Comment éviter la prise d’otage de vos données

//Comment éviter la prise d’otage de vos données

Comment éviter la prise d’otage de vos données

Par | 2016-02-29T16:29:57+02:00 février 29th, 2016|Blog|

Qu’est-ce que c’est un CryptoLocker?
Le CryptoLocker est un virus appartenant à la famille Trojan ransomware, spécialisée dans l’extorsion de fonds. À côté de ses cousins ​​(CryptoWall, TorrentLocker, TeslaCrypt), il vise principalement les ordinateurs Windows via les pièces jointes infectées ou, parfois, même à travers le botnet Gameover ZeuS (si celui-ci est déjà présent sur le système de l’utilisateur). Une fois activé, le programme malveillant crypte vos fichiers et vous envoie une demande de rançon. Nous pourrions aller plus loin et comparer cela à la « mafia » de la cybersécurité. Imaginez Al Pacino dans le Parrain tenant vos données en otage et exigent un paiement en échange de la clé de déchiffrement.

Mode opératoire
La « mafia » CryptoLocker a fait son apparition pour la première fois en septembre 2013, visant toutes les versions de Windows, y compris Windows XP, Windows Vista, Windows 7 et Windows 8. Comme toute tentative «criminelle», elle se nourrit du pire cauchemar des utilisateurs : la perte de données. Mais pourquoi ce virus est-il si dangereux ? Contrairement à ses versions précédentes qui ne touchent pas à vos données, le CryptoLocker bloque les fichiers avec une clé de chiffrement privée (un mélange de RSA et AES) détenue seulement par le centre du contrôle, ce qui rend la récupération de données pratiquement impossible.
À la fin du processus de chiffrement, le malware exécute un programme de paiement (nous pourrions comparer cela à du « chantage »), demandant une certaine somme, jusqu’à une certaine date, pour décrypter les fichiers de l’utilisateur. Si les conditions ne sont pas remplies, la clé de chiffrement est effacée. En d’autres termes, s’il n’y a pas de sauvegarde disponible pour les données chiffrées, il est fort probable qu’elles ne seront jamais récupérées.

Pertes enregistrées
Tout d’abord, nous devrions probablement commencer par dire que le CryptoLocker d’origine n’est plus en circulation, suite à l’opération «Tovar», menée par la police en mai 2014, lorsque le botnet Gameover ZeuS a été détourné. Pour ce faire, la police a impliqué une société spécialisée dans la sécurité, qui a créé un outil permettant aux utilisateurs de récupérer leurs fichiers de manière gratuite, en s’appuyant sur la base de données des clés privées utilisées par les logiciels malveillants.
Cependant, même avec la tête de la mafia éliminée, de nouvelles mutations se sont montrées désireuses de prendre le pouvoir. Le CryptoLocker original a extorqué presque 3 millions $ au cours de son existence. Ce n’est donc pas étonnant que de nombreux prétendants aient abordé la même approche (et sous le même nom).
Le plus récent exemple et, à la fois, l’attaque du ransomware le plus médiatisé en Amérique du Nord, a été enregistré à Hollywood (début février), quand des pirates ont bloqué le réseau informatique d’un hôpital presbytérien. Le malware a pris contrôle de l’établissement médical pour une durée de deux semaines, rendent le personnel incapable de traiter ses patients, jusqu’à ce que finalement une rançon de 16900 $ fut versée. Cela doit servir de leçon, les CryptoLockers d’aujourd’hui sont plus performants que ceux d’origine.

Solutions existantes
Puisque le payload du virus CryptoLocker se cache dans la pièce jointe d’un message de phishing, les antivirus courants ont du mal à empêcher cetype d’infection (lire notre article précédent ici pour en savoir plus). D’autres solutions disponibles impliquent des stratégies de restriction logicielle (SRL) ou AppLocker (la version améliorée du SRL), qui permettent aux utilisateurs de contrôler ou de bloquer le déroulement de fichiers exécutables sur les zones utilisées le plus souvent par les malwares.
Néanmoins, si les utilisateurs ont des droits en tant qu’administrateur sur leurs propres ordinateurs, ces solutions deviennent incomplètes. Malheureusement, ce scénario est parfois inévitable et, dans ce cas, les deux outils peuvent être facilement induits en erreur.

Fenêtre d’opportunité
Quoi faire si votre ordinateur est déjà infecté par un CryptoLocker? Tout d’abord, ne paniquez pas. La bonne nouvelle est qu’il y a une fenêtre d’opportunité dont vous pouvez profiter et, espérons-le, arrêter la prise d’otage de vos données avant même qu’elle ait commencé.
Lorsqu’un utilisateur lance (sans le savoir) un logiciel malveillant sur son ordinateur, celui s’installe dans le répertoire de l’utilisateur et obtient la clé publique de son serveur C&C. CryptoLocker commence le chiffrement des données stockées localement ou dans les drives du réseau partagé et génère des clés symétriques aléatoires pour chaque fichier qu’il crypte. Le focus est sur les documents Office, les photos et les vidéos, globalement tout ce qui pourrait être de valeur pour l’utilisateur ciblé. Il crypte alors la clé aléatoire en utilisant un algorithme asymétrique publique-privé de la clé de chiffrement (RSA) et les clés de plus de 1024 bits. Ensuite, le virus ajoute cette clé aléatoire au fichier crypté.
C’est au début de cette phase que Reveelium, notre solution d’analyse comportementale, peut détecter les signaux faibles correspondant à des tentatives de connexion au centre de contrôle des logiciels malveillants. Jusqu’à ce que le processus de cryptage soit terminé, les utilisateurs ont une brève période de temps pour agir et effacer CryptoLocker. Gardez à l’esprit que, une fois enlevé, la seule façon de récupérer vos données c’est à travers la restauration du système Windows.

Reveelium
Reveelium est une solution développée par ITrust dans le but du couvrir le décalage d’intelligence auquel les antivirus sont confrontés, ce qui baisse les temps de détection à 1 semaine (par rapport à la moyenne de 12 mois) et réduit les faux positifs de 95%. Il permet d’identifier les symptômes de tous les comportements malveillants grâce à son système automatisé de détection des anomalies, construit comme une technologie 3D comprenant: un moteur de détection des signaux faibles, qui est le fruit de recherches avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une base de connaissance globale, la « mémoire » de Reveelium, qui fusionne les informations issues des différentes instances de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.

[button link= »https://www.itrust.fr/contact/ » color= »blue » target= »_self » size= »large » title= »Contactez-nous « ]Contactez-nous[/button]