Lors d’une conférence sur la sécurité qui s’est tenue la semaine dernière, le FBI a clairement indiqué être relativement impuissant face aux ransomwares, ces logiciels qui chiffrent les données de l’utilisateur avant de lui réclamer une rançon.
Les ransomwares sont devenus une menace « banale » pour les utilisateurs. Il s’agit de petits logiciels que le pirate amène à exécuter par des moyens détournés. Le moyen le plus commode reste une pièce jointe infectée dans un email, et on ne répètera jamais assez qu’il est nécessaire de contrôler la provenance d’un courrier avant d’en ouvrir les fichiers contenus. Notez que l’exécution peut également se faire grâce à l’exploitation d’une faille 0-day, et donc pour laquelle il n’existe pas de correctif durant les premiers temps.
Des attaques qui se répandent
Une fois que le logiciel est lancé, son objectif devient très simple. Dans un premier temps, il chiffre l’ensemble des données importantes. L’utilisateur n’y a donc plus accès. Les données stockées dans le cloud sont épargnées si aucun client de synchronisation n’est installé, sinon les changements sont répercutés également sur les serveurs. Après tout, pour un OneDrive ou un Dropbox, il s’agit simplement de modifications. Dans un deuxième temps, l’utilisateur est invité à payer pour retrouver ses données. Un compte à rebours peut d’ailleurs être présent.
Dans un document datant de juin, le FBI abordait la situation. Son Internet Crime Complaint Center (IC3) confirmait que la tendance était à l’augmentation du nombre de cas et que les victimes se multipliaient. CryptoWall et ses variantes étaient particulièrement impliqués et le centre précisant qu’en un an (entre juin 2014 et 2015), 992 plaintes liées à ce seul ransomware avaient été enregistrées, générant un profit de 18 millions de dollars pour les pirates, soit en moyenne 18 000 dollars par victime.
« Nous conseillons souvent aux gens de payer simplement la rançon »
Le conseil donné était alors de contacter l’antenne locale du FBI. Plusieurs mois plus tard, il n’a pas changé, mais il s’accompagne d’un constat assez défaitiste. Joseph Bonavolonta, en charge de cette lutte dans les bureaux de Boston, participait la semaine dernière au Cyber Security Summit 2015. Il confirmait que ces malwares particuliers étaient redoutables et que les études menées n’avaient pas mené à des résultats probants : « Le ransomware est bon à ce point. Pour être honnêtes, nous conseillons souvent aux gens de payer simplement la rançon ».
Un conseil étonnant, et qui s’oppose clairement à la recommandation en France de l’initiative StopRansomware, soutenue par la Gendarmerie nationale : « Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu ». Mais le FBI n’a pas tout à fait la même analyse. D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.
Car le conseil le plus important est finalement le même que celui donné en France par le ministère de l’Intérieur : sauvegarder ses données. Bonavolonta explique ainsi qu’une entreprise réalisant régulièrement des sauvegardes n’a aucun besoin de payer une rançon : il suffit de restaurer les données depuis le dernier bon état connu. Un antivirus est également essentiel, ne serait-ce que pour scanner ladite sauvegarde et donc ne pas réinstaller le logiciel malveillant.
Commentaires (92)
#1
Excellent conseil, comme ca ils ont juste à recrypter les fichiers au bout d’un certains temps et redemander une rançon ensuite.
#2
“D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.”
Si l’on est plein a ce faire voler on aura un prix de gros…
#3
J’ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l’entête d’un type de document pour éviter de se faire repérer par un antivirus?
Car détecter qu’un fichier word/excel/jpeg vient d’être modifié et que son entête n’as plus rien à voir avec une entête valide ce n’est pas compliqué à faire.
#4
#5
#6
#7
#8
Yep j’ai un amis qui a été confronté à ça. Toute ses recherches y sont passées (médecine). Bon il a ça dans la tête, mais ce sont des milliers d’heures de travail foutues en l’air.
En cherchant pour lui, sans pour autant trouver de solution, je suis tombé sur des “devkit” de serveur de ransomware. Sur TOR on trouve ce genre de site qui propose de payer une licence pour un serveur de ransomware clefs en main.
Par contre pour décrypter c’est aléatoire. SI le ransomware utilise un ancien algo ça peut passer, mais si il est récent c’est mort pour plusieurs années. Le mieux est de “cryogéniser” ses données pour qu’elles soient décryptable dans le futur " /> (ce qui sera surement très probable).
#9
En te le demandant simplement ;)
#10
Ransomwares : pour le FBI, il est parfois nécessaire de payer
Et en plus ça permettra de financer les contras en Amérique Centrale le développement des pays ou habitent les gentils rançonneurs. " />
#11
ça apprendra aux gens à sauvegarder et à plus faire n’importe quoi " />
#12
#13
Une bonne technique pour éviter ça c’est d’activer le versioning des fichiers NTFS.
après avoir nettoyé le PC convenablement, vous pourrez récupérer l’ancienne version.
Dans le cas où ça vous arrive et que le versioning n’est pas activé, le chiffrement prend du temps. Alors arretez tout, redémarrer en safe mode, se débarrasser du truc d’une façon ou d’une autre, puis passez un bon soft de data recovery. On peut retrouver pas mal de trucs comme ça. Faut juste éviter de faire travailler son disque dur entre temps ;)
J’ai déjà vu ce truc agir sur le pc d’une connaissance proche, ça fait de sacré dégats!
edit: le datarecovery, trouvez en un sans install qui vous mettrez sur une clé usb. Et les fichiers récupérés, évidemment sur la clé elle aussi ^^
edit2: tant que le virus est présent, ne pas mettre de clés dessus, car elles risquent d’être elles meme cryptées!
#14
C’est très con alors les antivirus pourrait facilement se baser sur les entête pour se rendre compte qu’un logiciel est en train d’encrypter des fichiers, le bloquer et demander l’approbation à l’utilisateur.
Mais bon si ils font ça j’image que ces ransomwares seront vite modifié pour laisser le début du fichier intact…
#15
Vous pensez que c’est comme ça que le FBI finance ses opérations hors cadres?
#16
#17
non y’a les saisies sur SilkRoad pour ça " />
#18
#19
#20
L’approbation c’est pas pour le fichier mais pour le processus.
#21
C’est normal shadow copy a un espace alloué quand il n’as plus d’espace il supprime les plus anciennes sauvegarde, donc dans le cas d’une encryption de tous les fichiers sur un disque avec un espace disque faible, il y’a de grande chance que peu de fichiers soient récupérables.
#22
je l’ai vu chez des collègues, un truc lié à une faille dans Flash, suffisait de lancer une vidéo à la con (même pas du pron " />) et paf ! écran gendarmerie, pc bloqué (bon ça se nettoie mais c’est lourd)
#23
#24
Effectivement mon message aurait plutôt du être à destination de @Plouk " />
#25
#26
Dupliquer les données dans un zip (ou autre)
Crypter ce zip
Remplir les fichiers de garbage sauf en-têtes
Remplir tout l’espace disque restant avec des fichiers bidons plein de garbage
Supprimer tous les fichiers sauf le zip
Demander des sous
#27
comment le logiciel trouve et crypte les données importantes ?
en utilisant les emplacements prédefinis et les ressources systèmes disponibles.
dans mes documents, images, videos, musique, il y a que des fichiers “D.T.C” ;-)
Et sur ma becane win7, j’ai fait plus drastique encore, genre la recherche est désactivée bas niveau comme pas mal de “services”.
un ransomware est un programme. Suffit de glisser un grain de sable dans son fonctionnement.
Apres, je comprends que cela ne soit pas très utilisé, car on perds un peu en coté pratique, puisque les OS sont désormais entièrement construit sur ces dossiers imposés, et qu’au jour le jour tu te rends compte deslimitations que tu viens d’introduire.
Après, j’en ai eu un de vrai, une fois, (sa variante fausse existe et on la trouve de temps en temps dans les pubs , mais il suffit de fermer la fenetre ce qui n’est pas possible avec le vrai, de nettoyer les cookies et de redémarrer firefox)
donc, fin de taches, redémarrage sans extension, vidage à la main du cache firefox. et aucun soucis.
(J’ai désactivé aussi les services de cryptage sur mon Win, peut-être que cela a aidé ? )
#28
Après, un risque de demander à l’utilisateur le choix de l’antivirus, c’est que ceux qui n’y connaissent pas grand chose vont peut-être cliquer sur “Laisser faire” le ransomware pour ne pas avoir à s’en occuper, non ?
Pour ceux qui chiffrent, je m’inquiète moins par contre.
#29
#30
un rançongiciel
" />
#31
Je trouve le mot assez ridicule aussi " />
#32
#33
Bien gentil le restore. faut-il encore savoir quand le ransomware a été installé pour pas faire de restore avec le problème
#34
“D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée.“On peut voir dans l’autre sens, si personne ne payait, alors aucune rançon ne serait demandée, et les auteurs de ces saloperies seraient passés à autre chose/ne pratiqueraient pas ça.
#35
mais +1000 !
Darwin rullz
#36
#37
Je n’ai jamais dit que les antivirus étaient capable de gérer ces ransomwares
#38
#39
Ah c’est facile de parler de “grand public” à posteriori " />
Sous Windows, c’est apparu avec Win 95 non ?
#40
Le bitcoin et autres crypto monnaies sont des facilitateurs pour le paiement des rançons de façon secure pour les pirates !
L’absence d’intermédiation n’a pas que du bon !
#41
Certains logiciels de rançon te désactivent tes snapshots avant de te la mettre " />
Même les partages réseaux ne sont pas épargnés.
C’est moche pour ton thésard de perdre ses travaux de recherche …
Rien ne vaut un backup sur un HDD externe ou grosse clé usb qui restera hors de tous réseaux.
Tiens je vais continuer à mater la série MR ROBOT " />
#42
Et la NSA, ils disent quoi, eux ? " />
#43
Ces ransomwares sont une forme de terrorisme numérique.
Heureusement en France nous avons à présent des lois sur la surveillance et des boites noires pour lutter contre le terrorisme.
Donc on est tranquilles, il ne peut rien nous arriver, les ransomwares n’ont qu’à bien se tenir !
#44
Vécu ça au taf il y a quelques mois :
le rançongiciel se cache dans un mail, genre “Votre commande Amazon est prête à être livrée, cliquez ici”.
De mémoire, la PJ était un fichier du style : commande.txt______________________.exe
Du coup l’utilisateur un peu distrait pense avoir affaire à un .txt et paf !
En 2 min l’exe cryptait tous les .docx .xlsx et .pptx présents dans l’arborescence de toutes les lettres de lecteurs (locaux et réseaux).
Sympa quand ça arrive à un admin une secrétaire comptable qui à 250 lecteurs réseaux avec des droits en écriture partout, avec des partages RWX avec d’autres secrétaires et directeurs… " />
Bref, ça nous a permis de tester en direct live nos sauvegardes réseaux, les shadow copies locales, et aussi d’écouler notre vieux stock de :popcorn: cleenex pour les pas-de-bol… " />
#45
@Vincent
Bonjour,
j’avais lu cet article surhttp://thehackernews.com/2015/10/fbi-ransomware-malware.html
Ainsi je me demandais si vous citiez vos sources quelque part (histoire d’avoir plus à manger :-P)
Merci !
#46
J’aurai pas voulu être à la place de la secrétaire." />" />
#47
#48
Ce qui est bien dans not’boulot, c’est que parfois on reçoit des bouteilles de champ’…! " />
edith : …alors que c’est juste not’taf en fait… " /> (nan mais des fois on se lourde, mais dans l’ensemble ça arrive pas souvent… " />)
#49
Ceci était un message à caractère informatif du F.B.I.
#50
#51
On ne peut parler de terrorisme, il n’y a aucune terreur.
La rançon s’obtient par la force, ce que décrit bien l’article.
#52
J’étais tout à coup en train de me dire que j’allais investir dans un NAS pour sauvegarde externe vu que beaucoup l’ont vu ou vécu, mais si ça poutre tout le réseau, là… Sérieux, je dois être super concentré, j’ai pas d’antivirus et j’ai jamais chopé un virus, mais ça fout les foies.
Bon, j’ai désactivé le malware Flash et je fais toujours gaffe aux extensions et à la provenance réelle des emails, mais quand-même. Parfois tu te dis que finalement, tu ferais bien de tout faire dans le cloud, sans synchro automatique. Vaut-il mieux être pillé par les ricains en col blanc ou les russes en chapka (les ricains te laissant un droit de regard sur tes fichiers parce qu’ils sont plus urbains ^^) ?
#53
#54
#55
#56
#57
Je suis certain que même en payant, les données chiffrées ne sont pas récupérable. Donc autant ne pas payer du tout, si au final on a le même résultat.
#58
Dans l’article il est dit que généralement les données sont libérés…
#59
#60
Toutes mes données que je ne veux surtout pas perdre (photos, vidéos notamment) sont sur un serveur owncloud chez OVH.
Une autre copie sur un NAS, et une troisième copie sur un disque dur débranché.
Par contre je m’inquiète pour mes clients qui ne font pas attention à leurs sauvegardes (données médicales).
#61
#62
#63
#64
En général quand tu prends un coup de bâton tu fais en sorte que cela n’arrive plus. Les boîtes qui ont ce genre de problèmes doivent revoir leur manière de sauvegarder leurs données au plus vite…
#65
Détrompe-toi. Pour les pirate, l’intérêt est justement de redonner accès aux données, car si on apprend que payer ne sert à rien, c’est une source de revenue qui disparaît pour eux. Le conseil du FBI leur donne de la crédibilité, et c’est ça qui est énorme !
#66
J’ai été confronté au problème il y a quelques temps au bureau. Une collègue a ouvert une pièce jointe depuis chez elle (un fichier Word censé être une facture de quelques choses).
Tous ses fichiers ont été chiffrés et quand elle s’est connectée au réseau le lendemain matin, tous les dossiers réseaux auxquels elle avait accès ont été chiffrés à leur tour, et c’est seulement à ce moment qu’elle a pensé à m’appeler pour me dire qu’il y avait “un truc bizarre”…
Après avoir désinfecté sa machine, j’ai pu restaurer la sauvegarde des fichiers réseaux de la nuit précédente, mais elle n’avait aucune sauvegarde de ses données personnelles (je répète souvent pourtant qu’il faut toujours avoir une copie des fichiers importants sur un support amovible ou sur un espace de stockage en ligne non synchronisé !)… j’ai cherché un peu mais impossible de déchiffrer ses données…
Donc je comprends que le seul conseil qu’on peut donner en cas d’attaque pour récupérer les données hyper importantes, c’est de payer car c’est la seule façon de pouvoir les déchiffrer malheureusement. (et dans la plupart des cas, les pirates sont “réglo” et redonnent bien accès aux données après paiement)
#67
La rançon elle est payé comment ?
Ce n’est pas traçable ?
#68
#69
#70
#71
#72
Tu as un antivirus ? Tu ne peux donc pas affirmer non plus que tu n’as pas de virus que l’antivirus ne connait pas. Bienvenue dans le monde réel.
#73
En lisant les solutions évoquées contre les ransomwares, il y a pas mal de contre-vérités, quand même.
Avouez, vous n’avez pas de sauvegarde, hein. " />
#74
#75
Pour la qualité je n’ai pas les compétences pour juger, mais l’antivirus de microsoft n’est vraiment pas dérangeant.
#76
" />
#77
#78
" />
merci pour l’explication ! " />
#79
Je travaille sur un volume situé dans un NAS, ou parfois en local pour des choses temporaires.
Chaque nuit, le contenu important du NAS est sauvegardé sur un autre NAS (qui n’est pas accessible depuis l’ordinateur autrement que via l’interface web), et chaque semaine il y a en plus une copie complète du volume de travail sur un second volume de ce même NAS (lui aussi inaccessible depuis l’ordi).
Bientôt un troisième NAS viendra agrandir la famille, lorsque la fibre optique sera installée. Il sera hors de chez moi et fera des sauvegardes hebdomadaires.
#80
#81
#82
#83
L’élévation de privilège ne sert pas à exécuter un programme, sinon à chaque clic on devrait valider l’action, et on deviendrait tous fous ! " />
Elle sert à exécuter une action qui va lire/modifier des données systèmes inaccessibles en mode non privilégié.
Le malware n’effectue aucune action système, il va juste scanner (et chiffrer) les fichiers ciblés avec les droits de l’utilisateur : imparable !
Dans un partage réseau en lecture seule pour l’utilisateur, les fichiers ne seront pas touchés, puisque en “lecture seule”. Par contre, au moindre droit d’écriture (modification ou contrôle total, paf ! catastrophe !).
Dans un profil local (Mes documents/Mes images etc.) repaf ! Tout est chiffré !
Testé le rançonware gracieusement forwardé " /> en email par ma secrétaire dans une vm poubelle avec des fichiers Office bidons, ça chiffre niquel ! " />
Avec, à la fin du processus, un beau popup intimant de payer dans le délai maxi imparti… " />
#84
T’as vu, j’ai pas menti niveau discretion ! " />
#85
#86
Est-ce qu’on peut payer en ticket resto ?
#87
#88
#89
On se rapproche aussi de la problématique des failles de sécurité et de leur marché. Sur un système 100% à jour, on a quantité de failles failles de sécurité qui sont présentes, découvertes ou pas, publiquement ou pas.
#90
#91
Je n’ai testé que sur windows 7. Et pour le coup il est vraiment pas chiant, il ne m’a remonter que des réelle menace. Après je me souviens pas si je l’avais configuré.
#92