Objectif du fraudeur
- Obtenir une rançon en échange du déverrouillage des fichiers qui ont été chiffrés sur votre poste ou votre serveur, suite à l’exécution d’un programme malveillant.
Méthode du fraudeur
Les 4 étapes de cette fraude :
- Envoi d’un e-mail contrefait aux couleurs d’une entreprise connue (Phishing) avec une pièce jointe infectée par un programme malveillant.
- Éxécution d’un fichier en PJ d’un courriel ou téléchargement d'un fichier lors d’un clic sur un lien dans le message.
- Ce logiciel récupère alors une clé de chiffrement via votre connexion internet puis lance le redémarrage de votre poste et exécute le chiffrement de tous vos fichiers.
- Un écran apparait avec la marche à suivre, vous invitant à payer une rançon (en Bitcoins, en raison de la difficile traçabilité des transactions effectuées avec cette monnaie électronique).
- Le délai pour payer la rançon est très court, rarement au-delà de 96 heures. Sans déchiffrement avant ce délai, les fichiers sont détruits. Certains pirates vont plus loin en menaçant de divulguer le contenu de votre poste de travail en ligne si la rançon n’est pas payée (notamment dans le cas d’entreprises).
Ces attaques progressent de façon exponentielle car elles sont très rémunératrices et faciles à mettre en œuvre par les pirates informatiques, et même par des novices qui achètent des kits tout prêts sur le « Dark Web ».
Points de vigilance
- Au moindre doute sur l’expéditeur du mail, ne cliquez jamais sur une pièce jointe ou un lien.
- Si une fenêtre de confirmation d’alerte de votre système ou de votre anti-virus s’ouvre après avoir cliqué sur une PJ, ne confirmez pas l’ouverture du fichier.
- Faites attention à l’extension des pièces jointes, une extension .pdf.z ou pdf.exe n’est pas une extension pdf, c’est ce qui se trouve derrière le dernier point qui est pris en compte. Ne jamais ouvrir les pièces jointes avec les extensions suivantes : .pif, .bat, .com, .exe (fichiers exécutables).
- Attention également aux fichiers de type word (.doc) ou pdf (.pdf) qui peuvent contenir une ligne de commande pour télécharger un virus/malware à votre insu.
Bons réflexes
- Effectuez des sauvegardes régulières de vos fichiers (disques externes, cloud sécurisé, …). Ne laissez pas vos sauvegardes externes branchées sur votre poste (particuliers) ou au réseau interne (entreprises). Les ransomwares les plus récents désactivent la restauration du système, suppriment les sauvegardes et points de restauration et empêchent l’utilisation de l’assistant de réparation de votre système d’exploitation.
- Restez vigilant lorsque vous naviguez sur internet. Ne cliquez pas sur les liens, les fenêtres pop-up intempestives, les boîtes de dialogue suspectes et fermez aussitôt les onglets qui s’ouvrent inopinément après un clic non souhaité sur une pop-up ou un lien.
- Utilisez une solution anti-virus complète (anti-malware et pare-feu) et maintenez-là à jour pour vous protéger des ransomwares les plus courants. Activez les mises à jour importantes de sécurité pour une installation automatique sur votre système d'exploitation et vos logiciels, afin qu'elles soient prises en compte dès la publication (correction de failles de sécurité). Les solutions d’anti-virus intègrent à présent des protections contre ce type d’attaque, mais la protection à 100% n’existe pas. Les pirates recherchent et créent en permanence de nouvelles techniques pour contourner les méthodes de détection. Pour les entreprises : sensibilisez vos collaborateurs au risque et à la vigilance lors de la réception de mails non sollicités et suspects.
En cas de présence d’un Ransomware sur votre poste, le site Assistance et prévention du risque numérique au service des particuliers et professionnels peut vous aider à trouver une solution. |