaspersky et McAfee.
Comment savoir quel logiciel de rançon a infecté mon PC
La première chose à faire est d’utiliser Crypto Sheriff, un outil permettant d’identifier le logiciel de rançon que vous avez infecté et de vérifier si une solution est déjà disponible.
L’outil tentera d’identifier le cryptage utilisé dans les fichiers et analysera s’il existe déjà une clé pour déverrouiller ce dont vous avez besoin. Attendez et suivez les étapes.
Vous pouvez rechercher les clés disponibles (nomoreransom.org/decryption-tools).
Comment No More Ransom obtient les clés
Il est possible de déverrouiller la clé des fichiers bloqués lorsque les auteurs du malware ont commis une erreur d’implémentation, ce qui permet de casser le cryptage (Petya et CryptXXX). Ou, dans les cas où les auteurs regrettent les dommages qu’ils ont causés (ou se fatiguent) et publient toutes les clés, ou une clé maîtresse (TeslaCrypt).
Les services de police et les autorités de sécurité peuvent également récupérer des serveurs avec des clés et les partager avec le projet (CoinVault) pour aider les victimes.
Autres outils de décryptage de rançon
Les fabricants d’antivirus et les sociétés de sécurité proposent également des outils de décryptage en ligne gratuits, classés par nom. Enregistrez les liens ci-dessous.
