Une société de sécurité révèle la présence d’un nouveau ransomware assez particulier. Nommé EduCrypt, il en a toutes les caractéristiques, mais ne demande pas de rançon. Il fournit la précieuse clé qui permet de récupérer les données, et donne au passage une importante leçon de sécurité.
Un ransomware est une forme de malware particulièrement active depuis quelques années. Le logiciel va chiffrer le contenu du disque dur, de manière plus ou moins complète, en s’attaquant en priorité aux fichiers TXT, DOC, MP3 ou encore PDF et Zip. En d’autres termes, tout ce qui peut constituer une donnée personnelle.
Satanées petites bestioles
Le ransomware, qui peut parfois neutraliser les défenses du système – particulièrement quand l’antivirus n’est pas réactif – et kidnappe en fait ces informations. Il exige une rançon, souvent payable en bitcoins pour éviter la traçabilité. Dans la plupart des cas, le paiement de cette rançon permet de récupérer les données. Ce qui faisait dire au FBI qu’il valait finalement mieux mettre la main au portefeuille. Mais le résultat n’est jamais garanti et, en France, la gendarmerie conseille plutôt de ne jamais payer.
Mais Jakub Kroustek, de chez AVG, a découvert un nouveau venu un peu particulier. Basé sur le code de Tear Down, un autre ransomware, il s’attaque à de très nombreuses extensions de fichiers, notamment celles d’Office, tous les principaux formats multimédias, de bases de données, ou de fichiers contacts. Les exécutables sont également chiffrés dans la foulée. Tous les fichiers passés à la moulinette prennent l’extension .isis.
L'éducation par l'exemple
Mais EduCrypt – c’est son nom – se différencie sur un point capital : non seulement il ne demande pas de rançon, mais il fournit en plus clé de déchiffrement. Elle est statique : HDJ7D-HF54D-8DN7D. À la fin du processus, il crée en fait sur le bureau un fichier README.txt donnant un précieux conseil à l’utilisateur : ne pas télécharger n’importe quoi. Un lien est donné pour récupérer l’exécutable qui déchiffrera le contenu du disque dur. Un fichier Decrypt.txt est censé être caché quelque part avec la clé, mais il se trouve tout bêtement dans le dossier Documents.
Bleeping Computer, qui rapporte la trouvaille et décrit le fonctionnement du ransomware (que l’on pourrait tout autant appeler un « eduware », propose cependant un lien plus sûr vers le programme de déchiffrement. Il s’agit en fait de celui de Tear Down, déjà vérifié par l’entreprise. EduCrypt reprenant le code de ce dernier, il peut donc être utilisé sans risque.
Évidemment, le conseil vient au prix d’une perte de temps pour l’utilisateur. Il peut paniquer et ne pas savoir quoi faire. Il peut également ne pas parler un mot d’anglais. Mais, dans le fond, ce « malware » semble sans danger pour celui qui connait un peu l'informatique. Quitte à tomber sur un ransomware, autant effectivement avoir celui-ci. Mais idéalement, les utilisateurs ont un antivirus à jour et font attention à ce qu’ils téléchargent. Les principes basiques de protection n’ont finalement jamais changé.
