Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Les cryptolocker

Par Leo PETER Publié le 12/05/2016 à 16:17:24 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Définition

Cryptolocker est un virus de type cheval de troie, et plus précisement un ransomware.

Son fonctionnement est basé sur le chiffrement de données personnelles, et ces données ne pourront être décryptés qu'au paiement d'une rançon permettant de recevoir une "clé de décryptage".

Le cryptolocker est un virus apparut en 2013 et se répendant principalement sur les machines Windows.

Celui-ci se propage typiquement de la même manière qu'un cheval de troie :

  • il pénètre le système à travers des campagnes d'emails-malicieux. Il exécute ensuite une charge active, par exemple un exécutable qui va chiffrer les fichiers de l'utilisateur sur son disque dur. L'auteur du logiciel malveillant est le seul qui connaisse la clef privée qui permette de déchiffrer les documents.

  • Lorsque les données sont infectées, un message d'alerte s'affiche demandant de payer une rançon pour recevoir une clé de décryptage permettant d'avoir de nouveau accès à ses données. Cette rançon doit généralement être payé dans n laps de temps très court, menaçant l'utilisateur de la suppression de ses données si celle-ci n'est pas payée.

En général, au paiement, une clé partielle est envoyée à l'utilisateur, ne débloquant qu'une partie de ses données, et un second message demandant de repayer refait surface pour finaliser l'achat de la clé de décryptage.

Mode de fonctionnement

Pour se propager, Cryptolocker utilise généralement les e-mails. Il s’attache en pièce jointe et s’envoie à tous vos contacts.

Quand une personne lance Cryptolocker sur son ordinateur, celui-ci s’installe dans le répertoire utilisateur, puis ajoute les clés dans la base de registre Windows pour assurer son lancement à chaque démarrage de la machine.

Il esaye ensuite d’établir une connexion avec un serveur maître mit en place auparavant par le pirate.

Dès que la connexion est établie, le serveur génère une paire de clés de chiffrement RSA de minimum 2048 bits et envoie sa clé publique à l’ordinateur infecté. Avec cette clé, cryptolocker commence à chiffrer les fichiers se trouvant en local sur le disque dur de la machine, mais aussi sur les disques réseau partagés. Celui-ci ne vise que des extensions particulières, tel que des fichiers Microsoft Office (Word, Excel, Powerpoint), Open Document et les vidéos, photos, musiques, etc... Étant les types de fichiers ayant la plus grosse probabilité d'être sensible et surtout personnels.

Dès que le chiffrement est terminé et que les fichiers sont devenus inaccessibles, le Cryptolocker affiche un message réclamant un versement (via carte prépayée ou Bitcoin) pour fournir la clé de déchiffrement à la victime.

Comment prévenir une infection

Afin de prévenir l'infection par un cryptolocker de votre poste et d'éviter de devoir livre le dernier chapitre de cet article, voici quelques conseils à suivre et à transmettre à vos proches pour éviter toute infection :

Tout d'abord, il faut se souvenir que le cryptolocker se retrouve principalement dans les e-mails, sous forme d'une pièce jointe à ouvrir ou d'un lien à cliquer. Celui-ci se présente souvent comme un mail d'un livreur (UPS, Chronopost) ou d'une banque.

Ainsi, Il faut avoir la plus grande vigilance face aux mails qui demandent d'effectuer des actions ou de télécharger un logiciel, même si ce mail provient d'une connaissance plus ou moins proche. Il faut se demander si l'expéditeur a une raison et/ou s’il est légitime pour vous de demander de réaliser ce genre d'action. En réagissant comme cela à chaque E-mail que vous trouveriez suspicieux, vous enrayez la possibilité d'une infection par un cryptolocker.

En plus de cela, il est important de mettre en permanence les logiciels étant relié automatiquement à internet, tel que Java, Flash, ou bien entendu son navigateur internet, afin d'être sûr d'avoir la dernière version comblant les failles découvertes.

Il faut de plus effectuer des sauvegardes régulières sur un disque externe (n'étant pas connecté en permanence au réseau local ou à votre machine), pour perdre le minimum de données en cas d'infection.

Enfin, il faut bien entendu disposer d'au minima d'un anti-virus sur son poste, et d'un anti-malware en option.

Comment supprimer un cryptolocker

Si malheureusement vous avez été infecté par un cryptolocker, sachez d'ores et déjà qu'il n'y a pas de tutoriel universel pour le supprimer.

En effet, bien que de quelques cryptolockers aient été décryptés et dont les clés sont disponibles sur le net, la plupart dispose d'une clé unique créée par le pirate lui-même.

Dans un premier temps, il ne faut SURTOUT PAS payer la rançon. En effet, malgré avoir payé, à aucun moment vous n'êtes assuré de récupérer la sainte clé permettant de récuperer vos données.

Débranchez tout d'abord votre machine du réseau, pour éviter toute propagation, et allez consulter sur le net si votre cryptolocker n'est pas référencé quelque part, et si une clé de décryptage n'est pas présente.

Méfiez-vous des logiciels vous promettant une résolution automatique du problème. Ceux-ci sont généralement des virus eux aussi, et vous vous retrouvez avec une machine encore plus infectée.

Si aucune clé n'est disponible, alors sachez que la récupération de vos données est quasi impossible, à moins de faire appel à un expert en sécurité qui arrive à créer la clé de décryptage.

Si vous ne disposez pas d'un expert en décryptage sous la main, mais que vous possédez un disque dur externe avec une sauvegarde récente de vos données, alors il ne vous reste plus qu'à réinstaller votre machine et à réintégrer vos données à la main.

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels