Au cours des dernières semaines, une poignée de frénétique Microsoft Windows les utilisateurs ont écrit pour demander ce qu’ils pourraient faire pour récupérer des infections PC de « CryptoLocker », le nom générique d’une souche de plus en plus répandue et méchante de logiciels malveillants qui crypte vos fichiers jusqu’à ce que vous payiez une rançon. Malheureusement, la réponse pour ces gens est généralement soit de payer, soit de tout sucer. Cet article propose quelques conseils pour aider les lecteurs à éviter de devenir la prochaine victime.
Une invite CryptoLocker et un compte à rebours. Image : Malwarebytes.org
Selon les rapports des sociétés de sécurité, CryptoLocker se propage le plus souvent par le biais de pièces jointes piégées, mais le logiciel malveillant peut également être déployé par des sites Web piratés et malveillants en exploitant des plug-ins de navigateur obsolètes.
Le problème avec CryptoLocker n’est pas tant dans la suppression du malware – ce processus semble être étonnamment trivial dans la plupart des cas. Le vrai problème est que tous vos fichiers importants – photos, documents, films, MP3 – resteront brouillés avec un cryptage pratiquement incassable à moins et jusqu’à ce que vous payiez la demande de rançon, qui peut aller de 100 $ à 300 $ (et payable uniquement en Bitcoins).
Les logiciels malveillants de chiffrement de fichiers ne sont pas nouveaux. Ce type de menace diabolique existe sous diverses incarnations depuis des années, mais il semble s’être intensifié ces derniers mois. Pendant des années, les experts en sécurité ont souligné l’importance de sauvegarder ses fichiers comme protection contre les catastrophes à la suite d’une infestation de logiciels malveillants. Malheureusement, si vos lecteurs de sauvegarde sont connectés physiquement ou via le réseau local au PC infecté par CryptoLocker, vos sauvegardes peuvent également être cryptées.
Les ordinateurs infectés par CryptoLocker peuvent initialement ne montrer aucun signe extérieur d’infection ; En effet, il faut souvent plusieurs heures au logiciel malveillant pour chiffrer tous les fichiers sur le PC de la victime et les lecteurs connectés ou en réseau. Lorsque ce processus est terminé, cependant, le logiciel malveillant affiche un message contextuel similaire à celui illustré ci-dessus, avec un compte à rebours qui donne aux victimes une courte fenêtre de temps pour décider de payer la rançon ou de perdre l’accès à les fichiers pour toujours.
Heureusement, il existe quelques outils simples et gratuits que les administrateurs système et les utilisateurs à domicile réguliers peuvent utiliser pour minimiser la menace des logiciels malveillants CryptoLocker. Une équipe de codeurs et d’administrateurs d’une société de conseil en entreprise thirdtier.net ont publié le kit de prévention CryptoLocker — un ensemble complet de stratégies de groupe qui peut être utilisé pour bloquer les infections CryptoLocker sur un domaine. L’ensemble d’instructions qui accompagne cette boîte à outils gratuite est complet et bien documenté, et les politiques de groupe semblent assez efficaces.
Les utilisateurs individuels de Windows doivent vérifier CryptoPreventun petit utilitaire de Jean-Nicolas ShawPDG et développeur de Informatique stupide, un cabinet de conseil en informatique basé à Outer Banks, NC Shaw a déclaré avoir créé l’outil pour imiter les actions du kit de prévention CryptoLocker, mais pour les utilisateurs à domicile. Jusqu’à présent, a-t-il déclaré, le programme d’installation de CryptoPrevent et sa version portable ont enregistré des dizaines de milliers de téléchargements.
Interface utilisateur CryptoPrevent
Il note que certains outils antivirus ont parfois détecté son kit comme malveillant ou suspect, et que McAfee SiteAdvisor répertorie actuellement son domaine comme potentiellement dangereux sans expliquer pourquoi (je sais ce qu’il ressent : BreachTrace.com a été à un moment signalé comme potentiellement dangereux par ce service). De plus, certaines personnes ont été bouleversées par le juron apparent dans le nom de domaine de son entreprise – idiot.net.
« Quand j’ai commencé Foolish IT [back in 2008], j’ai opté pour le domaine idiottech.com mais il n’était pas disponible et c’était l’une des suggestions que GoDaddy m’a données », a déclaré Shaw. « J’ai pensé que c’était drôle et j’ai décidé de faire avec. »
CryptoLocker pourrait être la meilleure publicité à ce jour pour les systèmes de stockage de données dans le cloud. Johnny Kesselun consultant en réparation d’ordinateurs basé à San Diego KitRx, a exhorté les clients à transférer davantage de leurs données vers les services cloud proposés par Google et d’autres. Kessel a déclaré qu’un de ses clients avait été touché par CryptoLocker il y a quelques semaines, perdant l’accès non seulement aux fichiers sur la machine locale, mais également au serveur de fichiers réseau.
« Cette chose a frappé à peu près toutes les extensions de fichiers utilisables, des MP3 aux [Microsoft] Documents Word », a déclaré Kessel. « À peu près la seule chose qu’il n’a pas touchée, ce sont les fichiers système et les .exe, cryptant presque tout le reste avec des clés RSA 2048 bits qui prendraient environ un quadrillion d’années à décrypter. Une fois que l’infection se produit, elle peut même [spread] de quelqu’un sur un PC à la maison [using a VPN] accéder à leur réseau de travail, et pour moi, c’est la partie la plus effrayante. »
Pour en savoir plus sur CryptoLocker, veuillez consulter :
Fil de discussion Breachtrace .
Malwarebytes : Cryptolocker Ransomware : ce que vous devez savoir.
Naked Security (Sophos) : malware destructeur Cryptolocker en liberté.
http://www.symantec.com/connect/forums/cryptolocker-and-adc-policies
Fil Reddit : Entretien et alimentation appropriés de votre Cryptolocker
Ars Technica : Vous êtes infecté — si vous voulez revoir vos données, payez-nous 300 $ en Bitcoins