Cryptolocker : une prise d’otages en 2.0 en forte recrudescence
8 février 2015 16:21 0 messages
Article trouvé sur le site du ministère de l’intérieur qui explique l’action d’un logiciel malveillant que nous rencontrons actuellement très régulièrement.
Cryptolocker : une prise d’otages en 2.0
Qu’est-ce que le Cryptolocker ?
Le CryptoLocker est un logiciel malveillant dit « rançongiciel » (ransomware) qui se propage par courrier électronique à l’ouverture d’une pièce jointe, d’un fichier zippé. En très peu de temps des dizaines de milliers de données sont « prises en otages et rançonnées ».
Plusieurs mairies en France se sont vues crypter leurs dossiers en une fraction de seconde, au Royaume-Uni les ordinateurs d’universités et d’étudiants ont ainsi été complètement cryptés.
A l’ouverture d’une pièce jointe, certains documents des disques internes ou accessibles par le réseau sont transformés en chiffres. Les pirates proposent de rendre les données après le paiement d’une rançon dans un délai imparti, au-delà duquel les documents sont définitivement perdus (généralement 72 heures).
Comment fonctionne le CryptoLocker ?
C’est un code malveillant classique qui se copie dans le dossier temporaire au moment du lancement.
La persistance du code est assurée par l’ajout de deux clés de registre dans le profil de l’utilisateur courant.
Une fois la persistance établie sur la machine de la victime, le rançongiciel va utiliser son algorithme de génération de noms de domaine (détaillé dans la section suivante) pour identifier le ou les serveurs de contrôle et de commande avec lesquels il va pouvoir communiquer. Lorsque le serveur a été identifié, CryptoLocker demande au serveur de contrôler et de commander la génération d’un couple de clés RSA 2048 bits.
L’une d’elle est stockée sur le serveur, l’autre est envoyée au logiciel malveillant pour chiffrer les données jugées importantes ( fiches de paies, analyses techniques, délibérations, images, jeux, musiques, cours, etc. )
A l’issue, une fenêtre s’affiche pour indiquer à la victime la marche à suivre pour payer la rançon.
Cette fenêtre utilise parfois les identifiants graphiques de l’État (police ou gendarmerie nationales).
La clé de déchiffrement ne peut être reçue qu’après paiement.
Les montants de la rançon oscillent entre 100 et 500 dollars. La rançon peut dans certains cas être acquittée en bitcoins.
Comment éviter d’être rançonné ?
Vérifiez l’émetteur des courriers reçus avant de les ouvrir.
Soyez vigilants lors de l’ouverture des pièces jointes de vos courriels, tout particulièrement si ces dernières sont compressées (zippées) et si elles contiennent des fichiers exécutables.
Dotez-vous d’un anti-virus avec une licence à jour. Vérifiez que sa base anti-virale s’actualise quotidiennement.
Faites des sauvegardes régulières de vos documents sensibles.
Plus d’informations sur http://stopransomware.fr/
Dans la même rubrique
1er février 2022 – EBP votre logiciel de gestion en ligne ou en local
30 mai 2018 – Point de vente d’EBP au Camping du Marlice
23 mai 2018 – CLYO la Caisse enregistreuse pour les Bars et les Restaurants
28 juillet 2016 – Obligation d’utiliser des logiciels de caisse certifiés à partir de 2018
22 octobre 2015 – La migration de Windows Server 2003 à 2012, pas à pas