Les entreprises québécoises dans la mire de CryptoWall?

Sécurité informatique

Québec

CryptoWall, un logiciel malveillant permettant de verrouiller des fichiers à distance causerait actuellement des problèmes auprès de plusieurs entreprises et organisations québécoises.

Selon SecureWorks, filiale de Dell, CryptoWall a réussi à infecter près de 625 000 systèmes à travers le monde depuis son apparition en mars dernier. Le Canada arriverait en quatrième position au palmarès des pays les plus infectés par le maliciel.

Soulignons que ce maliciel ne cible que les ordinateurs propulsés par diverses versions du système d’exploitation Windows.

«CryptoWall est le virus le plus destructeur de l’histoire d’Internet», affirme Mathieu Jacques, président et fondateur d’Équipe Microfix, une entreprise spécialisée en infrastructure informatique.

«Au cours des dernières semaines, nous sommes intervenus pour décontaminer les serveurs de plusieurs municipalités, des bureaux d’avocats et de notaires, des compagnies pharmaceutiques et même un poste de police qui a dû payer la rançon pour avoir accès à ses données.»

Le logiciel en question analyse les fichiers du système infecté et en crypte certains, les rendant ainsi inutilisables. C’est en tentant d’ouvrir un fichier crypté que l’utilisateur est invité à payer une rançon dans un délai de 48 heures. Le transfert de fonds doit être fait en Bitcoins, et l’achat de cette cryptomonnaie par une entreprise qui ne dispose pas ce type de devise peut prendre jusqu’à 3 jours.

CryptoWall peut infecter un système informatique de plusieurs façons, majoritairement pas le biais de pourriels et de liens corrompus cachés sur des sites financés par de la publicité. Soulignons que ce maliciel ne cible que les ordinateurs propulsés par diverses versions du système d’exploitation Windows.

Une impression de déjà vu

Le modus operandi de CryptoWall semble identique à celui de CryptoLocker, un autre maliciel qui demandait une rançon afin de récupérer les fichiers des systèmes infectés. Selon PC World, la menace de CryptoLocker s’est estompée significativement à la fin du mois de mai suite à une opération des forces de l’ordre de niveau multinational.

Aux dernières nouvelles, les créateurs de CryptoLocker seraient toujours en cavale et auraient empoché près de 3 millions de dollars US grâce à leurs activités illicites.

À noter que certains utilisateurs ont déclaré avoir payé sans obtenir la clé leur permettant de déchiffrer leurs données.

Comment se prémunir de la menace de CryptoWall?

Faites la sauvegarde de vos fichiers sur un disque externe et empêcher l’écriture de ce disque une fois la sauvegarde complétée avant de le rebrancher à un système infecté.

Comme l’écrivait Benoît Gagnon l’an dernier à propos de CryptoLocker, il est difficile de se prémunir contre un maliciel dont le mode de fonctionnement n’est pas complètement connu des spécialistes de la sécurité informatique. Selon Cisco, CryptoWall exploiterait notamment des failles des plugiciels Flash d’Adobe et Silverlight de Microsoft.

Il va de soi que désactiver ces logiciels peut être une bonne idée. Toutefois, il est beaucoup plus approprié de faire la sauvegarde de vos fichiers sur un disque externe et d’empêcher l’écriture de ce disque une fois la sauvegarde complétée avant de le rebrancher à un système infecté.

Pour conclure, il est également judicieux d’effectuer la mise à jour de votre système d’exploitation et de votre antivirus afin de colmater toute faille connue des éditeurs de ces logiciels.

  • Marie Josée

    Lorsqu’on est infecté, comment récupérer nos fichiers?

    • http://www-lugh-sci.com Jean-Yves Hemlin

      Avec le but de CryptoWall, je soupçonnerais qu’il n’y a pas de façon de récupérer ses données. Ils chiffrent vos données et se débarrassent de la clef.
      Si vous êtes chanceux et que vous tomber sur des « gentils arnaqueurs », ils vous donneront un outil pour récupérer vos données. Ça me surprendrait…

  • Marie Josée

    Si ce maliciel est entré via mon ordi en réseau avec ma commission scolaire, Est-ce que mes collègues peuvent être infecté eux aussi?

  • Benoît Gagnon

    Bonjour Marie Josée,

    Tout dépendant de la version du logiciel, il est fort possible que l’infection se propage en effet. Il serait donc sage de faire vérifier vos machines rapidement et, surtout, de vous assurer que les copies de sauvegarde soient à jour.

    Malheureusement, une fois l’infection déployée, vous n’aurez que peu de solutions. Soit vous payez la rançon, soit vous abandonnez l’idée de retrouver vos fichiers. À mois que vous bénéficiez de ressources telles que celles de la NSA, il n’y a pas vraiment grand-chose à faire. Si vous avez des copies de sauvegardes, vous pourrez au moins tout formater et réinstaller vos logiciels.

    Bonne chance,

    Benoît Gagnon