Discussion :

[Stéphane le calme]

CryptoLocker : le ransomware qui menace de bloquer tous vos fichiers,
l'un des plus dangereux de l'heure

CryptoLocker est le premier "ransomware" à aller au bout de sa menace et à effectivement bloquer les données. Contrairement à plusieurs de ses semblables, CryptoLocker empêche toute récupération des données sans la clé fournie en cas de paiement de la rançon.

CryptoLocker s'attaque aux ordinateurs fonctionnant sous Windows. Le ransomware se présente souvent sous la forme de pièce jointe. Certains disent qu'il se répand également à travers le botnet Zeus. Une fois sur votre machine, il chiffre systématiquement tous les documents qui sont stockés en local, ainsi que ceux qui sont stockés sur les lecteurs réseau mappés ou sur des stockages amovibles connectés. Pour ce faire, le malware utilise une clé de chiffrement RSA à 2048 bits et la clé de déchiffrement ne sera communiquée qu'au moment du paiement de la rançon.

La victime a alors 100 heures pour payer une rançon d'environ 219 euros (300 dollars), sous peine de voir la totalité de ses fichiers (photos, vidéos, etc) être bloquée. Un paiement qu'il faudra effectuer avec une carte de débit rechargeable Green Dot ou en Bitcoin, la monnaie électronique. Dans le cas contraire, la clé de déchiffrement est automatiquement détruite et l'accès aux fichiers est perdu de manière irréversible.

Les experts en sécurité s'accordent à dire que l'un des meilleurs moyens de prévenir les attaques du malware est de faire attention aux liens qu'on reçoit en courriel, sur lesquels on clique, parce qu'il se répand principalement via des hameçonnages de courriels.

Fort heureusement, l'expert en sécurité Nick Shaw a créé un logiciel, qu'il a baptisé CryptoPrevent, qui applique un certain nombre de paramètres à votre installation de Windows qui empêchent l'exécution de CryptoLocker, et qui a fait ses preuves dans les environnements Windows 7 et Windows XP.

[ame="http://www.youtube.com/watch?v=M4dNuZYGgMM"]CryptoPrevent en action[/ame]

Dans ces circonstances, il est impératif de penser à faire des sauvegardes de ses fichiers sur des stockages amovibles ou sur le Cloud. Faut-il payer ou non la rançon demandée ? La société de sécurité informatique Sophos s'est penchée sur un certain nombre de fichiers qui ont été chiffrés par ce malware particulier, et n'a pas pu trouver de faille permettant de se passer du paiement de la rançon. Il devient donc clair que le seul moyen de récupérer vos données est de payer la rançon. Cependant, cela pose un grand dilemme éthique. En payant la rançon, vous faites de ce genre de " rapt de données " une activité rentable qui va donc se perpétuer. Toutefois, si vous ne payez pas la rançon, vous perdez l'accès à tout ce que vous avez stocké sur votre ordinateur.

Source : Sophos

Et vous ?

Quel choix suggéreriez-vous ? Payer ou ne pas payer ?

[Neckara]

Bonjour,

Si on sauvegarde régulièrement nos données sur un ou plusieurs disques durs externes comme on le conseille très souvent, on a plus de problèmes de pertes de données.

[kOrt3x]

Quel choix suggéreriez-vous ? Payer ou ne pas payer ?

Faire des backups, éviter d'ouvrir des pièces jointes de destinateurs inconnus et d'éviter Windows.

[23JFK]

Acheter pour 200€ de disques durs afin d'éviter cette blague... M'enfin, les cibles des Ransomwares ne sont pas les utilisateurs les plus avertis.

[coolspot]

Ou passez sur un vrai système d'exploitation comme GNU/Linux et arreter de faire tourner cette merde d'XP qui n'est qu'une antiquité étant un gruyère en sécurité et fiabilité.

[Chauve souris]

Ou passez sur un vrai système d'exploitation comme GNU/Linux et arreter de faire tourner cette merde d'XP qui n'est qu'une antiquité étant un gruyère en sécurité et fiabilité.

Seulement si Linux dépasse un jour le seuil de 1 % d'utilisateurs il aura autant de malwares que Windows et même plus puisque son code est ouvert.

[Chauve souris]

Effectivement c'est un rappel de devoir faire des sauvegardes régulièrement en attendant qu'un patch vienne vacciner le système. Et bibi qui vous parle ose dire qu'il n'a jamais perdu de données bien que les pannes de disques durs n'arrivent pas qu'aux autres (j'en ai eu quatre qui ont dégagé en trois mois).

Au sujet des logiciels de sauvegardes, mon expérience personnelle (si ça peut aider) :

- Ceux intégrés aux Windows : trop limités
- Acronis True Image Home : trop lent, manque de fiabilité et refuse de fonctionner avec un Windows Server.
- Image for Windows : fonctionnel mais un peu limité en possibilités (ne fait pas les sauvegardes de type fichiers, mais uniquement partitions).
- O&O Diskimage : je ne l'ai pas approfondi mais me semble analogue au précédent.
- EaseUS Todo Backup Advanced Server : celui que j'ai retenu. Il fait tous les types de sauvegardes, y compris sur le LAN sans que la lenteur soit prohibitive (comme avec True Image). Ce qui permet de laisser le disque de sauvegarde sur le serveur (je suis un chaud partisan des tiroirs à disques durs car en mode AHCI ils se mettent et se retirent comme des clés USB), de programmer les sauvegardes pour tout le monde et de ne s'occuper de rien.

[Metalman]

Acheter pour 200€ de disques durs afin d'éviter cette blague...

La victime a alors 100 heures pour payer une rançon d'environ 219 euros

L'attaque a donc été "réfléchie" dans un certain sens...
Soit on a "beaucoup" plus que 2To de données, et là il vaut mieux payer la rançon (geeks et entreprises), soit on a moins, et généralement on est le pigeon moyen qui va cracher ça sans réfléchir ou abandonner...

[n5Rzn1D9dC]

Ou passez sur un vrai système d'exploitation comme GNU/Linux et arreter de faire tourner cette merde d'XP qui n'est qu'une antiquité étant un gruyère en sécurité et fiabilité.

Bah disons qu'il faut au minimum Vista.
Je me rappel quand il est sortie, la plupart des gens disaient (meuh, vista c'est d'eul merde).
Le truc c'est que Vista dispose de l'ASLR, en plus d'avoir une sécurité bien meilleure que Xp..
Faire une injection sous Xp, c'est un jeux d'enfant.
Easy de faire un malware et l'injecter dans chacun des processus.
Sous Vista, CreateRemoteThread ne peux plus être appelé par un autre processus que le processus cible.

Sous Linux, l'ASLR est implémenté depuis le kernel 2.6.20.

[camus3]

Faire une injection sous Xp, c'est un jeux d'enfant.

Et Microsoft s'en cure. C'est pour cela qu'il y a de plus en plus de botnets de plus en plus larges, parce que les gens sont coincés dans des solutions propriétaires qui ne sont pas durables. XP est une bombe à retardement donc un ransome ware, ou il faut payer pour upgrader et donc être en sécurité.

[benymypony]

Faudra m'expliquer quelque chose quand même...

Comment le malware peut crypter "tous" les fichiers de manière discrète et rapide ?!
J'imagine que ça consomme beaucoup de CPU, que c'est une opération longue.
Donc il doit être facile de repérer cela.

Et n'y a t-il alors pas moyen de récupérer les fichiers qui n'ont pas encore été crypter, en éteignant de force l'ordinateur puis en accédant au disque dur de manière externe ?

Beny

[Invité]

La NSA pourrait se faire pardonner et nous aider à déchiffrer les fichiers non?

Effectivement, le meilleur moyen de prévenir pour les particuliers est de faire des sauvegardes régulières sur un disque externe qu'on ne branche que le temps de la sauvegarde et en prenant les précautions nécessaires. Vu le prix des supports c'est dommage de s'en priver.

[n5Rzn1D9dC]

Il y a un truc que j'aimerais comprendre.

Comment les auteurs ne peuvent-ils pas être retrouvé ?

Je ne connais pas Bitcoin, jamais utilisé.
Mais concrétement, l'argent arrive bien quelque part, et la destination est connue puisque l'argent y arrive, donc qu'est-ce qui empêche les forces de l'ordre de trouver la destination finale de l'argent ?

Je suppose que ce systême doit être sur à 100% pour que les auteurs du malware l'utilise à cette échelle.

[Pat_AfterMoon]

J'ai été victime d'un virus similaire il y a plus d'un an. Il s'était introduit chez moi par une faille du plugin Java (AVG n'a rien vu).

Le virus a travaillé en tache de fond de manière discrète pendant plus de 1h30. Il a crypté tous les fichiers jpeg, doc et xls de moins de 2 ans.

Puis il s'est fait passer pour Microsoft et m'a affiché des messages plutôt bien faits, me signalant qu'il y avait un problème sur mon ordinateur et m'invitant à faire plusieurs manips pour réparer ça (défrag, ...etc.).

Ensuite, si cela ne fonctionnait pas, il me proposait un service de maintenance automatique à 75$. Une rançon de 75 dollars avec tous les moyens de paiement imaginables.

Par chances je n'avais aucunes photos personnelles sur ce PC et le virus n'a pas eu l'idée de crypter d'autres types d'extensions comme odt ou ods. Donc, je n'ai rien payé et je n'ai pas perdu grand chose. Ce n'est que bien plus tard que j'ai découvert que les fichiers n'était pas vraiment cryptés, seul les 4 premiers octets étaient modifiés. Il est possible de récupérer les fichiers en bidouillant.

En tout cas ce genre de virus fait froid dans le dos. Et ceux qui crois s'en prémunir à coup sur sont bien naïfs.

[longuard]

j'ai pu retiré ce virus en moins de 5 minutes cette semaine, c'est très simple et de plus le fais de payer ne retire rien du tout.

[23JFK]

Faudra m'expliquer quelque chose quand même...

Comment le malware peut crypter "tous" les fichiers de manière discrète et rapide ?!
J'imagine que ça consomme beaucoup de CPU, que c'est une opération longue.
Donc il doit être facile de repérer cela.

Et n'y a t-il alors pas moyen de récupérer les fichiers qui n'ont pas encore été crypter, en éteignant de force l'ordinateur puis en accédant au disque dur de manière externe ?

Beny

ça dépend de la méthode de cryptage utilisée, et tout n'a pas nécessairement besoin d'être crypté, modifier les premiers bytes d'un fichier suffit en général à le rendre illisible par le logiciel auquel il est associé, et l'utilisateur moyen n'a pas la compétence pour "réparer" un fichier avec un éditeur hexadécimal.

[Tryph]

j'ai pu retiré ce virus en moins de 5 minutes cette semaine, c'est très simple et de plus le fais de payer ne retire rien du tout.

tant que tu nous expliques pas comment on "retire ce virus en moins de 5 minutes", tu as de grande chances de ne pas être pris au sérieux... voire de passer pour un mythomane.

[Nicorrard]

Moi un truc m'étonne.
Les analyses de comportement d'un antivirus ne devraient-elles pas lui permettre de bondir lorsqu'un processus qu'il n'a jamais vu se met d'un seul coup à accéder à beaucoup de fichiers?
Ou alors ces logiciels ne servent-ils vraiment que de protections contre la pauvreté pour les boites qui les produisent?

[Stéphane le calme]

CryptoLocker : un département de police contraint de payer la rançon,
750 dollars en bitcoins pour regagner l'accès à ses fichiers

Le quotidien Herald News de la région de Swansea (Massachusetts) a rapporté que le Département de Police de la région a été victime du ransomware CryptoLocker. Après que plusieurs de leurs images et documents aient été chiffrés par le malware, les forces de l'ordre se sont retrouvées dans l'obligation de suivre les directives dictées par CryptoLocker. C'est ainsi qu'ils ont déboursé la somme de 750 dollars en Bitcoins pour pouvoir récupérer leurs fichiers.

« [Le cheval de Troie] est si compliqué et réussi que vous devez acheter ces bitcoins, dont nous n'avions jamais entendu parler » explique à la presse le lieutenant de Police Gregory Ryan. Il s'est toutefois gardé d'expliquer la raison pour laquelle ces dossiers étaient si importants qu'un service de police juge préférable de payer une rançon aux hackers. « Une bonne leçon pour ceux qui ont eu affaire à lui » estime-t-il. Et de préciser que l'infection n'a pas causé de dommages au système du service utilisé pour enregistrer des rapports officiels ou des images. « Nous n'avons jamais été compromis » assure-t-il.

« Le virus n'est plus là. Nous avons mis à jour notre logiciel antivirus. Nous allons essayer de nous serrer la ceinture et faire appel à des experts, mais comme tous les experts en informatique disent, il n'y a aucun moyen infaillible pour verrouiller votre système » a déclaré le lieutenant.

Pour Gavin Millard, directeur technique de l'entreprise de sécurité Tripwire, « avec le FBI et la NCA Royaume-Uni qui indiquent que ce type d'activité ne devrait pas être encouragée par le paiement de la rançon , il est surprenant de voir que le service de police local paye pour regagner l'accès aux fichiers ». Et de rajouter que « ce qui est plus inquiétant cependant, c'est l'absence apparente de la sécurité et des procédures de sauvegarde sur des systèmes qui pourraient abriter des documents critiques et hautement confidentiels ».

Les campagnes couronnées de succès de CryptoLocker provoquent une inquiétude grandissante. Le malware se distingue des autres ransomware par sa technique de chiffrement des fichiers de la victime, mais aussi parce qu'il exige un paiement en bitcoins qui, contrairement à un paiement classique, s'avère difficile voire impossible à tracer ou à bloquer.

CryptoLocker se propage principalement via des pièces jointes, généralement un fichier PDF qui prétend provenir d'un ministère ou d'un service de livraison. Comme toujours, les experts conseillent de ne pas ouvrir les pièces jointes si vous n'êtes pas sûr de son contenu et de la source.

« La seule raison pour laquelle ce type d'attaque est une réussite c'est parce que les gens sont prêts à payer, » commente John Hawes sur ​​le blog de Sophos. « Si personne ne payait, il n'y aurait pas de ransomeware ». D'autres experts comme le U.S. Computer Emergency Readiness Team (CERT) exhortent eux aussi les personnes touchées par CryptoLocker à ne pas payer la rançon, mais de signaler l'incident au Internet Crime Complaint Center du FBI. Ils rappellent également que les utilisateurs doivent régulièrement sauvegarder leurs fichiers importants sur des disques durs externes.

Sources : Herald News, Sophos, US CERT

Et vous ?

Qu'en pensez-vous ?

[Aurelien Plazzotta]

« Nous n'avons jamais été compromis »