Comment fonctionnent ces virus ?

Les Ransomware (ou Cryptovirus) représentent une menace croissante et polymorphe avec une famille de virus de type Crypto de plus en plus grande au titre de laquelle on peut citer VaultCrypt, TeslaCrypt, CTB-Locker, CryptoWall, KEYHolder, ou encore CryptoLocker.

Le point commun de cette famille de virus : ils cryptent les données, généralement les fichiers de type bureautique (Microsoft Office ou Libre Office) ainsi que les fichiers de type « image » (.jpeg et assimilés) des utilisateurs de telle manière qu’elles ne peuvent être déchiffrées sans une clé « privée » (AES / RSA jusqu’à 2048 bits).

Les cybercriminels exigent habituellement une « rançon » en échange de cette clé, généralement sous la forme de Bitcoins mais également sous la forme de virement bancaire à destination de comptes offshore.

L’expérience a malheureusement démontré que le paiement des rançons est aussi inutile qu’inefficace dans la résolution du problème : les clés privées ne sont jamais communiquées. D’autre part, cette possibilité de déchiffrement via des clés privées ne concerne que les premières générations de cryptovirus ; les versions actuelles utilisent des schémas cryptographiques orthodoxes rendant le déchiffrement impossible.

Les vecteurs d’infections possibles

• Mails (Fishing) – le cas le plus fréquent !
• Supports amovibles
• Définition des outils et des méthodes de déploiement et de migration
• Sites Web
• Sessions Terminal

Dans le cas le plus courant, l’utilisateur reçoit un message (généralement relatif à un paiement, une facture, une livraison de commande…) avec une pièce jointe présentant faussement l’aspect d’un fichier PDF ou d’un fichier ZIP (les premières générations de cryptovirus) mais également d’une url redirigeant vers un site contenant les dernières formes de cryptovirus.
Les mécanismes de contamination sont de plus en plus sophistiqués, souvent réalisés en plusieurs phases pour retarder la possibilité d’une détection.

Ces messages sont de plus en plus élaborés et prennent une forme « crédible » capable de passer une première lecture rapide.

Conduites à tenir : Solutions préventives

Tous les éditeurs de solutions de sécurité travaillent sur cette question majeure que constitue la lutte contre les cryptovirus mais comme à chaque fois dans cette lutte technologique, il n’y a pas de solution miracle ou absolue.
Certaines approches de prétraitement des flux de messagerie via des moteurs d’analyse comportementale et des mécanismes de « bac-à-sable » tentant de provoquer les mécanismes d’attaque pour mieux les isoler commencent à voir le jour.
Dans tous les cas, la meilleure défense/protection reste la prudence et le bon sens :

• Sensibilisez vos salariés au risque de hameçonnage.
• N’ouvrez jamais un lien dont vous ignorez l’origine, d’autant plus s’il contient une pièce jointe ou un lien vers un site.
• Vous n’avez pas d’activité avec les fournisseurs/clients basés à l’étranger : un message dans une autre langue que le français doit vous alerter.
• Vous n’avez pas de compte bancaire dans la banque A : un message en provenance de cette banque doit vous alerter.
• Vous recevez une réclamation sur une facture avec comme référence un numéro de facture qui ne correspond pas à ce que nous utilisez : cela doit vous alerter.

Autant d’exemples simples qui évitent de se retrouver dans une situation critique.

• Maîtrisez vos politiques de sauvegarde des données aussi bien sur les espaces de partage comme les serveurs de fichiers que sur les postes. Une sauvegarde efficace et contrôlée est bien souvent la seule solution pour retrouver vos données suite à une contamination. Appliquez tous les patchs de sécurité critiques et importants ou utilisez une solution de patch Management, car demain les attaques pourraient se faire via des failles applicatives.
• Protégez tous vos appareils : ordinateurs Windows et Mac, machines virtuelles et les appareils mobiles Android
• Bannissez XP et les applications tierces non supportées.
• Votre antivirus et sa base de signature doivent être à jour, avec toutes les fonctionnalités de sécurité activées.