All time Nerds BetterBe Carrières

Vous voulez vos données? Pas de problème! Ce sera 300$.

Par Benoît Gagnon – le dans Actualités
CryptoLocker, un logiciel malveillant verrouillant l'accès à vos données, circule ces jours-ci sur la Toile. Voici comment vous en prémunir…

Il y a essentiellement une dizaine de choses qui nous pourrissent réellement l’existence. Il est possible notamment de mentionner les autocollants sur les tomates bien mûres, les meubles qui attirent les petits orteils, les sacs de plastique qui ne s’ouvrent pas, les clefs USB qui ne s’insèrent pas du premier coup, mais bien après trois essais, et bien sûr les maliciels.

Je ne vous conseille évidemment pas de donner votre argent à des criminels de ce genre, d’autant plus que rien ne garantit que la clé va effectivement fonctionner – le service à la «clientèle» ne doit pas être très efficace dans ce genre d’organisation.

Parlant de maliciels, un tout récent logiciel malveillant particulièrement vicieux fait actuellement rage sur les Internets. Son nom : CryptoLocker. Sa fonction : faire suer les personnes infectées en leur demandant une rançon.

Ce maliciel de type rançongiciel, actuellement seulement présent sur Windows, est particulièrement dérangeant. C’est pour cette raison que je me suis dit qu’il serait pertinent de vous en parler ici.

Comprendre CryptoLocker

CryptoLocker se propage au travers de courriels en se faisant passer pour des fichiers «attendus» par le récepteur. Cela est donc passablement risqué pour les entreprises qui reçoivent de nombreux courriels avec des pièces jointes. Les courriels que j’ai pu voir mentionnaient des pièces avec la mention «Xerox» à l’intérieur, ce qui peut laisser penser qu’il s’agit d’un fichier numérisé.

Si la personne a le malheur d’ouvrir le soi-disant fichier, l’infection commence. Ce que le maliciel fait tout d’abord, c’est qu’il tente de communiquer avec un serveur de commandement et de contrôle. Un algorithme de communication tente automatiquement de communiquer avec différents serveurs afin de trouver un endroit qui répondra. Ce serveur aura essentiellement pour travail de remettre une clé RSA de chiffrement unique au maliciel.

Une fois qu’il a obtenu cette clé, CryptoLocker fouille l’ordinateur pour trouver les fichiers avec les déclinaisons suivantes – ces extensions visent d’ailleurs beaucoup plus les entreprises que les utilisateurs :

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

Il est important de mentionner que le maliciel va fouiller l’ordinateur et tous les disques qui lui sont attachés. Donc, si vous effectuez vos copies de sauvegardes sur un disque dur connecté à votre ordinateur, il sera accessible au maliciel.

Pour chacun des fichiers correspondants à l’une de ces extensions, le maliciel va générer une nouvelle clé AES 256 bits. Cette clé sera alors utilisée pour crypter le contenu du fichier à l’aide de l’algorithme AES. La clé AES est ensuite chiffrée en utilisant la clé RSA obtenue plus tôt du serveur de commandement et de contrôle. En d’autres termes, CryptoLocker va verrouiller vos fichiers et les retirer de votre contrôle en utilisant une serrure qu’il vous sera impossible de déverrouiller.

Lorsque cette opération est terminée, le maliciel vous présente une fenêtre vous disant que vos fichiers fichiers sont actuellement verrouillés et que si vous désirez y avoir accès, vous devrez payer un montant de 300$. On vous donne 72 heures pour prendre une décision. Après ce délai, la clé RSA sera supprimée du serveur de commandement et de contrôle.

Les informations que j’ai pu obtenir stipulent que si l’utilisateur fait le paiement, il reçoit alors un fichier qui lui permet effectivement déverrouiller le contenu de son ordinateur, mais que ce dernier est truffé de maliciels divers. Cette information reste toutefois à confirmer.

Au final, les conseils d’usage demeurent : ne cliquez jamais sur des pièces jointes qui ne sont pas attendues, ou sur des liens qui vous sont inconnus. D’autant plus s’ils proviennent de personnes que ne vous côtoyez pas.

Quoi faire?

Il n’y a malheureusement pas de recette miracle. Si vous êtes déjà infecté, j’espère que vous avez une copie de sauvegarde récente de vos données, sans quoi vous êtes dans une fâcheuse situation. Je ne vous conseille évidemment pas de donner votre argent à des criminels de ce genre, d’autant plus que rien ne garantit que la clé va effectivement fonctionner – le service à la «clientèle» ne doit pas être très efficace dans ce genre d’organisation.

Si vous êtes encore sain et sauf, dépêchez-vous et faites vos mises à jour rapidement, tant pour votre système d’exploitation que pour votre antivirus. Aussi, faites-vous immédiatement une copie de sauvegarde externe non attachée à votre ordinateur. Cela vous permettra de dormir sur vos deux oreilles si jamais il devait arriver quelque chose à vos données.

Au final, les conseils d’usage demeurent : ne cliquez jamais sur des pièces jointes qui ne sont pas attendues, ou sur des liens qui vous sont inconnus. D’autant plus s’ils proviennent de personnes que ne vous côtoyez pas.

Continuez votre lecture

Les entreprises québécoises dans la mire de CryptoWall?

Les entreprises québécoises dans la mire de CryptoWall?

Laurent LaSalle -
OphionLocker, ou l’innovation dans le rançongiciel

OphionLocker, ou l’innovation dans le rançongiciel

Benoît Gagnon -
Comment survivre aux cryptorançongiciels?

Comment survivre aux cryptorançongiciels?

Benoît Gagnon -
Live Free or Die Hard, ou comment prendre un hôpital en otage avec la technologie

Live Free or Die Hard, ou comment prendre un hôpital en otage avec la technologie

Benoît Gagnon -
Quand la sécurité vous met à risque

Quand la sécurité vous met à risque

Benoît Gagnon -
Le FBI recommande aux victimes de rançongiciels de payer… Vraiment?

Le FBI recommande aux victimes de rançongiciels de payer… Vraiment?

Benoît Gagnon -
Android est sécuritaire, arrêtez de prétendre le contraire

Android est sécuritaire, arrêtez de prétendre le contraire

Steve Rodrigue -
Bitcoin : pas si simple, pas si sécuritaire

Bitcoin : pas si simple, pas si sécuritaire

Benoît Gagnon -
Comment chiffrer vos données sur Android

Comment chiffrer vos données sur Android

Steve Rodrigue -
Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Un gestionnaire de mots de passe, est-ce que ça vaut la peine?

Benoît Gagnon -
La fin de Windows XP : pourquoi est-ce le début de la fiesta pour les pirates informatiques?

La fin de Windows XP : pourquoi est-ce le début de la fiesta pour les pirates informatiques?

Benoît Gagnon -
Données personnelles : vous laissez trop de traces sur vos vieux ordinateurs

Données personnelles : vous laissez trop de traces sur vos vieux ordinateurs

Matthieu Carlier -
Grandeur et misère de cette première semaine de 2016

Grandeur et misère de cette première semaine de 2016

Benoît Gagnon -
L’Internet des objets, ce piège de cristal

L’Internet des objets, ce piège de cristal

Benoît Gagnon -
EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

EternalRocks, ce ver informatique qui exploite jusqu’à 7 outils de la NSA

Laurent LaSalle -

Benoît Gagnon

Benoît Gagnon est directeur, cybersurveillance et sécurité de l’information pour le Corps canadien des Commissionnaires du Québec et ancien membre des services de renseignement criminels. Il est également membre de Crypto.Québec. Il a prononcé plus de 150 conférences liées à la sécurité et est souvent appelé à commenter l’actualité de sécurité dans les médias.