Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Ransomwares : pour le FBI, il est parfois nécessaire de payer

Merci pour le tuyau
Internet 3 min
Ransomwares : pour le FBI, il est parfois nécessaire de payer
Crédits : nevarpp/iStock/Thinkstock

Lors d’une conférence sur la sécurité qui s’est tenue la semaine dernière, le FBI a clairement indiqué être relativement impuissant face aux ransomwares, ces logiciels qui chiffrent les données de l’utilisateur avant de lui réclamer une rançon.

Les ransomwares sont devenus une menace « banale » pour les utilisateurs. Il s’agit de petits logiciels que le pirate amène à exécuter par des moyens détournés. Le moyen le plus commode reste une pièce jointe infectée dans un email, et on ne répètera jamais assez qu’il est nécessaire de contrôler la provenance d’un courrier avant d’en ouvrir les fichiers contenus. Notez que l’exécution peut également se faire grâce à l’exploitation d’une faille 0-day, et donc pour laquelle il n’existe pas de correctif durant les premiers temps.

Des attaques qui se répandent

Une fois que le logiciel est lancé, son objectif devient très simple. Dans un premier temps, il chiffre l’ensemble des données importantes. L’utilisateur n’y a donc plus accès. Les données stockées dans le cloud sont épargnées si aucun client de synchronisation n’est installé, sinon les changements sont répercutés également sur les serveurs. Après tout, pour un OneDrive ou un Dropbox, il s’agit simplement de modifications. Dans un deuxième temps, l’utilisateur est invité à payer pour retrouver ses données. Un compte à rebours peut d’ailleurs être présent.

Dans un document datant de juin, le FBI abordait la situation. Son Internet Crime Complaint Center (IC3) confirmait que la tendance était à l’augmentation du nombre de cas et que les victimes se multipliaient. CryptoWall et ses variantes étaient particulièrement impliqués et le centre précisant qu’en un an (entre juin 2014 et 2015), 992 plaintes liées à ce seul ransomware avaient été enregistrées, générant un profit de 18 millions de dollars pour les pirates, soit en moyenne 18 000 dollars par victime.

« Nous conseillons souvent aux gens de payer simplement la rançon »

Le conseil donné était alors de contacter l’antenne locale du FBI. Plusieurs mois plus tard, il n’a pas changé, mais il s’accompagne d’un constat assez défaitiste. Joseph Bonavolonta, en charge de cette lutte dans les bureaux de Boston, participait la semaine dernière au Cyber Security Summit 2015. Il confirmait que ces malwares particuliers étaient redoutables et que les études menées n’avaient pas mené à des résultats probants : « Le ransomware est bon à ce point. Pour être honnêtes, nous conseillons souvent aux gens de payer simplement la rançon ».

Un conseil étonnant, et qui s’oppose clairement à la recommandation en France de l’initiative StopRansomware, soutenue par la Gendarmerie nationale : « Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu ». Mais le FBI n’a pas tout à fait la même analyse. D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données.

Car le conseil le plus important est finalement le même que celui donné en France par le ministère de l’Intérieur : sauvegarder ses données. Bonavolonta explique ainsi qu’une entreprise réalisant régulièrement des sauvegardes n’a aucun besoin de payer une rançon : il suffit de restaurer les données depuis le dernier bon état connu. Un antivirus est également essentiel, ne serait-ce que pour scanner ladite sauvegarde et donc ne pas réinstaller le logiciel malveillant.

92 commentaires
Avatar de Haemy INpactien
Avatar de HaemyHaemy- 28/10/15 à 16:10:06

Excellent conseil, comme ca ils ont juste à recrypter les  fichiers au bout d'un certains temps et redemander une rançon ensuite.

Avatar de knos Abonné
Avatar de knosknos- 28/10/15 à 16:11:49

"D’une part, les pirates libèrent les données captives dans la plupart des cas. D’autre part, l’augmentation du nombre de victimes fait baisser de manière visible la somme moyenne demandée. Au final, l’utilisateur doit faire un choix basé sur l’importance de ses données."

Si l'on est plein a ce faire voler on aura un prix de gros...

Avatar de SFX-ZeuS INpactien
Avatar de SFX-ZeuSSFX-ZeuS- 28/10/15 à 16:16:58

J'ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l'entête d'un type de document pour éviter de se faire repérer par un antivirus?
Car détecter qu'un fichier word/excel/jpeg vient d'être modifié et que son entête n'as plus rien à voir avec une entête valide ce n'est pas compliqué à faire.

Édité par SFX-ZeuS le 28/10/2015 à 16:17
Avatar de KP2 Abonné
Avatar de KP2KP2- 28/10/15 à 16:20:16

Haemy a écrit :

Excellent conseil, comme ca ils ont juste à recrypter les  fichiers au bout d'un certains temps et redemander une rançon ensuite.

Une restau dans ce genre de contexte doit evidemment impliquer une reinstall complete sinon ca n'a pas de sens...

Avatar de KP2 Abonné
Avatar de KP2KP2- 28/10/15 à 16:21:02

SFX-ZeuS a écrit :

J'ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l'entête d'un type de document pour éviter de se faire repérer par un antivirus?
Car détecter qu'un fichier word/excel/jpeg vient d'être modifié et que son entête n'as plus rien à voir avec une entête valide ce n'est pas compliqué à faire.

Ben ouais mais comment l'antivirus peut il faire la difference entre un ransomware et un programme de chiffrement légitime ?

Avatar de Cr30s Abonné
Avatar de Cr30sCr30s- 28/10/15 à 16:22:42

SFX-ZeuS a écrit :

J'ai jamais regardé mais ce genre de virus encrypte tout le fichier ou essaye de laisser l'entête d'un type de document pour éviter de se faire repérer par un antivirus?
Car détecter qu'un fichier word/excel/jpeg vient d'être modifié et que son entête n'as plus rien à voir avec une entête valide ce n'est pas compliqué à faire.

Il encrypte le fichier dans sa totalité en RSA.
L'antivirus ne détecte pas les fichiers encryptés comme étant des menaces donc pas besoin de se compliquer la vie à garder l'entête d'origine.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 28/10/15 à 16:23:30

KP2 a écrit :

Ben ouais mais comment l'antivirus peut il faire la difference entre un ransomware et un programme de chiffrement légitime ?

C'est facile : le chiffrement n'est jamais légitime! Le chiffrement sert uniquement aux gens pour se mettre hors de porté de la loi ^^

Avatar de Dr.Wily INpactien
Avatar de Dr.WilyDr.Wily- 28/10/15 à 16:23:51

Yep j'ai un amis qui a été confronté à ça. Toute ses recherches y sont passées (médecine). Bon il a ça dans la tête, mais ce sont des milliers d'heures de travail foutues en l'air.

En cherchant pour lui, sans pour autant trouver de solution, je suis tombé sur des "devkit" de serveur de ransomware. Sur TOR on trouve ce genre de site qui propose de payer une licence pour un serveur de ransomware clefs en main.

Par contre pour décrypter c'est aléatoire. SI le ransomware utilise un ancien algo ça peut passer, mais si il est récent c’est mort pour plusieurs années. Le mieux est de "cryogéniser" ses données pour qu'elles soient décryptable dans le futur :D (ce qui sera surement très probable).

Avatar de SFX-ZeuS INpactien
Avatar de SFX-ZeuSSFX-ZeuS- 28/10/15 à 16:26:22

En te le demandant simplement ;)

Avatar de nigol INpactien
Avatar de nigolnigol- 28/10/15 à 16:27:01

Ransomwares : pour le FBI, il est parfois nécessaire de payer

Et en plus ça permettra de financer les contras en Amérique Centrale le développement des pays ou habitent les gentils rançonneurs. :chinois:

Édité par nigol le 28/10/2015 à 16:29
Il n'est plus possible de commenter cette actualité.
Page 1 / 10