Un rançonlogiciel est une cyberattaque (un virus) qui est utilisée pour extorquer de l’argent. À l’origine, les criminels ont utilisé les rançonlogiciels pour extorquer des paiements provenant de particuliers voulant récupérer leurs documents personnels. Aujourd’hui, les cyberattaquants extorquent des paiements à des entreprises en échange de la récupération d’informations confidentielles. Personne n’est à l’abri d’un rançonlogiciel. Les criminels ont extorqué des paiements contre la récupération de données médicales ou personnelles auprès de fournisseursde services de santéet ont interdit à des clients l’accès à leurs chambres dans les hôtels. Même les systèmes industriels peuvent s’avérer vulnérables aux rançonlogiciels.
Les premiers rançonlogiciels, appelés rançonlogiciels de blocage,empêchaient une victime d’accéder à un ordinateur de bureau ou un navigateur. Les cyberattaquants ont rapidement évolué vers un cryptorançonlogiciel plus sophistiqué, qui crypte les données sur les ordinateurs ou appareils mobiles. Les deux formes envoient une notification signalant l’extorsion à l’utilisateur : achetez le logiciel de décryptage ou une clé de déchiffrement sinon vos données seront perdues à jamais.
Anatomie d’une attaque par rançonlogiciel
Une forme courante de la façon de procéder d’un rançonlogiciel se fait par les pièces jointes à des courriers électroniques. Les utilisateurs sont persuadés, malgré leur discernement — par le biais de l’ingénierie sociale — d’ouvrir la pièce jointe. La pièce jointe est généralement une forme de programme malveillant à auto-installation, souvent appelé un cheval de Troie ou un fichiercompte-gouttesde virus. Une fois installé, le compte-gouttes s’inscrit à un réseau zombie du cyberattaquant en contactant le groupe commande et contrôle (C2) du réseau zombie. Lorsqu’il est contacté, le C2 génère et renvoie le matériel de saisie-chiffrement pour le compte-gouttes du rançonlogiciel (et éventuellement d’autres codes malveillants). Le compte-gouttes du rançonlogiciel utilisera le matériel de cryptage pour crypter les fichiers personnels sur l’appareil infecté. Il enverra ensuite une notification d’extorsion, exigeant que la victime paie une rançon en échange d’une clé qui lui permettra de décrypter les données désormais inaccessibles.
De nombreux attaquants utilisant un rançonlogiciel menacent les victimes d’une perte permanente de leurs fichiers personnels si la rançon n’est pas payée dans un délai de 24 heures. Pour renforcer la supercherie, certaines notifications de rançonlogiciels usurpent l’identité d’autorités policières ou d’agences gouvernementales et présentent l’extorsion comme une amende.
Les rançonlogiciels exploitent le système des noms de domaine public
Les compte-gouttes de rançonlogiciel utilisent parfois le protocole Internet (IP) codé en dur pour la connexion au C2. Quand les compte-gouttes utilisent des adresses IP configurées de façon statique, les enquêteurs peuvent les utiliser pour identifier rapidement et débrancher le C2 du réseau zombie du rançonlogiciel. Pour éviter cela, les rançonlogiciels plus avancés identifie un C2 parun algorithme générantdes noms de domaine. Les compte-gouttes de rançonlogiciels modernes utilisent le système des noms de domaine (DNS) pour résoudre des noms de domaine que le cyberattaquant change fréquemment, se cachant ainsi efficacement des enquêteurs.
Ne payez pas la rançon !
Les autorités d’application de la loi et les experts en sécurité sont d’accord : ne payez pas la rançon ! Il n’y a aucune raison de donner votre confiance au cyberattaquant pour qu’il vous fournisse les moyens de décrypter vos fichiers personnels une fois la rançon payée. Le cyberattaquant peut disparaître, continuer de vous extorquer ou vous envoyer des clés de déchiffrementqui ne fonctionnent pas.
Défendez-vous proactivement contre les rançonlogiciels
« Faites des sauvegardes » pour vous défendre contre les rançonlogiciels. Par l’archivage régulier des données personnelles ou sensibles sur un périphérique externe ou cloud, vous videz de sens les menaces d’un cyberattaquant. Soyez particulièrement prudent et sauvegardez vos fichiers lorsque vous voyagez.
Ensuite, utilisez l’Internet en toute sécurité. Envisagez de prendre les mesures suivantes afin de minimiser la probabilité d’infection par un rançonlogiciel :
- Installez les derniers correctifs sur votre ordinateur portable.
- Ne partagez pas vos dossiers.
- Gardez votre antivirus à jour.
- Utilisez un résolveur de DNS fiable.
- Désactivez l’exécution de macro.
- Essayez la protection anti-rançon.
Après cela, assurez-vous que vous avez les moyens de restaurer rapidement le système d’exploitation, les applications et données archivées sur votre appareil, au cas où votre produit serait infecté par un rançonlogiciel. Les entreprises et les particuliers devraient s’informer sur ce qu’on appelle des services de restauration d’image.
Vous pouvez vous protéger par d’autres moyens ; voir22 conseils de prévention contre les rançonlogiciels.
Si vous êtes pris en otage…
Rappelez-vous : ne payez pas ! Contactez un ami technicien, un service de réparation réputé ou le service informatique de votre entreprise pour vous aider à identifier le rançonlogiciel. Ils peuvent également vous aider à trouver des référentiels fiables pour récupérer les fichiers effacés ou un logiciel de récupération, des kits d’élimination de rançonlogiciels ou des décrypteurs et des référentiels en ligne de clés de récupération. Une de ces ressources esthttps://www.nomoreransom.org/, qui malgré son aspect insolite, est fiable.
Ne soyez pas une victime
Parce que les cyberattaquants utilisant des approches plus perfectionnées pour lancer des attaques de rançonlogiciels, les utilisateurs ont besoin d’être proactifs et faire tout leur possible pour empêcher ces attaques de se produire. Soyez informé. Soyez vigilant.