au sommaire
Avec les ransomwares, l’infection est la plupart du temps réalisée via une faille provenant d’un logiciel non mis à jour. Un document PDF, Word ou Excel est adressé au destinataire par e-mail. En voulant l’ouvrir, le destinataire fait planter le logiciel associé. Le code stocké dans le document est alors activé et télécharge et installe le ransomware en question. Les utilisateurs victimes du trojan MBRlock peuvent utiliser le code de déblocage « unlock391 ». © Docteur Web
Symantec, Sophos, Avast!, McAfee... Tous les éditeurs de solutions de sécurité affirment qu'une menace provenant du Web se répand actuellement comme une traînée de poudre. Cette race spécifique de malware porteporte l'appellation de ransomwareransomware. Comme son nom le laisse supposer, il est bien question de rançon avec ces virus informatiques. Et l'otage, c'est l'ordinateur, avec les données qu'il contient.
Concrètement, l'utilisateur contamine sa machine en cliquant sur un des nombreux pièges tendus sur un site de streaming ou de téléchargement. Le nuisible s'introduit alors le plus souvent via les failles d'un composant FlashFlash ou Java non mis à jour. L'autre voie de contaminationcontamination privilégiée repose sur des pièces jointes ou des liens cliquables dans les mails. Ensuite, une séquence programmée, prend le contrôle à distance de l'ordinateur. L'accès à toutes les données de l'utilisateur est bloqué. Pour le reste, tout dépend de la déclinaisondéclinaison du ransomware.
Dans tous les cas, une page s'affiche sur toute la surface de l'écran avec les logos du FBI, de la police allemande ou française ou d'une autre autorité gouvernementale. Un message vous explique que vous êtes en infraction pour une multitude de motifs (images pédophiles, pornographie, violation de la législation sur les droits d'auteur). Parfois, pour intimider davantage, la webcam de l'ordinateur est déclenchée et l'utilisateur peut se voir sur la page.
Intimidation et fausses amendes avec les ransomwares
Pour débloquer la situation, une seule solution, affirme le message à l'écran : payer une amende salée sous 48 ou 72 heures sous peine de confiscation de la machine ou de suppression de toutes les données. La somme demandée est conséquente et il est demandé de la régler via un système de carte prépayée comme MoneyPak, Ukash ou Epay. Ces procédés souvent utilisés pour les sites de paris en ligne sont l'équivalent de certains mandats Cash et permettent de brouiller les pistes.
Une fois infecté, l'ordinateur est bloqué par une page semblable à l'illustration ci-dessus. Parfois, la webcam est activée pour afficher l'image de la victime (ici en haut à droite à côté de ON). Pour enlever le blocage, la page demande de payer une somme assez élevée (200 dollars ici). © Avast!
Si l'utilisateur règle cette rançon, le blocage ne disparaît pas pour autant. Dans le meilleur des cas, le message indique inlassablement que votre dossier est en cours de traitement, et que cela peut prendre plusieurs heures. De leur côté, les cybercriminels ont empoché la rançon, et restent quasiment intraçables.
Les ransomwares, des virus très lucratifs
Et comme les utilisateurs ont peur de perdre leurs données, cette menace fonctionne bien malgré son manque de crédibilité. D'après Symantec, 2,9 % des victimes sont prêtes à payer pour retrouver le contrôle de leur ordinateur. Et ceci malgré la rançon qui peut dépasser 400 dollars (de 50 à 100 euros en Europe). Ainsi, Symantec rapporte qu'un minuscule gang de cybercriminels est parvenu à contaminer 68.000 ordinateurs en un mois. Il aurait pu récupérer jusqu'à 400.000 dollars !
Jaromir Horejsi, un analyste du laboratoire d'Avast!, explique à Futura-Sciences que cette arnaque n'est pas une nouveauté. « Les premiers cas remontent à 2009. À l'origine, elle s'est développée dans les pays de l'Est avant de débarquer en Europe et aux États-Unis. » L'ingénieur précise qu'il existe 2 principaux types de ransomware. Le plus courant et le moins méchant fait partie de la famille baptisée Reveton. Une fenêtrefenêtre vient masquer tout l'écran. Un pseudomessage officiel s'affiche alors. En coulisse, ces malwares modifient des clés de registre afin de se lancer automatiquement au démarrage de l'ordinateur. Le spécialiste explique que si c'est le cas, rien n'est perdu. « Lorsque le PC est infecté, il est souvent nécessaire de démarrer avec une clé USB ou un DVDDVD pour nettoyer le registre ». Plus de peur que de mal donc...
MBRlock, le plus dangereux des ransomwares
En revanche, l'autre famille de ransomware, de type MBRlock, est beaucoup plus agressive. Le nuisible s'attaque directement au MBRMBR (Master Boot Record) qui permet normalement d'amorcer le disque durdisque dur afin de démarrer. Il le remplace et met de côté l'original. À chaque allumage de l'ordinateur, MBRlock s'active au lieu du démarrage du système d'exploitationsystème d'exploitation. Lui aussi affiche un message exigeant de payer au moins une vingtaine d'euros pour débloquer l'ordinateur. Cette façon de procéder provient essentiellement des pays russophones. L'argentargent doit être versé via un paiement par téléphone. Débloquer l'ordinateur est alors un peu plus compliqué, mais pas impossible. Il faut trouver un moyen de charger, via une clé USB ou un CDCD, un outil permettant de réécrire le MBR du système.
Quelle est la parade pour éviter ces nuisibles ? Jaromir Horejsi nous répond en rappelant qu'il faut appliquer les consignes habituelles de bon sens : « prendre son temps avant de cliquer accidentellement sur n'importe quoi et surtout mettre à jour l'ensemble des composants Flash et JavaJava, ainsi que le système d'exploitation et la solution de sécurité ». Mais surtout, ne pas flancher sous la pressionpression des cybercriminels, sous peine de tomber dans un piège encore plus grand.