Conseils

Le guide ultime sur les ransomwares et la façon de vous en protéger

Charlotte Empey, 21 février 2018

Les ransomwares ont-ils de quoi vous faire peur ? Ce guide explique tout ce que vous devez savoir sur eux, y compris comment vous en protéger et comment les éliminer en cas d'infection.

La cybersécurité est une préoccupation majeure dans le monde d'aujourd'hui, tant au niveau des entreprises que des particuliers. Nos ordinateurs, nos appareils de poche et nos produits domotiques intelligents et IoT sont vulnérables à diverses attaques. Rien qu'en 2017, Avast a bloqué 35 milliards d'attaques de sécurité contre des PC et 208 millions contre des appareils mobiles Android. Quelles étaient les plus grandes menaces qui pesaient sur le monde ? Les ransomwares.

Qu'est-ce qu'un ransomware ?

Un ransomware est un type de logiciel malveillant (ou malware) conçu pour prendre vos fichiers informatiques (voire votre ordinateur entier) en otage.

avast_prevents_ransomware_pc_laptop.pngLe malware chiffre vos fichiers de façon à ce qu'ils ne puissent pas être ouverts ou il verrouille complètement votre ordinateur pour vous empêcher d'accéder à tous vos documents importants (photos, vidéos, fichiers comptables, documents de travail, etc.). Les pirates malveillants qui se cachent derrière les malwares vous contactent alors pour vous demander une rançon, vous promettant de déchiffrer les fichiers une fois le paiement reçu (souvent en bitcoins).

Les ransomwares ne datent pas d'hier. La première attaque connue a eu lieu en 1989 et a infecté les ordinateurs via une disquette. Dans le monde d'aujourd'hui entièrement connecté, l'accès simplifié aux ransomwares open source et leur potentiel de gain financier considérable ont renforcé leur popularité.

anti-malware_security_avast.png

Le ransomware est-il un virus ? 

La plupart d'entre nous connaissons bien le terme « virus » et l'utilisons pour désigner toutes les formes de malwares. En réalité, un virus n'est qu'un type spécifique de malware. Les vers, chevaux de Troiespywares et ransomwares en sont d'autres types.

Chaque type de malware vise un objectif différent. Les vers se reproduisent et affectent les performances de votre ordinateur. Les virus sont conçus pour infecter votre ordinateur, endommager vos fichiers, puis s'infiltrer chez de nouveaux hôtes. Les chevaux de Troie cherchent une porte dérobée pour s'introduire dans votre ordinateur afin d'accéder à vos fichiers et exploiter vos informations personnelles. De nombreuses raisons expliquent que les cybercriminels créent et diffusent ces types de malwares.

Le pirate à l'origine d'un ransomware est motivé par une raison généralement assez simple : il souhaite vous soutirer de l'argent. D'une manière générale, le but n'est pas d'endommager ou de détruire définitivement vos fichiers ni même de voler votre identité, mais de vous convaincre de payer pour obtenir la clé de déchiffrement.

Les ransomwares sur PC

Tout le monde peut être la cible d'un ransomware. Les attaques de ransomwares les plus médiatisées en 2017 ont touché aussi bien des particuliers que des entreprises, y compris de grandes sociétés, des hôpitaux, des aéroports et des organismes gouvernementaux.

Le PC reste la cible la plus populaire des attaques de ransomware, car les pirates exploitent les vulnérabilités connues, en particulier dans le système d'exploitation Windows.

Avast-protects-against-wannacry.png

Répartition par pays des attaques du ransomware WannaCry depuis le printemps 2017.

En mai 2017, le ransomware WannaCry s'est rapidement propagé à travers le monde entier et a attaqué plus de 100 millions d'utilisateurs.

WannaCry a exploité une faiblesse connue de Windows appelée EternalBlue, un bogue permettant aux pirates d'exécuter du code à distance via une requête de partage de fichiers et d'imprimantes Windows. Microsoft avait publié un correctif pour EternalBlue deux mois avant que WannaCry ne frappe ; malheureusement, de nombreuses personnes et entreprises n'ont pas effectué la mise à jour à temps pour se protéger contre l'attaque. La faille EternalBlue était déjà présente sur Windows XP, un système d'exploitation que Microsoft ne prend plus en charge (ce qui explique pourquoi les utilisateurs de Windows XP ont été les plus durement touchés par WannaCry).

android_phone_with_ransomware.pngLes ransomwares sur les appareils mobiles

Les attaques de ransomwares sur les appareils mobiles sont de plus en plus fréquentes. Le nombre d'attaques sur les appareils Android a augmenté de 50 % entre 2016 et 2017. Souvent, le ransomware s'infiltre sur l'appareil Android via une application à partir d'un site tiers. Toutefois, nous avons également vu des cas où le ransomware était caché dans des applications qui paraissaient légitimes et disponibles dans le Google Play Store.

macbook_with_ransomware

Les ransomwares sur les produits Apple

Les partisans d'Apple ne sont pas à l'abri. Auparavant, les utilisateurs Mac étaient généralement mieux protégés des attaques de malwares. Toutefois, les produits Apple étendent leur emprise sur le marché et attirent davantage l'attention des développeurs de malwares.

En 2017, deux sociétés de sécurité ont découvert des programmes de ransomware et de spyware ciblant les utilisateurs Apple en particulier et qui auraient été conçus par des ingénieurs logiciels spécialisés dans les systèmes OS X. Les créateurs des malwares les avaient même rendus disponibles gratuitement sur le Dark Web. Les pirates malveillants ont également accédé aux comptes iCloud des utilisateurs Mac et utilisé le service "Localiser mon iPhone" pour verrouiller leur ordinateur.

Les types de ransomwaretypes_of_ransomware_avast_protects_against.png

Il existe diverses formes de ransomware, la demande de rançon étant le principal élément qui les réunit. (En 2017, des institutions ont été frappées par une attaque de type ransomware, mais son objectif ne semblait pas être financier. Le ransomware peut avoir été utilisé pour camoufler une manœuvre d'espionnage ou un autre type de cyberattaque.)

crypto-malware_Protection_avast.pngCrypto-malware : le type le plus courant de ransomware est connu sous le nom de crypto-ransomware ou ransomware chiffreur. Comme son nom l'indique, ce type de programme chiffre vos fichiers. Vous pouvez toujours vous connecter à votre ordinateur mais ne pouvez ouvrir aucun fichier. WannaCry est l'exemple parfait de ce type de ransomware.

CryptoLocker : le ransomware CryptoLocker verrouille votre ordinateur et vous locker_ransomware.pngempêche même de vous y connecter. Le ransomware Petya, qui est apparu pour la première fois en 2016 et est revenu sous une forme plus avancée en 2017, utilise une approche de type casier et chiffre la table de fichiers principale de votre disque dur afin de verrouiller votre ordinateur.

 doxware_ransomware.pngDoxware : le doxware télécharge une copie de vos fichiers sensibles sur l'ordinateur du pirate, qui menace alors de les publier en ligne si vous ne payez pas la rançon. Imaginez quelqu'un menaçant de publier vos photos ou vidéos les plus personnelles sur un site Web public afin que le monde entier puisse les voir. Le ransomware Ransoc utilisait cette méthode.

  • Scareware : le scareware est un faux logiciel qui prétend avoir trouvé des problèmesscareware_ransomware.png sur votre ordinateur et demande de l'argent pour les résoudre. Les scarewares peuvent inonder votre écran de fenêtres contextuelles et de messages d'alerte ou verrouiller votre ordinateur jusqu'à ce que vous payiez.

L'une des raisons pour lesquelles les ransomwares sont devenus si populaires est qu'ils sont facilement accessibles en ligne aux pirates. Avast a découvert qu'un tiers environ de toutes les « nouvelles » souches de ransomware proviennent en réalité d'une souche open source existante. En outre, les pirates mettent continuellement à jour leur code pour affiner leur ransomware et améliorer leur chiffrement, de sorte qu'une certaine souche de ransomware pourrait réapparaître plusieurs fois, à l'instar de Petna.

Le but ultime du pirate étant de propager le ransomware sur autant de machines que possible afin de générer toujours plus d'argent, une tactique alternative de rançon a émergé.

petya_ransomware_on_laptop.png
L'auteur du ransomware Popcorn Time demande à la victime d'infecter deux autres utilisateurs. Si ces deux utilisateurs paient la rançon, la victime d'origine récupère ses fichiers gratuitement.

Comment mon appareil peut-il être infecté ?

how_does_my_device_get_infected_with_ransomware.png

Le problème des ransomwares, c'est que contrairement à un virus, ils peuvent attaquer votre appareil sans aucune action de votre part. Un virus nécessite que l'utilisateur télécharge un fichier infecté ou clique sur un lien infecté, tandis qu'un ransomware peut infecter un ordinateur vulnérable par lui-même.

exploits_ransomware.pngKits d'exploitation : les pirates développent des kits d'exploitation contenant du code préécrit, conçus pour exploiter des failles telles que EternalBlue (voir la description ci-dessus). Ce type de ransomware peut infecter n'importe quel ordinateur connecté au réseau et exécutant un logiciel obsolète. Un beau jour, vous allumez votre ordinateur et catastrophe ! Tous vos fichiers sont verrouillés.

anti-phishing_social_engineering.png
Ingénierie sociale : d'autres formes de ransomware tirent parti de méthodes éprouvées pour infecter votre ordinateur. L'ingénierie sociale ou phishing décrit le fait d'inciter les utilisateurs à télécharger des malwares via une pièce jointe ou un lien Web. Ces fichiers accompagnent généralement un e-mail qui semble provenir d'une source fiable et la pièce jointe ou le lien ressemble à un bon de commande, un reçu, une facture ou un avis important.

Son extension lui donne l'allure d'un fichier PDF ou Excel/Doc, alors qu'il s'agit en réalité d'un fichier exécutable déguisé. L'utilisateur télécharge le fichier, clique dessus et ouvre la porte aux pirates. (Il se peut que les hostilités ne commencent pas tout de suite. Certains ransomwares sont conçus pour rester cachés sur votre ordinateur pendant un certain temps afin qu'il soit plus difficile de savoir exactement d'où ils proviennent.)

protection_against_malvertising.pngMalvertising : le malvertising est une autre méthode d'infection par laquelle le pirate utilise un réseau publicitaire pour diffuser ses malwares. La fausse publicité peut même être diffusée sur des sites Web fiables. Si l'utilisateur clique sur le lien publicitaire, le ransomware est téléchargé sur son ordinateur.

Les « drive-by downloads » sont des fichiers malveillants qui sont téléchargés sur votre ordinateur sans aucune action directe de votre part. Certains sites Web peu fiables exploitent des navigateurs et applications obsolètes pour charger en secret des malwares sur votre ordinateur pendant que vous naviguez sur le Web.

Indépendamment de la façon dont le ransomware s'infiltre sur votre ordinateur, une fois que le programme est exécuté, il procède généralement comme suit : il commence à modifier des fichiers (ou structures de fichiers) de façon à ce que vous ne puissiez plus les lire ou les utiliser à moins de les restaurer à leur état d'origine.

Un système de chiffrement est utilisé pour sécuriser la communication entre le malware et l'ordinateur de commande (l'ordinateur utilisé par le criminel pour diriger l'ordinateur de la victime). Le système de chiffrement détient la clé permettant de déchiffrer les données ou de récupérer la clé de déchiffrement requise pour rétablir les fichiers ou le système de fichiers dans leur forme d'origine.

Une fois tous les fichiers verrouillés, une demande de rançon s'affiche à l'écran, vous indiquant combien d'argent vous devez payer pour déchiffrer les fichiers, où et comment virer les fonds et de combien de temps vous disposez. Passé ce délai, le prix augmente. Si vous essayez d'ouvrir des fichiers chiffrés, un message d'erreur s'affiche, vous indiquant que le fichier est corrompu, non valide ou introuvable.

Comment supprimer un ransomware ?

Il n'est pas difficile de supprimer un ransomware. Si le pirate a utilisé un ransomware de chiffrement et que vous avez toujours accès à votre ordinateur, vous pouvez démarrer ce dernier en mode sans échec et lancer un antivirus pour détecter et supprimer le malware.

Si le ransomware est un CryptoLocker qui vous empêche d'accéder à votre ordinateur, trois options s'offrent à vous : vous pouvez réinstaller votre système d'exploitation, exécuter un programme antivirus à partir d'un disque dur externe ou d'un disque amorçable ou effectuer une restauration système et rétablir une configuration Windows antérieure au chargement du ransomware.

Voici comment effectuer une restauration système sur les ordinateurs Windows :

Restauration système sur Windows 7 :

  • Au démarrage de votre PC, appuyez sur F8 pour afficher le menu Options de démarrage avancées.
  • Sélectionnez Réparer votre ordinateur et appuyez sur Entrée.
  • Ouvrez une session à l'aide de vos nom d'utilisateur et mot de passe Vous pouvez ignorer cette étape si vous n'en avez pas.
  • Sélectionnez Restauration du système.

Restauration système sur Windows 8, 8.1 ou 10 :

  • Au démarrage de votre PC, appuyez sur la touche Maj. Vous accédez à l'écran de restauration (redémarrez votre PC si ce n'est pas le cas).
  • Sélectionnez Résolution des problèmes.
  • Accédez à Options avancées.
  • Sélectionnez Restauration du système.

Appareils Android :
Pour les appareils Android, la procédure générale suivante permet de supprimer les malwares en passant en mode sans échec et en désinstallant les applications suspectes. La procédure peut varier en fonction de votre appareil.

  • Démarrez votre appareil Android en mode sans échec :
    Localisez le bouton d'alimentation et appuyez dessus pendant quelques secondes jusqu'à ce qu'un menu s'affiche. Appuyez sur Éteindre. Lorsqu'une fenêtre de dialogue vous propose de redémarrer votre appareil Android en mode sans échec, sélectionnez cette option et appuyez sur OK. Si cela ne fonctionne pas, éteignez votre appareil et rallumez-le. Une fois votre appareil allumé, essayez d'appuyer simultanément sur les boutons Menu, Volume - et Volume + ou sur ces deux boutons et maintenez-les enfoncés pour afficher l'option Mode sans échec.
  • Désinstallez les applications malveillantes et/ou suspectes et inconnues :
    Une fois en mode sans échec, accédez à Paramètres. Ensuite, appuyez sur Applications ou Gestionnaire des applications (en fonction de votre appareil). Identifiez les applications suspectes et désinstallez-les toutes.

Appareils Mac :
Bien que les ransomwares soient moins répandus sur Mac, la même procédure s'applique pour passer en mode sans échec et supprimer les malwares.

  • Redémarrez votre appareil Mac en mode sans échec. Immédiatement après la tonalité de démarrage, appuyez sur la touche Maj et maintenez-la enfoncée. Relâchez la touche Maj lorsque le logo Apple s'affiche. L'écran de démarrage Mac OS X affiche la mention Mode sans échec.
  • Utilisez un logiciel antivirus pour supprimer le malware.

Comment récupérer mes fichiers ?

Malheureusement, la suppression du ransomware ne vous donne pas subitementhow-can_i_recover_my_files.png accès à tous vos fichiers chiffrés. Le niveau de difficulté de récupération de vos données dépend du niveau de chiffrement. S'il s'agit d'un ransomware standard utilisant un chiffrement basique, l'un des outils gratuits de déchiffrement de ransomware d'Avast fera l'affaire.

Si votre ordinateur a été infecté par un ransomware plus sophistiqué tel que WannaCry qui utilise le chiffrement, il peut être impossible de récupérer vos fichiers verrouillés.

Certains d'entre vous peuvent penser que la meilleure façon de récupérer vos fichiers est de payer la rançon. Beaucoup choisissent de payer, c'est pourquoi les ransomwares sont devenus une forme de malware très populaire.

Si les cybercriminels continuent de gagner de l'argent, ils continueront de concevoir des ransomwares.

Prudence, toutefois : vous n'êtes pas assuré que le pirate tiendra parole et déchiffrera les fichiers après avoir été payé. Il pourrait se contenter de prendre l'argent et de fuir. Ou s'il voit que vous êtes prêt à payer, il peut instantanément augmenter le montant de la rançon. Par ailleurs, vous courez le risque d'être la cible d'une autre attaque.

Notons également que certains ransomwares sont si mal codés que, une fois les fichiers chiffrés, ils ne peuvent pas être déchiffrés et sont perdus à jamais. Petna en est le parfait exemple. Le fait de payer ne garantit pas que vous récupèrerez vos fichiers.

Protection contre les ransomwares : comment empêcher une attaque de ransomware ?

ransomware_protection_by_avast.png

La meilleure façon de faire face à une attaque de ransomware est d'empêcher qu'elle ne se produise. Pour ce faire, plusieurs solutions :

1. Mettez à jour votre système d'exploitation et vos applications. 

Nous avons bien conscience que tous ces avis de mise à jour du système Windows peuvent devenir ennuyeux, mais ne les ignorez pas. (N'ignorez pas non plus les mises à jour de vos appareils mobiles ou produits IoT.)

De nombreuses mises à jour système comprennent des correctifs de sécurité essentiels à la fiabilité de vos appareils. Si vous utilisez un ancien système d'exploitation que Microsoft ne prend plus en charge tel que Windows XP, vous êtes particulièrement vulnérable aux attaques et devriez envisager de passer à un système d'exploitation plus récent.

Il est également important de mettre à jour vos logiciels informatiques, notamment vos navigateurs Web et extensions.

2. Sauvegardez vos fichiers.

Il est important d'effectuer régulièrement des sauvegardes système sur un appareil externe (disque dur USB, lecteur NAS ou stockage cloud, par exemple). Vous devez au moins sauvegarder vos fichiers les plus importants et précieux afin de les protéger contre les malwares et les pannes de disque dur. De nos jours, les systèmes de stockage sont abordables et les options USB et NAS nombreuses. Il existe également de nombreux systèmes de stockage cloud gratuits, tels que Dropbox, Google Drive, MEGA et OneDrive.

backup-your-files-to-protect-against-ransomware.png
3. Utilisez un logiciel antivirus et maintenez-le à jour. 

Avast propose différents niveaux de protection antivirus (Avast Antivirus Gratuit est, comme son nom l'indique, gratuit !) pour vous protéger contre les ransomwares et autres malwares. Pour les clients professionnels, notre nouveau logiciel Avast Business Endpoint Protection offre une protection des données, des appareils et de l'identité fiable et de qualité professionnelle pour tous les budgets.

Pour le canal informatique, nous avons intégré cette fonctionnalité à nos produits Managed Workplace et CloudCare. De la même façon que les cybercriminels affinent constamment leurs malwares, Avast s'attache à perfectionner ses logiciels antivirus. Il est donc important de les maintenir à jour.

4. Restez à l'affût des techniques manipulatrices d'ingénierie sociale.

Cela va de soi, mais n'ouvrez ou ne cliquez jamais sur des liens ou des fichiers de sources inconnues. Si vous recevez un e-mail contenant une pièce jointe suspecte, supprimez-la sans même l'ouvrir. Si vous connaissez la personne qui a envoyé cet e-mail, vérifiez auprès d'elle que la pièce jointe est fiable.

Soyez également vigilant quant aux messages qui essaient de vous inciter à cliquer sur des liens vers des sites Web malveillants, que ce soit dans un e-mail, dans un simple texte ou sur les réseaux sociaux. Si vous saisissez des informations personnelles, vérifiez que le protocole HTTPS est activé sur le site sur lequel vous vous trouvez. Comment le savoir ? Votre navigateur doit afficher un symbole en forme de cadenas vert, un repère visuel vous assurant que le site est sécurisé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur FacebookTwitter et Google+.