Les rançongiciels sont une catégorie particulière de logiciels malveillants qui bloquent l’ordinateur des victimes et réclament le paiement d’une rançon. Il ne faut jamais payer la rançon réclamée. Le site stopransomware.fr regroupe un ensemble d’informations pour sensibiliser les usagers et aider les victimes à se protéger contre ces risques, voire à nettoyer leurs ordinateurs lorsqu’un tel virus les a touchés.
Quelques idées importantes à retenir:
- La Gendarmerie nationale, la Police nationale ou même encore l’ANSSI et la SACEM n’ont pas le droit de bloquer votre ordinateur à distance. Ils ne vous réclameront jamais le paiement d’une amende en bloquant votre ordinateur.
- Aucune autorité officielle ne demande le règlement d’une amende par un moyen de paiement tel que paysafecard, Ukash, MoneyPak, WesternUnion etc.
- Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu.
Il existe différents types de rançongiciels, dont voici une présentation rapide.
Les rançongiciels policiers
Depuis le milieu de l’année 2011, leurs auteurs utilisent les logos de services d’enquête pour réclamer le paiement d’une amende. D’autres encore se font passer pour des solutions de sécurité.
Il existe deux formes, soit la version qui bloque entièrement l’ordinateur.
Soit la variante qui bloque simplement le navigateur WEB, ce dernier se nomme « Browlock » (plus d’informations voir le Blog Malekal).
Si vous voulez en savoir plus sur les variétés des rançongiciels policiers, vous pouvez consulter la rubrique correspondante du Wiki botnets.fr ou encore visualiser les copies d’écrans des rançongiciels connus s’attaquant à des internautes français.
Les chiffreurs (Crypto-Ransomware)
Un autre type de rançongiciels agit en chiffrant les documents de l’utilisateur: l’accès aux documents est impossible tant que vous n’avez pas la clef de déchiffrement. Ces variantes réclament une somme d’argent en échange de cette clef. Cela se fait en général via un fichier texte laissé sur le bureau.
Ces rançongiciels chiffreurs de fichiers se nomment Crypto-Ransomware et sont détectés en Trojan.Ransom, Trojan/FileCoder ou Ransom.FileLocker par les antivirus.
En 2014 et 2015, CTB-Locker, TeslaCrypt et Cryptowall ont été les trois crypto ransomwares les plus répandus.
CTB-Locker change le fond d’écran en affichant un message stipulant que vos dossiers ont été chiffrés.
Malheureusement, une fois les fichiers chiffrés, il n’existe aucun moyen de les récupérer.
Fin 2015, une campagne du crypto-Ransomware TeslaCrypt a été très importante.
La campagne a débuté par des mails malicieux Fin Décembe, puis via des Web Exploit en Janvier 2016.
La vidéo suivante vous montre le chiffrement des documents par le Crypto-Ransomware TeslaCrypt :
D’autres variantes comme celle-ci qui utilise des popups (voir sur le blog Malekal).
2016 est véritablement l’année des crypto-Ransomware avec de nouvelles variantes chaque semaine.
Certaines ne visent pas la France et sont actifs qu’aux USA. Les pays anglosaxons étant les plus visés, le marché y est plus grand.
Voici les ransomwares plus actifs en France.
Mi-Février 2016, un nouveau rançongiciel est apparu Locky Ransomware, ce dernier est distribué par des emails malicieux avec une pièce jointe Word Invoice, exactement comme le Trojan Dridex.
et le Ransomware Cerber est aussi assez actif en France, notamment par des WebExploit.
Mars/Avril/Mai 2016 : Nouveau Ransomware CryptXXX provenant de la Team Reveton (un virus gendarmerie très répandu courant 2012/2013. Ce dernier chiffre les documents avec une extension .crypt — CryptXXX en vidéo :
mais aussi Petya Ransomware, moins actif, un Ransomware MBR qui chiffre les partitions du disque dur.
Petya Ransomware en vidéo :
Bloqueurs par publicité
Une variante plus récente des rançongiciels consiste à bloquer l’ordinateur et invite la victime à cliquer sur des publicités. L’auteur du virus touche bien entendu des revenus à chaque clic. Exemple avec cette variante: