|
Ouvert du lundi au vendredi de 8h30 à 17h00
|

Robert à la Puce     Depuis mars 2018 , une vague de variantes de rançon-logiciel Dharma a fait son apparition et plusieurs milliers de PC ont été infectés à travers le monde. Le Québec n’a pas été épargné et plusieurs compagnies et organismes ont été confrontés à ce maliciel particulièrement nuisible puisqu’il encrypte toutes les données sur le disque afin de demander une rançon par la suite.

Ce type de maliciel n’infecte pas uniquement les stations, mais peut aussi encrypter un serveur entier dans certaines conditions. La propagation du rançon-logiciel se fait principalement par des courriels piégés contenant des pièces jointes pouvant exécuter du code via des macros. Il peut aussi se diffuser par le biais de pages web piratées qui tentent d’utiliser les failles des systèmes d’ordinateurs ou des logiciels. Il est recommandé de doubler de prudence face aux courriels contenant des pièces jointes y compris les documents Microsoft Word et Excel puisque ceux-ci peuvent contenir des macros malveillantes.

La provenance d’un courriel contenant des pièces jointes doit être absolument reconnue avant d’ouvrir le ou les documents attachés. Plusieurs compagnies et organismes ont reçu récemment des factures de format Word en pièces jointes qui semblaient être légitimes, mais qui contenaient une macro nuisible. Les compagnies envoient généralement leurs factures sous forme de fichiers PDF, il faut donc se méfier des documents de type Microsoft Word ou Excel.

Qu’est-ce qu’un Ransomware ?
Le ransomware est un malware, appelé parfois à tort “virus”, ou à raison s’il se duplique et propage de lui-même, qui a pour but final de soutirer de l’argent à sa victime. L’infection passe par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un courriel piégé ou au bout d’un lien. Lorsque le ransomware a pris place sur l’ordinateur (ou le smartphone, dans 20% des cas selon Kaspersky) de sa victime, il applique un blocage du système ou un chiffrement (cryptage) sur les fichiers et dossiers personnels de l’ordinateur de telle sorte qu’ils deviennent illisibles. Une fois son travail terminé il indique à l’utilisateur piégé un moyen de débloquer l’ordinateur de récupérer ses fichiers, généralement en payant une rançon contre la clé de cryptage qui permettra d’ôter le chiffrement.

Comment se protéger ?
Il existe plusieurs variantes de ransowware baptisés avec des noms tels que : Wannacrypt, Cryptowall, Cryptolocker, Petya ou Locky etc. Ce dernier est particulièrement virulent selon l’éditeur de solutions de sécurité Kaspersky qui fournit quelques conseils pour éviter de tomber dans la piège des ransomwares.

1. Sauvegarder ses fichiers
Le conseil est valable pour les ransomwares, mais aussi pour l’informatique en général. Les disques durs ou autres systèmes de mémoire tout comme les systèmes ne sont pas infaillibles, il convient donc d’avoir ses données importantes (photos, documents etc…) dupliquées à deux endroits différents en tout temps. Dans l’idéal la sauvegarde doit être faite de façon régulière sur un support qui n’est liée à l’appareil à sauvegarder uniquement lors de la copie des fichiers (clé USB, disque dur externe, sauvegarde en ligne…). En effet les ransomwares peuvent également se propager aux supports de stockage connectés à l’appareil infecté.

2. Mettre à jour son système et ses logiciels
Le ransomware, ou plus généralement les malware, se diffusent en utilisant des failles de logiciels ou des systèmes comme porte d’entrée. C’est ce qui a permis aux pirates de mener la cyberattaque WannaCrypt. Tenez à jour vos systèmes Windows, Linux, Mac, Android, iOS ou autres et vérifiez régulièrement que vous utilisez la dernière version de vos logiciels favoris, notamment les navigateurs. Enfin, certains systèmes d’exploitation ou logiciels ne sont plus supportés et ne reçoivent plus de mises à jour de sécurité. C’est le cas notamment de Windows XP qui ne devrait plus être utilisé.

3. Redoubler de prudence avec les pièces jointes
Le système de pièces jointes des courriers électroniques est devenu au fil du temps un moyen indispensable pour échanger des fichiers, mais c’est aussi un des moyens que les pirates utilisent pour diffuser leur logiciel malveillant. Comme on l’a vu avec le cas Locky une pièce jointe annoncée comme étant une facture peut contenir un malware, il convient donc d’éviter d’ouvrir ou d’exécuter des pièces jointes reçues si on a un doute sur le but du message. Demandez confirmation à l’expéditeur si vous n’êtes pas certains que l’envoi est légitime.

4. Utiliser un antivirus à jour
Les logiciels malveillants, virus et autres malwares, évoluent en permanence. Pour cette raison on pourra trouver différentes variantes d’un ransomware. Utiliser un antivirus à jour permet de s’assurer que les dernières signatures de logiciels malveillants sont bien enregistrées et que votre antivirus pourra le reconnaitre. Attention toutefois, un fichier téléchargé, mais non signalé comme dangereux par l’antivirus ne signifie pas pour autant qu’il est sain.

5. Activer la protection des dossiers de Windows 10
Dans sa dernière version majeure distribuée à l’automne 2017 Microsoft a mis en place un nouveau moyen de défense qui vise particulièrement les ransomware : le dispositif d’accès contrôlé aux dossiers. Il permet d’indiquer au système que l’on souhaite protéger ses dossiers personnels, ceux utilisés habituellement par Windows. Si d’autres dossiers sont à protéger, il est également possible de les désigner manuellement. Activer cette protection, qui ne l’est pas par défaut, va empêcher les applications non autorisées d’accéder aux dossiers pour y apporter des modifications, exactement le type de fonctionnement des malware qui veulent bloquer l’accès aux fichiers.

En cas infection, que faire ?

1. Ne pas payer
Il est tentant de payer si l’on possède les moyens de céder au chantage, mais c’est une fausse bonne idée. Tout d’abord rien ne garantit que les pirates vous fourniront la clé qui permettra de déchiffrer vos fichiers ou débloquer votre ordinateur. Ensuite cela encourage ce type d’attaques et la mésaventure pourrait bien se répéter pour vous ou vos proches.

2. Arrêter la propagation
Dès que vous connaissance de l’infection, débranchez les disques externes encore sains pour éviter le chiffrement de vos fichiers encore intacts et isolez l’ordinateur dans votre réseau pour éviter que le logiciel malveillant se propage à d’autres ordinateurs. Éteignez tout simplement l’ordinateur et débranchez-le d’internet.

3. Désinfecter l’ordinateur
Si vous avez éteint l’ordinateur alors que tous les fichiers n’étaient pas encore chiffrés, utilisez un CD bootable (un CD Ubuntu par exemple) qui va vous permettre de mettre en sécurité sur un disque externe ou une clé USB ce qui a été préservé. Utilisez ensuite un autre CD bootable de sécurité comme ceux proposés par les antivirus (exemple avec BitDefender) pour tenter de désinfecter l’ordinateur. Si l’infection ne bloque pas l’ordinateur et que celui-ci est toujours en route et internet accessible, cherchez un outil de désinfection en vous faisant aider éventuellement en demandant de l’aide dans le forum désinfection.

4. Retrouver ses fichiers
Les éditeurs de logiciels et chercheurs spécialisés en sécurité ont mis au point des outils et mis la main sur des clés de cryptage de certains ransomware. Vérifiez avant tout en cherchant sur internet et en demandant conseil dans les forums. Si aucune solution n’existe, vous pouvez tenter de récupérer quelques fichiers en cherchant dans les fichiers temporaires ou en utilisant des logiciels de récupération spécialisés : Solutions Locky et autres Ransomware (récupération de quelques fichiers).

5. Signaler l’attaque aux autorités

Robert Fournier
DIRECTEUR DU SERVICE TECHNOLOGIQUE

Partager

Comments are closed.

2018 © Copyright, La Puce Ressource informatique.