Cryptolocker : une prise d'otages en 2.0

Exemple de cryptolocker
2 février 2015

Qu'est-ce que le Cryptolocker ?

Le CryptoLocker est un logiciel malveillant  dit « rançongiciel » (ransomware)  qui se propage par courrier électronique à l'ouverture d'une pièce jointe, d'un fichier zippé. En très peu de temps des dizaines de milliers de données sont « prises en otages et rançonnées ».


Plusieurs mairies en France se sont vues crypter leurs dossiers en une fraction de seconde, au Royaume-Uni les ordinateurs d'universités et d'étudiants ont ainsi été complètement cryptés.

A l'ouverture d'une pièce jointe, certains documents des disques internes ou accessibles par le réseau sont transformés en chiffres. Les pirates proposent de rendre les données après le paiement d'une rançon dans un délai imparti, au-delà duquel les documents sont définitivement perdus (généralement 72 heures).

Comment fonctionne le CryptoLocker ?

C'est un code malveillant classique qui se copie dans le dossier temporaire au moment du lancement.

La persistance du code est assurée par l'ajout de deux clés de registre dans le profil de l'utilisateur courant.

Une fois la persistance établie sur la machine de la victime, le rançongiciel va utiliser son algorithme de génération de noms de domaine (détaillé dans la section suivante) pour identifier le ou les serveurs de contrôle et de commande avec lesquels il va pouvoir communiquer. Lorsque le serveur a été identifié, CryptoLocker demande au serveur de contrôler et de commander la génération d'un couple de clés RSA 2048 bits.

L'une d'elle est stockée sur le serveur, l'autre est envoyée au logiciel malveillant pour chiffrer les données jugées importantes ( fiches de paies, analyses techniques, délibérations, images, jeux, musiques, cours, etc. )

A l'issue, une fenêtre s'affiche pour indiquer à la victime la marche à suivre pour payer la rançon.

Cette fenêtre utilise parfois les identifiants graphiques de l’État (police ou gendarmerie nationales).

exemple de cryptolocker

La clé de déchiffrement ne peut être reçue qu'après paiement.

Les montants de la rançon  oscillent entre 100 et 500 dollars. La rançon peut dans certains cas être acquittée en bitcoins.

Comment éviter d'être rançonné ?

  • Vérifiez l'émetteur des courriers reçus avant de les ouvrir.
  • Soyez vigilants lors de l'ouverture des pièces jointes de vos courriels, tout particulièrement si ces dernières sont compressées (zippées) et si elles contiennent des fichiers exécutables.
  • Dotez-vous d'un anti-virus avec une licence à jour. Vérifiez que sa base anti-virale s'actualise quotidiennement.
  • Faites des sauvegardes régulières de vos documents sensibles.

Plus d'informations sur  http://stopransomware.fr/


Partagez :

Partager et favoriser