Locky et autres ransomware

Locky RansomwareL’Europe découvre (ou re-découvre) ce mois ci d’un nouveau type de virus : Les ransomware ou rançongiciel.
Ces virus sont les pires n’ayant jamais existé, et sont votre pire cauchemar.

Ils s’installent discrètement sur votre ordinateur, cryptent toutes vos données, et une fois terminé, ils s’affichent fièrement et vous demandent de payer une rançon ou d’acquérir contre pécule un logiciel spécial.
Ils ne s’arrêtent pas là, ils vont aller partout où ils peuvent aller, incluant également votre réseau, et ses dossiers partagés, accessibles à l’utilisateur contaminé.

Si vous attrapez ce virus, c’est le chant du cygne.
Perte irrémédiable de toutes vos données.

Le plus connu du moment se dénomme ‘Locky‘, un si joli petit nom.


Voir l’alerte du ministère de l’intérieur : http://www.interieur.gouv.fr/Actualites/L-actu-du-Ministere/Un-nouveau-rancongiciel-nomme-locky-arrive-en-France

Comment l’attrape t-on ?

Plusieurs moyens, allant du fichier exécutable .EXE ou de l’archive .ZIP sur des plateformes de téléchargement, mais surtout surtout via des pièces jointes reçues par email.
C’est contre ce second cas, que je tiens à vous alerter aujourd’hui.
Vous avez certainement reçu dans vos Spams, et même dans votre boite de réception, des mails souvent en anglais, avec très peu de texte, se faisant passer pour un fichier scanné ou autres.
Il y a également eu une salve soit disant émanant de Free. (Si vous avez Free, il est donc très tentant d’ouvrir la pièce jointe)
Ou pire, émanant de l’email d’un ami, d’un libellé type Administrator ou sur votre nom de domaine, j’ai par exemple reçu des mails venant de « monprenom@mondomaine.com ».
Ces mails ont souvent très peu de contenu, voir par exemple, juste une signature du type « Envoyé de mon Samsung Galaxy S7 », qui pourrait laisser à penser qu’un ami a envoyé un document.
L’objet du mail est divers, ca peut être « Document », « Document32 », « PDF part 1″…etc…
La pièce jointe est généralement un .ZIP. Vous cliquez dessus, c’est trop tard.
Cela peut également être un Word .DOC, qui quand vous l’ouvrez, va demander à activer les macros (si par chance vous ne l’aviez pas activer par défaut). Si vous activez les macros, ou qu’elles le sont déjà, c’est trop tard.

Comment se prémunir ?

A la base il y a l’antivirus. Mais même un antivirus peut passer outre.
Mais le problème dans 90% des cas se situe entre l’écran et la chaise : l’humain.
Plus les semaines/mois vont passer, plus ce type d’arnaques devrait se généraliser, et « s’améliorer ». Vous recevrez des mails qui vous sembleront beaucoup plus personnels dans le futur, et vous serez encore plus tentés de les ouvrir.
Jusqu’à ce que se démocratise des moyens d’identifications sur les emails. (Les certificats emails existent depuis des années, mais ne se démocratisent pas, c’est pourtant un moyen unique pour certifié l’identité de l’envoyeur tout en certifiant que le contenu du mail n’a pas été modifié. )
Il faut donc faire preuve de grande vigilance. De façon générale, on évite d’office tous les fichiers joints du type ZIP, EXE, JS, HTML et autres.
On peut généralement faire confiance aux fichiers images du type JPG, PNG, GIF et PDF. (Attention, un fichier pourrait s’appeler monimage.jpg.zip, dans ce cas cela reste un ZIP)
Mais surtout et toujours, se poser la question : le contenu du mail semble t-il avoir été rédigé par un ami ? Si non, ce mail me semble t-il probable ?
Dans le doute, demandez à la personne si il vous a envoyé ce mail. Et non pas dans le doute, j’ouvre pour voir ce qu’il se passe.
Pour les énervés du mail ouvert en temps record, prenez votre temps avant d’ouvrir des pièces jointes reçues, surtout si vous ne les attendiez pas.
Je rappelle également le point suivant, pour les tentatives de Phishing : Si le mail vous invite à cliquer sur un lien, sachez que tous les organismes sensibles (Banques, Impôts etc…) n’envoient jamais, ou quasiment jamais de liens. Ils vous invitent toujours à aller sur leur site par vous même.
C’est d’ailleurs, si on vous demande quelque chose par email, sans que vous ne l’ayez déclenché, la meilleur approche. On ne clique pas sur le lien, on va voir sur le site en question par soit même.
(Passez toujours votre souris sur les liens proposez, et regardez si le domaine semble correct. Ex: www.edf.sitevirus.com n’est pas bon, contrairement à www.sitevirus.edf.com)
Soyez extrêmement vigilants, ces mails arrivent par dizaines, et certains passent les anti-spams les plus puissants.
En 1 clic, vous pouvez déclencher de gros dégâts.

Aie, trop tard ?

Si vous voyez vos fichiers par exemple « montravail.doc » se transformer en « XNVJJKZEOREKALEARJKKRJZZ.LOCKY » ou quelque chose de ce type, c’est que vous êtes infecté, et que le virus est entrain de tout crypter.
Si vous avez ouvert une pièce jointe, et que vous avez un doute, le débrancher du réseau immédiatement et éteindre de suite l’ordinateur. Puis faire appel à un professionnel.
A ce jour, le virus ne semble pas être résiduel. Cela signifie qu’il ne semble pas s’installer. Il crypte, affiche sa demande de rançon et termine sa mission. Donc généralement, le simple fait d’éteindre l’ordinateur, le redémarrer en mode sans échec avec petit nettoyage devrait faire qu’il ne revienne pas. Dans ce cas vous auriez simplement perdu les fichiers qu’il aura eu le temps de crypter. Mais il faut s’assurer avec un professionnel, qu’il ne s’est pas installé, ou qu’il n’a pas installé de Cheval de Troie permettant de rentrer plus tard discrètement sur votre ordinateur. Il ne semble actuellement pas récupérer les données cryptées (ou avant cryptage) non plus, mais cela peut changer, et reste à confirmer.

  • Il ne sert à rien de payer la rançon, vous n’aurez jamais la clé de décryptage.
  • Il ne sert à rien d’acheter le logiciel demandé.

Au contraire, le fait de cliquer sur les liens proposés dans la demande de rançon risque d’aggraver votre cas.
Pour être serein, il faudrait réinstaller tout le système de 0.
La seule et unique chance de retrouver vos données cryptées, est de garder de coté 5, 10, 20 ou 50 ans ces données, en espérant que les puissances de calcul des ordinateurs décuplent de façon exponentielle et puissent casser ce cryptage. A ce jour, il faudrait des centaines d’années pour décrypter les données chiffrées par LOCKY.

La solution I.N.D.I.S.P.E.N.S.A.B.L.E

Des sauvegardes très régulières, tous les jours, toutes les semaines.
Et sur plusieurs supports, et plusieurs endroits.
Les données prenant une place de plus en plus importante au travail et à la maison, il faut désormais y accorder le budget par rapport à l’importance de vos données.
Une simple sauvegarde sur votre réseau n’est pas suffisante, car comme nous l’avons vu, LOCKY va sur le réseau. Et en cas de feu, vol, inondation, vous perdez tout.
Il faut se protéger des virus, des vols, inondations, feu mais aussi de l’erreur humaine, la suppression par erreur par exemple. Revenir à une version antérieure.

Pour dormir tranquille, et être sûr de ne pas perdre des heures de travail, ou des photos de famille, voici la solution minimale selon moi : 1  sauvegarde locale + 1 sauvegarde distante

Par exemple :

  • 1 sauvegarde en ligne. (Sauvegarde continue avec Versionning des fichiers permettant de revenir à une version antérieure) Préférez des prestataires permettant de définir une clé de cryptage personnelle, ainsi, aucun tiers ou institutions n’aura accès à vos données (sauf si cette société a laissé une possibilité dans son code, ce qui est probable, ainsi, vous aurez crypté en amont les données que vous estimez plus sensibles) Avec cette solution chez un Tiers, vous ne vous chargez de rien, mais cela reste un tiers, et ce n’est pas suffisant. ATTENTION aux solutions en ligne, ne proposant pas de versionnage, et qui sont de simples Cloud synchronisant vos dossiers. Si Locky crypte vos données, il va également crypter votre système Cloud.
  • 1 sauvegarde locale ou en réseau réalisée avec un autre nom d’utilisateur unique et qui n’est utilisé par personne, dont il est le seul à avoir les droits d’écriture. On peut également utiliser des supports type bandes, disques durs portables, ainsi, les données sont isolées.

Je vous invite à multiplier les sauvegardes autant que possible.
Pour les données figées et classées (Photos de famille par exemple), ces données ne seront plus modifiées, je vous invite à remplir un disque dur dédié pour toujours (En informatique toujours vaut en général pour 5 ans, 10ans tout au plus) et le stocker autre part, sans plus jamais y accéder. Ainsi, pas (ou peu) de risque de le casser, d’effacer des dossiers par erreur, et vous aurez ce support figé, qui si il n’est pas placé dans des champs magnétique, devrait facilement pouvoir tenir une dizaine d’années.

TOUT CE MAIL N’EST PAS UN HOAX, NI UNE BLAGUE.

En savoir plus

Une réflexion au sujet de « Locky et autres ransomware »

  1. Adeal

    Merci pour cet article très bien détaillé. Maintenant, tout le monde est au courant de ce qu’est locky. Par la même occasion, tous les utilisateurs savent comment s’en protéger.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *