Virus de type cryptovirus – ransomware – rançongiciel

Depuis quelques semaines nous faisons face à une augmentation d’infections par des virus de type ransomware ou rançongiciel.

Qu’est-ce que c’est ?

Ces virus chiffrent (encryptent) la majorité des documents qu’ils trouvent sur l’ordinateur, ou dans son environnement accessible directement (clés USB, disques externes, disques réseaux…) :

  • Document Office (Word, Excel, PowerPoint, …)
  • Photos (Jpeg, Bmp, …)
  • Musiques (MP3)
  • Base de données (SQL, DB, …)

Une fois le chiffrement des fichiers effectués, un message vous informe que vous avez été infecté par un virus et que vos documents sont chiffrés. Une clé unique de déchiffrement est générée automatiquement sur les serveurs des pirates pour chaque personne infectée. Après quelque temps, cette clé est supprimée si la rançon n’a pas été payée.

Le seul moyen de récupérer les fichiers est de payer la rançon afin qu’ils vous fournissent la clé de déchiffrement.  Ces rançons peuvent varier de 500 $ à 1000 $ US.

Que deviennent mes fichiers ?

Ils sont toujours là, mais dans une version chiffrée, qu’il n’est pas possible de déchiffrer dans un temps raisonnable.  Ces virus étant récents et tous différents, il n’y a pas de clé unique ou universelle de déchiffrement.

Et les sauvegardes ?

Si ces sauvegardes se trouvent sur des médias externes qui sont en permanence reliés à l’ordinateur infecté, le virus y aura aussi accès et chiffrera également les sauvegardes.  Le conseil immédiat est de toujours débrancher votre média (clé USB, disque externe, disque réseau) de sauvegarde quand celle-ci est terminée.

Qui est impacté ?

Pour le moment, les ordinateurs infectés étaient équipés de MS-Windows… 3-2-1… trollez 😉

Comment sont infectées les machines ?

Principalement via les pièces jointes des e-mails ou via un lien.

Nous ne le répèterons jamais asssez, il est absolument primordial de vérifier la cohérence d’un e-mail avant de lui faire confiance.  Si l’expéditeur n’est pas connu, activez directement le mode « méfiance ».  Si l’expéditeur est connu mais que le contenu, la langue, l’orthographe, la pertinence du texte vous semble étrange, idem.  Vous vous doutez bien que les sujets ne seront pas « je suis un virus », « ne m’ouvrez pas » ou « je viens chercher votre argent », mais plutôt des sujets très anodins comme « facture », « invoice », « le fichier que tu m’as demandé », « la photo du p’tit dernier »…

Dans tous les cas, n’ouvrez pas de pièces attachées non sollicitées et ne suivez pas de lien par curiosité.

Que faire dans l’immédiat ?

Si le virus vous signale que vous avez été infecté, il est sans doute trop tard. Il y a peu de chance de récupérer les fichiers !
Si vous remarquez que l’infection est en cours (certains documents ne s’ouvrent subitement plus, leurs extensions de fichiers ont changé) : FORCEZ l’extinction IMMÉDIATE de la machine (appuyez 5 à 6 secondes sur le bouton ON/OFF), débranchez-la du réseau. Débranchez également tous disques / clés externes.  Prévenez ensuite l’UDIMED afin de récupérer les fichiers qui non pas encore été contaminés.

Et si je payais ?

Bien entendu, il reste la solution de payer si vous considérez que vos données valent plusieurs milliers d’euro.  Néanmoins, vous n’avez aucune garantie que les pirates vont effectivement vous communiquer la clé de déchiffrement.  De même, vous contribuez à financer leurs activités.

À retenir :

Il existe 2 catégories d’utilisateurs : ceux qui ont déjà perdu des données, et ceux à qui cela va arriver !
Effectuez des sauvegardes efficaces : tous les jours, sur un support distinct, distant et déconnecté quand non utilisé.

 

Pour l’équipe UDIMED
EY

Comments are closed.