Ransomware & Cryptolocker : tout ce que vous devez savoir
L’importance d’un pare-feu pour votre réseau
6 novembre , 2020
Quels sont les avantages d’un hébergement Cloud?
4 décembre , 2020
Les cryptolockers sont devenus une menace croissante pour les entreprises et les particuliers, avec une augmentation significative du nombre d’attaques ces dernières années. Selon une étude de Cybersecurity Ventures, les attaques de ransomware, y compris les cryptolockers, ont coûté environ 20 milliards de dollars aux entreprises dans le monde en 2020, et ce chiffre devrait augmenter à 265 milliards de dollars d’ici 2031. Il est donc essentiel de comprendre les risques liés aux cryptolockers et de mettre en place des mesures préventives pour se protéger contre ces menaces.
Nul n’est à l’abri d’un ransomware, et de sa variante la plus dangereuse, le malware cryptoverrouilleur type Cryptolocker. Découvrez comment il fonctionne pour accroître sa sécurité informatique entreprise.
C’est quoi un cryptolocker ?
Un cryptolocker est un type de logiciel malveillant, également connu sous le nom de ransomware, qui chiffre les fichiers d’un ordinateur et exige une rançon pour les déchiffrer. Le cryptolocker peut se propager par le biais de pièces jointes infectées dans des e-mails, de sites web malveillants ou de logiciels piratés.
Le fonctionnement du cryptolocker est simple : une fois qu’il infecte l’ordinateur d’un utilisateur, il commence à chiffrer les fichiers de l’utilisateur, rendant ainsi ces derniers inaccessibles. Ensuite, il affiche une demande de rançon, demandant à l’utilisateur de payer une somme d’argent en échange de la clé de déchiffrement nécessaire pour récupérer les fichiers.
Le paiement de la rançon n’est pas garanti pour récupérer les fichiers, et il est donc recommandé aux utilisateurs de sauvegarder régulièrement leurs fichiers importants pour éviter d’être pris en otage par les cybercriminels. En général, la meilleure défense contre les cryptolockers est de rester vigilant et d’éviter de télécharger des pièces jointes d’e-mails non sollicitées, de naviguer sur des sites web non fiables et de télécharger uniquement des logiciels provenant de sources sûres.
Quelle différence entre un cryptolocker et un ransomware ?
Un ransomware ou logiciel rançonneur est un programme malveillant (ou malware) visant à empêcher le fonctionnement d’un ordinateur et l’accès à ses données : pour récupérer le bon usage de sa machine, l’utilisateur doit alors verser une rançon, parfois bien modeste.
La moyenne des sommes versées est de 450 euros environ, mais 20% des randonnées ne récupèrent jamais leurs données.
Le cryptolocker est la forme la plus grave des logiciels rançonneurs : le hacker va chiffrer les données de l’entreprise, les rendant inutilisables. Les récupérer suppose en effet d’avoir la clé de chiffrement, en possession du rançonneur : non seulement, le hackeur a accès aux données mais en plus, il y a le risque qu’elles soient détruites.
Découvert en 2013, cryptolocker est à la fois l’un des tous premiers rançongiciels identifiés, et en même temps le terme générique pour désigner tous les dérivés crypto-verrouilleurs qui ont suivi, comme Cryptowall, CTB-Locker, NoPetya, WannaCry…
Comment agit un malware cryptoverrouilleur ?
C’est un cheval de Troie : il pénètre le système informatique de manière détournée, comme un WebExploit ou le plus souvent via un email contenant le trojan en pièce jointe.
Ce malware va lancer une charge active ou payload, s’installant dans la base de registre pour modifier le démarrage de la machine.
Comme n’importe quel botnet, le ransomware se connecte alors à un serveur maître pour récupérer une paire de clef de chiffrement, habituellement de 2048 bits au minimum.
Cette clef va chiffrer les fichiers du disque dur ou des disques réseau partagé, pour les rendre inutilisables, en privilégiant ceux censés avoir le plus d’importance : fichiers textes, tableurs, images, photos…
Le plus souvent, il les renomme avec une extension du genre .encrypted, .cryptolocker ou .(7 caractères aléatoires).
Dans chaque répertoire visé, le malware génère un fichier avec un lien internet indiquant les instructions de déchiffrement… et donc de paiement de la rançon, généralement en bitcoins : un compte à rebours menace souvent de détruire ces données de manière irréversible.
Que faire si je suis victime de cryptolocker ?
En suivant ces étapes, vous pouvez limiter les dégâts causés par un cryptolocker et récupérer vos fichiers si possible. Cependant, la meilleure façon de se protéger contre les cryptolockers est de prendre des mesures préventives, telles que la sauvegarde régulière des données, la mise en place d’une politique de sécurité informatique solide et la sensibilisation des employés à la sécurité informatique.
Isoler le système infecté
Si vous détectez un cryptolocker, la première étape consiste à isoler le système infecté pour éviter la propagation de l’infection à d’autres systèmes. Cela permet d’empêcher la propagation de l’infection à d’autres machines sur le réseau. Les cryptolockers se propagent souvent par le biais des réseaux d’entreprise et des systèmes de stockage partagé, en chiffrant les fichiers partagés accessibles depuis l’ordinateur infecté. En isolant le système infecté, on limite la propagation de l’infection et on peut mieux la contrôler.
Déconnecter l'ordinateur du réseau
l est crucial de déconnecter immédiatement l’ordinateur infecté du réseau si vous suspectez une infection par un cryptolocker. Cela permet d’empêcher la propagation de l’infection à d’autres machines sur le réseau. Les cryptolockers se propagent souvent par le biais des réseaux d’entreprise et des systèmes de stockage partagé, en chiffrant les fichiers partagés accessibles depuis l’ordinateur infecté. Si l’ordinateur infecté n’est pas déconnecté du réseau, l’infection peut se propager à d’autres systèmes et causer encore plus de dégâts. De plus, si l’ordinateur est connecté à Internet, cela peut permettre aux pirates de prendre le contrôle de l’ordinateur à distance, de voler des données sensibles et d’installer d’autres logiciels malveillants.
Arrêter tous les processus suspects
Arrêtez tous les processus suspects, tels que les processus inconnus ou les processus consommant une quantité élevée de ressources du système, pour limiter la propagation du cryptolocker.
Vérifier les sauvegardes
Vérifiez si vous avez des sauvegardes récentes de vos fichiers et données. Si vous en avez, vous pouvez restaurer vos fichiers à partir de ces sauvegardes. Les sauvegardes régulières des données sont essentielles pour garantir une récupération rapide et efficace des données en cas d’attaque de cryptolocker. En vérifiant les sauvegardes, on peut s’assurer que les données sont récupérées à partir de la version la plus récente et la plus complète, ce qui réduit les pertes de données et les temps d’arrêt. Cependant, il est important de noter que les sauvegardes doivent être stockées de manière sécurisée et séparées des systèmes de production pour éviter qu’elles ne soient également infectées.
Contacter un professionnel de la sécurité informatique
Si vous n’êtes pas en mesure de supprimer le cryptolocker et de récupérer vos fichiers, contactez un professionnel de la sécurité informatique pour obtenir de l’aide.
Ne pas payer la rançon
Il est déconseillé de payer la rançon demandée par les pirates pour récupérer vos fichiers. Il n’y a aucune garantie que vous récupérerez vos fichiers même si vous payez, et cela encourage les pirates à continuer à mener des attaques.
Signaler l'attaque
Si vous êtes victime d’une attaque de cryptolocker, il est important de signaler l’incident à plusieurs entités. Tout d’abord, vous devriez en informer votre service informatique ou votre responsable de la sécurité informatique au sein de votre entreprise. Ils pourront prendre des mesures pour isoler l’ordinateur infecté et empêcher la propagation de l’infection. Ensuite, il est recommandé de signaler l’attaque aux autorités compétentes, telles que la police locale ou la gendarmerie, qui pourront enquêter sur l’incident et aider à identifier les auteurs.
Enfin, il est recommandé de signaler l’incident aux fournisseurs de services de sécurité, tels que les éditeurs d’antivirus et les prestataires de services de déchiffrement, qui pourront fournir des conseils et des solutions pour remédier à l’attaque.
Comment se protéger d’un cryptolocker en entreprise ?
Les cryptolockers sont des programmes malveillants redoutables qui peuvent causer des dommages considérables aux entreprises, tels que la perte de données et des coûts de récupération importants. Pour se protéger de ces menaces, il est essentiel de mettre en place une stratégie de sécurité informatique solide qui inclut la sensibilisation et la formation des employés, l’utilisation de logiciels de sécurité efficaces, la sauvegarde régulière des données et la mise à jour des systèmes et des applications. Les entreprises doivent également avoir une politique de sécurité informatique claire et bien définie, qui spécifie les mesures à prendre en cas d’attaque de cryptolocker. En combinant ces mesures, les entreprises peuvent réduire les risques d’attaques de cryptolocker et minimiser les dommages en cas d’incident.
Comment détecter un cryptolocker ?
Les cryptolockers sont des logiciels malveillants qui ont le potentiel de causer des dommages considérables aux ordinateurs et aux réseaux. Ainsi, l’une des caractéristiques clés de ces programmes malveillants est leur capacité à chiffrer les fichiers de l’utilisateur, rendant ainsi les données inaccessibles. Détecter la présence d’un cryptolocker est essentiel pour empêcher la propagation de l’infection et minimiser les dégâts. Il existe différentes méthodes de détection des cryptolockers et des mesures de prévention à prendre pour éviter leur propagation. Il faut le détecter avant le chiffrement massif des données, et l’apparition de la fenêtre de rançon.
Il existe pour cela différentes stratégies, adaptables à chaque société.
Sensibiliser les employés
L’une des mesures les plus importantes pour se protéger contre les cryptolockers est de sensibiliser les employés aux menaces potentielles. Les employés doivent être formés à la sécurité informatique et être conscients des dangers de l’ouverture de pièces jointes inconnues ou de la visite de sites web non fiables.
Surveiller l’accès aux fichiers
Un cryptolocker va générer très rapidement tout un ensemble d’évènements fichiers (ouverture, modification, création…).
Il suffit donc d’avoir un système de surveillance sécurité informatique entreprise qui génère une alerte dès qu’apparait ce type de comportements sur l’ordinateur.
Réaliser un audit de sécurité type audit natif
L’audit natif a pour but de vérifier la conformité des données protégées, à travers leur intégrité et leur intégralité. C’est un processus parfois assez lourd, mais qui permet de détecter des violations de fichiers protégés.
Créer un leurre ou technique du pot de miel
Un honeypot vise à créer un partage de fichiers accessible, avec des fichiers d’apparence normale ayant de la valeur.
Ils sont en réalité sans intérêt ni pertinence, et donc inutilisés.
Toute activité sur ces fichiers faciles à surveiller, devient donc suspecte et peut témoigner d’une attaque par ransomware.
Les 3 mesures préventives pour se prémunir contre un crypto-verrouilleur ?
Les cryptolockers sont des menaces croissantes pour les entreprises, car ils peuvent chiffrer les fichiers sensibles et causer des pertes de données importantes. Pour se prémunir contre ces attaques, il est important de mettre en place des mesures préventives solides. Parmi ces mesures, on peut citer la sensibilisation et la formation des employés sur les bonnes pratiques de sécurité, l’utilisation de logiciels de sécurité efficaces tels que les logiciels antivirus et pare-feu, et la sauvegarde régulière des données. En combinant ces mesures, les entreprises peuvent réduire les risques d’attaques de cryptolocker et minimiser les pertes de données en cas d’incident. Dans ce contexte, il est essentiel de comprendre les mesures préventives pour se protéger efficacement contre les attaques de cryptolockers.
Mise à jour des dispositifs de sécurité
Un antivirus professionnel performant, ainsi que la MAJ de toutes les failles de sécurité, sont un préalable indispensable.
Un audit de sécurité informatique par un prestataire multidisciplinaire permet de faire un état des lieux sur les faiblesses de tout système.
Sauvegarde externalisée des données
Une double sauvegarde est nécessaire, à la fois locale, et à distance (solution de type cloud sécurisé).
Un audit de sécurité permet aussi de poser la question des droits d’accès aux fichiers sensibles : les limiter diminue les risques de ransomwares, mais peut altérer en revanche les conditions de travail.
Un auditeur réalise donc toujours cette évaluation en l’intégrant aux objectifs de l’entreprise en termes de process et de performances : c’est un équilibre entre sécurité et productivité.
Sensibiliser les salariés
Sachant que plus de 80 % des ransomwares sont véhiculés dans les PJ des emails, la formation du personnel est essentielle sur le traitement des pièces jointes, et la reconnaissance des tentatives de phishing (nature et pertinence du mail, adresse de l’expéditeur…).
Les employés doivent connaître aussi les gestes d’urgence à effectuer en cas de suspicion, pour déconnecter l’ordinateur du réseau et ne pas en infecter d’autres.
Face à des techniques de plus en plus évoluées sur les logiciels rançonneurs, toute la sécurité informatique entreprise doit être repensée pour bien se protéger des ransomwares de type cryptolocker / cryptoverrouilleur.
