Les rançongiciels

640px-Flag_of_English_Language.svg English version

printable-world-map

Similar initiatives in other countries – Dans d’autres pays

Les rançongiciels sont une catégorie particulière de logiciels malveillants qui bloquent l’ordinateur des victimes et réclament le paiement d’une rançon. Il ne faut jamais payer la rançon réclamée. Le site stopransomware.fr regroupe un ensemble d’informations pour sensibiliser les usagers et aider les victimes à se protéger contre ces risques, voire à nettoyer leurs ordinateurs lorsqu’un tel virus les a touchés.

Quelques idées importantes à retenir:

  • La Gendarmerie nationale, la Police nationale ou même encore l’ANSSI et la SACEM n’ont pas le droit de bloquer votre ordinateur à distance. Ils ne vous réclameront jamais le paiement d’une amende en bloquant votre ordinateur.
  • Aucune autorité officielle ne demande le règlement d’une amende par un moyen de paiement tel que paysafecardUkash, MoneyPak, WesternUnion etc.
  • Si vous êtes victime d’un rançongiciel, la seule solution est de nettoyer son ordinateur. En outre, il est fort probable que d’autres virus informatiques, plus discrets aient été installés à votre insu.

Il existe différents types de rançongiciels, dont voici une présentation rapide.

Les rançongiciels policiers

Depuis le milieu de l’année 2011, leurs auteurs utilisent les logos de services d’enquête pour réclamer le paiement d’une amende. D’autres encore se font passer pour des solutions de sécurité.

Il existe deux formes, soit la version qui bloque entièrement l’ordinateur.
Soit la variante qui bloque simplement le navigateur WEB, ce dernier se nomme « Browlock » (plus d’informations voir le Blog Malekal).

Casier_FR_(09-2012)

Si vous voulez en savoir plus sur les variétés des rançongiciels policiers, vous pouvez consulter la rubrique correspondante du Wiki botnets.fr ou encore visualiser les copies d’écrans des rançongiciels connus s’attaquant à des internautes français.

Les chiffreurs (Crypto-Ransomware)

Un autre type de rançongiciels agit en chiffrant les documents de l’utilisateur: l’accès aux documents est impossible tant que vous n’avez pas la clef de déchiffrement. Ces variantes réclament une somme d’argent en échange de cette  clef. Cela se fait en général via un fichier texte laissé sur le bureau.
Ces rançongiciels chiffreurs de fichiers se nomment Crypto-Ransomware et sont détectés en Trojan.Ransom, Trojan/FileCoder ou Ransom.FileLocker par les antivirus.

trojan_encoder_trojanransomware_crypt2 trojan_encoder_trojanransomware_crypt

En 2014 et 2015, CTB-Locker, TeslaCrypt et Cryptowall ont été les trois crypto ransomwares les plus répandus.
CTB-Locker change le fond d’écran en affichant un message stipulant que vos dossiers ont été chiffrés.
Malheureusement, une fois les fichiers chiffrés, il n’existe aucun moyen de les récupérer.

ctb-locker

Fin 2015, une campagne du crypto-Ransomware TeslaCrypt a été très importante.
La campagne a débuté par des mails malicieux Fin Décembe, puis via des Web Exploit en Janvier 2016.
La vidéo suivante vous montre le chiffrement des documents par le Crypto-Ransomware TeslaCrypt :

D’autres variantes comme celle-ci qui utilise des popups (voir sur le blog Malekal).

2016 est véritablement l’année des crypto-Ransomware avec de nouvelles variantes chaque semaine.
Certaines ne visent pas la France et sont actifs qu’aux USA. Les pays anglosaxons étant les plus visés, le marché y est plus grand.
Voici les ransomwares plus actifs en France.

Mi-Février 2016, un nouveau rançongiciel est apparu Locky Ransomware, ce dernier est distribué par des emails malicieux avec une pièce jointe Word Invoice, exactement comme le Trojan Dridex.

Locky_Ransomware_spam_mail_word_stopransomwareLocky_Ransomware_stopransomware
Locky en vidéo :

et le Ransomware Cerber est aussi assez actif en France, notamment par des WebExploit.

Cerbere_Ransomware

Mars/Avril/Mai 2016 : Nouveau Ransomware CryptXXX provenant de la Team Reveton (un virus gendarmerie très répandu courant 2012/2013. Ce dernier chiffre les documents avec une extension .crypt — CryptXXX en vidéo :

mais aussi Petya Ransomware, moins actif, un Ransomware MBR qui chiffre les partitions du disque dur.
Petya Ransomware en vidéo :

Bloqueurs par publicité

Une variante plus récente des rançongiciels consiste à bloquer l’ordinateur et invite la victime à cliquer sur des publicités. L’auteur du virus touche bien entendu des revenus à chaque clic. Exemple avec cette variante:

Ransom_survey_Unlock_Page_Continue