10 Fév 2017

No More Ransom vient à votre rescousse

Malware Menaces Sécurité

Lorsque Marion s’est connectée à son propre ordinateur un jour de mai 2016 en Allemagne, elle n’avait pas la moindre idée de ce qui allait se passer par la suite.

Le premier signe s’est manifesté lorsque son ordinateur a commencé à démarrer de manière inhabituelle et que l’accès était bloqué. Même après un redémarrage, rien ne changeait. Ensuite, l’écran était devenu tout noir et affichait un message menaçant de ransomware. Elle ignorait la façon dont elle avait été infectée. Elle n’avait rien remarqué de suspicieux ces derniers temps, aucun membre de sa famille n’avait eu accès à son ordinateur.

Mais les faits étaient bel et bien là :

La montée des ransomwares

La montée des ransomwares est un problème grandissant ces dernières années et ne montre aucun signe de faiblesse. Nous savons à quel point il est important de faire des sauvegardes régulièrement, de ne pas ouvrir d’e-mails suspicieux, d’utiliser le meilleur logiciel de sécurité etc. Néanmoins, tout peut arriver, et vous pouvez vous retrouver subitement avec des données, des partages en réseau ou des disques durs connectés inaccessibles sur votre ordinateur.

Vous ne pouvez pas protéger votre ordinateur à 100%, a moins de le déconnecter de tous les réseaux, de retirer le lecteur CD, la clé USB etc. C’est rarement pratique dans le monde connecté d’aujourd’hui. Il donc temps de s’impliquer dans la gestion des risques : trouvez votre propre équilibre entre le confort, la sécurité et la confidentialité.

Si vous étiez amené à être victime d’une attaque de ransomware, vous devez savoir que payer ou ne pas payer n’est pas la seule option que vous ayez.

Il peut s’avérer plus difficile de récupérer vos données que par le passé : les « bugs » qui permettaient d’habitude aux entreprises telles que Kaspersky Lab et ses partenaires de développer des outils génériques pour déchiffrer des fichiers frappés par des menaces de ransomware, ont été réparés par les hackers. Aujourd’hui, il y a encore plus de variantes de ransomwares de plus en plus sophistiquées et vous avez souvent besoin des clés de déchiffrement.

Récupérez vos données

Comme sa journée empirait au fil du temps, Marion éteignit son ordinateur et demanda de l’aide au département informatique. Ils furent capables de saisir toutes les données nécessaires telles que le message du ransomware, les fichiers associés au disque et même quelques photos et PDF avant et après le chiffrement. Ils essayèrent tous les outils disponibles pour déchiffrer les fichiers, mais aucun ne fonctionnait

A ce stade, ce qui s’était passé à l’ordinateur de Marion, l’avait aussi affectée personnellement. Son disque dur contenait un dossier plein de précieuses photos de famille sur une période de dix ans, représentant des occasions spéciales, triées avec soin dans des dossiers et datées. Plusieurs années de souvenirs étaient complètement inaccessibles.

Elle n’avait pas fait de sauvegarde sur un support externe, mais était sûre d’une seule chose : elle n’allait payer aucun cybercriminel.

Marion contacta les personnes avec lesquelles elle avait partagé ses photos pendant tout ce temps et leur demanda de le lui renvoyer. De cette manière, elle a pu en récupérer quelques-unes mais la majorité demeurait perdue.

A l’aide du département informatique de son employeur, elle regarda sur Internet, mais ne trouva pas de solution. Elle se tourna ensuite vers ses amis. Finalement, en derniers recours, elle publia un post sur Facebook demandant de l’aide et offrait même une récompense de 500 euros à quiconque l’aiderait à récupérer ses fichiers sans avoir à payer les cybercriminels !

Traduction : Malgré les nombreux conseils que j’ai reçus de la part de personnes soucieuses de m’aider, je n’ai toujours pas réussi à déchiffrer mes fichiers. C’est comme si j’avais été frappée par une nouvelle variante. Mais je ne perdrai pas espoir et suis même prête à augmenter la récompense à 500 euros à quiconque pourra m’aider à déchiffrer mes fichiers.

Près de 20 utilisateurs ont répondu à son post en essayant de lui apporter leur aide. Néanmoins, personne n’a réussi.

Il est temps de faire appel à NoMoreRansom

C’est à ce moment-là que je suis intervenu. Quelques semaines plus tard, un de mes anciens camarades de classe avait repéré le post en sachant que je travaille pour l’Équipe internationale de recherche et d’analyse (GreAT) chez Kaspersky Lab. Il m’avait ajouté à la conversation, me demandant si ce ne serait pas le défi parfait pour moi.

J’ai contacté Marion qui me donna toutes les informations nécessaires me permettant de me pencher sur les outils de déchiffrement pour ses fichiers. Mais je n’ai rien trouvé sur la variante en particulier qui l’avait frappée.

En ayant toutes les informations à ma portée, j’ai ensuite contacté nos spécialistes en ransomware chez Kaspersky Lab et leur ai demandé de l’aide. Ils m’ont vite confirmé qu’il y avait une nouvelle variante de CryptXXX V3 et que les outils spécifiques pour déchiffrer ses fichiers n’étaient pas encore disponibles. J’ai communiqué la mauvaise nouvelle à Marion tout en lui demandant de ne pas payer la rançon.

Ceci, parce que, dès que les hackers créent de nouveaux ransomwares, nous travaillons avec les autorités policières et d’autres partenaires afin de développer des outils de déchiffrement ou pour extraire des clés privées stockées sur les serveurs de commande et contrôle des cybercriminels.

Nous y arrivons grâce au projet NoMoreRansom. Durant l’été 2016, Europol, Kaspersky Lab et Intel ont lancé le portail NoMoreRansom.org afin d’aider les personnes affectées par des ransomwares à récupérer leurs fichiers, et déstabiliser le modèle d’affaires lucratif des cybercriminels. Le projet compte désormais plus de 40 partenaires.

Le 20 décembre dernier, nous avions ajouté un autre outil de déchiffrement pour CryptXXX V3 sur notre page NoMoreRansom.

J’avais toujours en tête le cas de Marion, je l’avais donc contactée sur Facebook et redirigée vers notre nouvel outil. Quelques jours plus tard, elle était revenue vers moi pour me dire qu’elle avait pu récupérer tous ses fichiers qui avaient été chiffrés ! Elle voulait m’offrir la récompense, mais j’ai refusé, à la place elle m’a donné des bonbons.

Les leçons à en tirer

Je lui ai demandé ce qu’elle avait appris de cet incident.

En plus de faire des sauvegardes régulières sur différents disques durs externes, elle est désormais encore plus prudente lorsqu’elle surfe sur le Web, s’assure qu’elle a installé les derniers patchs. Dorénavant, personne ne peut accéder à son ordinateur.

Cette histoire nous rappelle oh combien il est important d’être notre propre gestionnaire de risques : c’est en votre devoir de surveiller votre ordinateur, votre réseau, et vos biens personnels et privés. Mais si tout va mal, la solution n’est pas simplement de payer ou de ne pas payer. NoMoreRansom.org devrait être le premier endroit à consulter pour récupérer vos fichiers sans frais à votre charge. Il est possible qu’il n’y ait pas encore de solution disponible, prenez votre mal en patience et ne payez pas les escrocs !

Marion n’a pas été la seule chanceuse. NoMoreRansom a publié jusqu’à présent 7 outils de déchiffrement gratuits, 5000 utilisateurs ont réussi à débloquer leurs fichiers grâce à lui, et 1,5 millions de dollars de rançon ont pu être sauvés.

[Link: nomoreransom.org]