L’article de la semaine dernière sur la prévention CryptoLocker Les attaques de rançongiciels ont généré pas mal de commentaires et de nombreuses questions de la part des lecteurs. Pour certaines réponses — et puisque le logiciel malveillant lui-même s’est considérablement transformé en quelques jours seulement — je me suis tourné vers Laurent Abrams et son forum d’aide en ligne BleepingComputer.comqui suivent et alertent sur ce fléau depuis plusieurs mois.
Ce message est laissé par CryptoLocker aux victimes dont le logiciel antivirus supprime le fichier nécessaire pour payer la rançon.
Pour récapituler, CryptoLocker est une nouvelle tournure diabolique sur une vieille arnaque. Le logiciel malveillant crypte tous les fichiers les plus importants sur un PC victime – images, fichiers vidéo et musicaux, documents, etc. – ainsi que tous les fichiers sur un support de stockage connecté ou en réseau. CryptoLocker demande alors le paiement via Bitcoin ou MoneyPak et installe un compte à rebours sur le bureau de la victime qui recule à partir de 72 heures. Les victimes qui paient la rançon reçoivent une clé qui déverrouille leurs fichiers cryptés ; ceux qui laissent expirer le délai avant de payer risquent de perdre à jamais l’accès à leurs fichiers.
Ou, du moins, c’est ainsi que cela fonctionnait jusqu’à il y a quelques jours, lorsque les escrocs derrière cette arnaque ont commencé à assouplir un peu leurs propres règles pour accommoder les victimes qui étaient apparemment disposées à payer mais ne pouvaient tout simplement pas sauter à travers tous les cerceaux nécessaires dans le temps imparti.
« Ils ont réalisé qu’ils avaient laissé de l’argent sur la table », a déclaré Abrams. « Ils ont décidé qu’il n’y avait pas de sens à ne pas accepter l’argent de la rançon une semaine plus tard si la victime est toujours prête à payer pour récupérer ses fichiers. »
Une partie du problème, selon Abrams, est que peu de victimes connaissent même les Bitcoins ou MoneyPak, et encore moins comment obtenir ou utiliser ces mécanismes de paiement.
« Nous avons mis en place une enquête et demandé combien [victims] avait payé la rançon avec des Bitcoins, et presque personne n’a dit qu’ils l’avaient fait, a déclaré Abrams. « La plupart ont payé avec MoneyPak. Les personnes qui ont payé avec des Bitcoins ont déclaré avoir trouvé que le processus pour les obtenir était si lourd qu’il leur a fallu une semaine pour le comprendre.
Une autre pierre d’achoppement majeure qui empêche de nombreuses victimes autrement consentantes de payer la rançon est, ironiquement, un logiciel antivirus qui détecte CryptoLocker – mais seulement après que le logiciel malveillant a verrouillé les fichiers les plus précieux de la victime avec un cryptage pratiquement indéchiffrable.
« À l’origine, lorsqu’un logiciel antivirus nettoyait un ordinateur, il supprimait l’infection CryptoLocker, ce qui empêchait l’utilisateur de payer la rançon », a déclaré Abrams. « Les versions plus récentes modifient l’arrière-plan du bureau pour inclure une URL où l’utilisateur peut télécharger à nouveau l’infection et payer la rançon.
L’idée de réinfecter délibérément une machine en téléchargeant et en exécutant des logiciels malveillants hautement destructeurs peut être antithétique et même hérésie pour certains professionnels de la sécurité. Mais les victimes confrontées à l’anéantissement de leurs fichiers les plus précieux ont probablement une vision différente de la situation. Abrams qui a déclaré que ses tests ont montré que tant que la clé de registre « HKCUSoftwareCryptolocker_
« Certaines sociétés antivirus ont dit aux victimes de ne pas payer la rançon », a déclaré Abrams. « D’une part, je comprends, parce que vous ne voulez pas encourager ces auteurs de logiciels malveillants. Mais d’un autre côté, certaines entreprises risquent de fermer leurs portes si elles ne le font pas et ne peuvent pas se permettre d’emprunter la voie la plus sainte.
SERVICE DE DÉCRYPTAGE CRYPTOLOCKER
Le vendredi 1er novembre, les escrocs à l’origine de cette campagne de logiciels malveillants ont lancé une fonctionnalité de « service client » qu’ils promettent de lancer depuis des semaines : un service de décryptage CryptoLocker. « Ce service permet [sic] vous permet d’acheter une clé privée et un décrypteur pour les fichiers cryptés par CryptoLocker », lit-on sur le site. Les « clients » du service peuvent rechercher leur « numéro de commande » simplement en téléchargeant l’un des fichiers cryptés.
« Ils appellent cela une ‘commande’, comme si les victimes avaient posté une commande sur Amazon.com », a déclaré Abrams.
Le « Service de décryptage Cryptolocker ».
« Si vous avez déjà acheté une clé privée à l’aide de CryptoLocker, vous pouvez télécharger gratuitement la clé privée et le décrypteur », explique le service, qui est actuellement hébergé à l’une des nombreuses adresses sur le site. Réseau d’anonymat Tor. Le site du service de déchiffrement n’est pas accessible depuis l’Internet régulier ; plutôt, les victimes doivent d’abord télécharger et installer un logiciel spécial pour accéder au site – encore un autre obstacle potentiel à franchir pour les victimes.
Selon Abrams, les victimes qui sont encore dans le compte à rebours initial de 72 heures peuvent payer la rançon en crachant deux Bitcoins – ou environ 200 $ en utilisant une commande MoneyPak. Les victimes qui ne peuvent pas payer dans les 72 heures peuvent toujours récupérer leurs fichiers, mais pour ce lot malheureux, la rançon est multipliée par cinq pour atteindre 10 bitcoins, soit environ 2 232 USD au taux de change actuel. Et ces victimes n’auront plus la possibilité de payer la rançon via MoneyPak.
Abrams a déclaré que le service expose deux mensonges que les attaquants ont perpétués à propos de leur stratagème. Pour commencer, les méchants ont essayé de dissuader les victimes de faire reculer leurs horloges système pour gagner plus de temps pour rassembler l’argent et payer la rançon. Selon Abrams, cela fonctionne en fait dans de nombreux cas pour retarder le compte à rebours. Deuxièmement, le lancement du service de décryptage Cryptolocker contredit l’affirmation selon laquelle les clés privées nécessaires pour déverrouiller les fichiers cryptés par CryptoLocker sont définitivement supprimées des serveurs de l’attaquant après 72 heures.
DÉTECTER ET PRÉVENIR LE CRYPTOLOCKER
L’histoire de la semaine dernière indiquait deux outils qui peuvent aider à bloquer les infections CryptoLocker. Les utilisateurs individuels de Windows doivent vérifier CryptoPreventun petit utilitaire de Jean-Nicolas ShawPDG et développeur de Informatique stupideun cabinet de conseil en informatique basé à Outer Banks, Caroline du Nord Les administrateurs de petites entreprises peuvent se prévaloir d’un outil gratuit de la société de conseil aux entreprises thirdtier.net, qui a récemment publié son kit de prévention CryptoLocker. Ce ensemble complet de stratégies de groupe peut être utilisé pour bloquer les infections CryptoLocker sur un domaine.
Une recherche sur le service de décryptage Cryptolocker donne une correspondance.
Comme l’illustre cette arnaque, il est téméraire de se fier uniquement à un logiciel antivirus pour vous protéger des attaques. En outre, il est d’une importance vitale non seulement d’avoir un plan de sauvegarde en cas de sinistre ou de logiciel malveillant, mais également en cas d’attaques malveillantes comme celle-ci. Par exemple, sauvegarder vos fichiers sur un lecteur amovible ou réseau est une excellente idée, mais une couche supplémentaire de protection contre les attaques comme celle-ci consiste peut-être à déconnecter ces lecteurs lorsque vous ne sauvegardez pas vos données.
De plus, j’espère qu’il est clair que des outils comme CryptoPrevent et un antivirus ne remplacent pas le bon sens. Des menaces comme celles-ci sont opportunistes, et comme pour de nombreuses menaces modernes, votre meilleure protection contre elles est d’utiliser l’intelligence de base en ligne : la règle n°1 de l’intelligence de rue est de ne pas ouvrir allègrement les pièces jointes dans les e-mails auxquels vous ne vous attendiez pas, même si elles semblent venir de quelqu’un que vous connaissez.
Pour d’autres conseils sur la sécurité de vos données et de votre ordinateur, consultez mon tutoriel – Outils pour un PC plus sûr. Alors que bon nombre de ces attaques CryptoLocker ont été perpétrées via des pièces jointes malveillantes intelligemment déguisées, il semble que ce logiciel malveillant soit diffusé via des réseaux de PC qui ont déjà été piratés par d’autres méthodes. Abrams a déclaré que de nombreuses attaques récentes de CryptoLocker ont en fait commencé par des infections du cheval de Troie bancaire ZeuS ou Zbot, qui est ensuite utilisé pour télécharger et installer CryptoLocker.
« Si vous êtes vraiment chanceux, votre système peut également obtenir [the spam bot] Cutwail installé là-bas également et commencez à spammer », a déclaré Abrams.
Pour plus d’informations sur cette menace, voir Guide d’information et FAQ sur le rançongiciel CryptoLocker de BleepingComputer.com.