Le blog de Genma
Vous êtes ici : Accueil » Blog » A.I.2 » Les ransomwares ou rançongiciel

Les ransomwares ou rançongiciel

D 26 septembre 2016     H 09:00     A Genma     C 2 messages   Logo Tipee

TAGS : Sauvegarde A.I.2

C’est au détour d’une conférence sur l’hygiène numérique où je vois que l’on parle de la très forte hausse des Ransomware ou Ransongiciels que je me suis aperçu que moi-même, je n’en avais jamais parlé.

Comme tout terme informatique qui est d’abord anglophone, un ransonware est la contraction de ranson et de software et se traduit donc en français par rançongiciel. Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. Source de la définition

Un site complet d’information https://stopransomware.fr/ a été créé pour en parler, donner des conseils etc.

Si vous ne connaissez pas les ransonware, ce sont donc des virus qui bloquent complètement votre ordinateur en vous demandant de payer au FBI, à la Gendarmerie ou autre. Vos données sont chiffrées (cryptées, sic) et sont donc rendues inaccessibles. Ces virus ne sont souvent détectés par les antivirus qu’après avoir fait un certain nombre de victimes. D’où la nécessité de faire une prévention et une information d’un maximum de personnes.

Comment éviter ça ?

Comme toujours, on attrape pas ce virus par hasard, c’est souvent lié à une action ou une absence d’action de l’utilisateur de l’ordinateur. Il faut donc suivre quelques règles d’hygiène numérique de base :
- ne pas installer n’importe quoi (pas de logiciels piratés, de mise à jour de flash issues de sites douteux...) ;
- ne pas cliquer n’importe où (pas de clic sur l’alerte au virus quand on surfe sur Internet...) ;
- ne pas ouvrir les pièces jointes reçues d’un inconnu par mail et se méfier quand on connait la personne...
- bien mettre tous ces logiciels à jours (navigateur, système d’exploitation...)

Rien de nouveau donc. Uniquement les règles classiques.

L’importance des sauvegardes

Le soucis qu’il y a en plus avec les ransomwares c’est qu’il faut également faire attention à ses sauvegardes. On a beau être sensibilisé à la nécessité des sauvegardes, il ne faut pas faire ses sauvegardes sur un disque qui est connecté en permanence. Car dans le cas d’un ransomware, ce dernier chiffre tous les disques et donc également le disque dur externe USB que l’on branche pour faire ses sauvegardes... L’ordinateur est chiffré, ce n’est pas grave, on a une sauvegarde... Qui est elle même chiffrée et donc inutilisable... Sur le sujet des sauvegardes je vous renvoie à mon billet de de la règle des 3-2-1 avec une sauvegarde externalisée des données les plus importantes. Si le disque dur de sauvegarde se fait chiffré par le virus rendant l’accès aux données impossibles, il reste encore l’autre disque de sauvegarde avec la deuxième copie des données.

Le chiffrement c’est bien

Enfin, il faut bien comprendre que le chiffrement est mauvais dans le cas où il est fait par un virus et pour lequel on ne peut pas déchiffré les données. Chiffrer ses données est et reste une très bonne pratique de sécurité. Si on chiffre ses données avec un logiciel que l’on connait et avec une phrase de passe que l’on connait, on créée un coffre-fort numérique, on protège ses données. Et c’est très bien. Là où le chiffrement fait par le virus nous porte préjudice c’est que nos données sont mises dans un coffre numérique dont on n’a pas le code/la clef... Et donc qu’on ne peut pas ouvrir...

Voilà j’espère que vous aurez appris quelque chose, que ça vous rappellera l’importance de bien faire ses sauvegardes (Rappelez vous que l’excuse de je n’ai pas le temps ; je sais je devrais mais je ne le fais pas... poserons soucis le jour où vous aurez besoin d’avoir une sauvegarde et que vous n’en aurez pas...)

Si vous avez été confronté ou connaissez quelqu’un qui a été confronté à un ransomware, n’hésitez pas à laisser un petit témoignage en commentaire.

2 Messages

  • Salut,

    c’est vraiment une plaie ces ransomwares surtout pour les particuliers qui ne font généralement pas ou peu de sauvegardes.
    La structure dans laquelle je travaille (280 postes environ) a subit une grosse campagne de mailing avec le ransomware "Locky" il y a quelques mois.
    Juste un petit fichier js (JavaScript) en pièce jointe, la campagne avançant les mails devenaient de plus en plus crédibles, au début en anglais puis petit à petit en français avec des adresses d’expédition sur des domaines connus.
    À ce moment, notre antivirus était complètement à la masse avec ce type de fichier et ne détectait absolument rien :/
    Voici les mesures mises en place :
    — -> information des utilisateurs
    — -> vérification des sauvegardes avec test de restauration.
    — -> information des utilisateurs
    — -> vérification des permissions sur les fichiers de sauvegardes (afin qu’ils ne soient pas chiffrés lors d’une attaque)
    — ->information des utilisateurs
    — -> mise en place d’un filtre des extensions de fichier sur le serveur de fichiers avec alerte mail.
    — -> information des utilisateurs
    — -> serrer les fesses ^^’

    Puis un utilisateur a ouvert une pièce jointe ...
    Résultat :

    Locky à commencer par chiffrer son poste en local puis s’est attaqué aux raccourcis réseaux et le filtre de fichiers a fonctionné, j’ai reçu un mail m’indiquant que l’utilisateur “untel” avait tenté d’écrire un fichier en. locky sur son répertoire de travail, j’ai donc décroché mon téléphone et lui ai demandé gentiment d’éteindre son ordinateur :
    " DÉBRANCHE TOUT !!!!! "

    il faut dire que le filtre en question était en test sur un serveur et que cet utilisateur avait accès à d’autres serveurs non protégés …
    Donc nous n’avons pas eu besoin de faire chauffer les sauvegardes grâce à ceux choses :
    - Locky utilise une extension bien définie qui permet l’utilisation de ce type de filtres, d’autres utilisent des extensions connues (mp3) ou aléatoires.
    - Locky prend apparemment les raccourcis réseau dans l’ordre alphabétique et le premier des raccourcis était sur le serveur “protégé”. (pfiouu ...)

    voilà, voilà, pour le petit témoignage.


  • Salut,
    Je travaille pour une institution française, 4000 stations et serveurs pour une centaine de sites.
    Il y a 3 semaine, un utilisateur a cliqué sur un lien reçu dans un mail, résultat, en deux jours, une quarantaine de stations étaient infectées sur une vingtaine de sites.
    Nous avons une dizaine de connexions réseau sur les stations, pour la bureautique, mais aussi pour des partages réseau utilisés par des applications métier .
    Heureusement, le système de sauvegarde est bien isolé, et le week-end qui a suivi à permis de restaurer l’ensemble des données présentes sur la totalité des serveurs touchés sur ces 20 sites.
    L’importance des sauvegardes a été démontrée sur cet épisode qui aurait pu se révéler assez dramatique, mais la capacité de restauration à permis de se sortir d’un très mauvais pas à peu de frais.
    Donc deux conseils : sauvegarde + tests de restauration fréquents !
    La bise
    Francois


Un message, un commentaire ?
modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Ce formulaire accepte les raccourcis SPIP [->url] {{gras}} {italique} <quote> <code> et le code HTML <q> <del> <ins>. Pour créer des paragraphes, laissez simplement des lignes vides.