Dossier : Les ransomware : Locky, Petya et les autres

 

 

Les Rasomware comme Locky ou actuellement, pour le nouvellement venu, Petya, sont de véritables vérues.

Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

En gros, une fois que vous l'avez, vous avez un gros soucis.

On trouve, 2 types de Rasomwares :

• les crypteurs
• les non crypteurs

Souvent, on a l'option Payload, à savoir, qu'il faut "payer" pour se faire "logiquement", débloquer ou déchiffrer ses fichiers.

Un conseil, ne jamais accepter de payer en ligne, pour se faire débloquer par le hackeur, car vous n'avez aucune garantie !

Ceux qui ne cryptent pas les fichiers systèmes, sont en principe, les plus facile à éradiquer.

En revanche, les crypteurs eux, font plus de dégats.

En ce moment, on en a deux, qui sont costauds :

• Locky
• Petya le dernier né....

 

LOCKY

Lui, il se propage par email, qui vous est envoyé depuis un botnet et, qui comporte une pièce jointe. En France, il se propage via de fausses factures Free Mobile par exemple.

En admettant, que vous ouvriez cette pièce jointe, en règle générale un fichier .doc.

Une fois le fichier ouvert, vous constaterez, que le message est "crypté" et qu'il vous est demandé d'activer les macros, pour que vous puissiez le lire normalement.

Et la, bim. Le rasomware se télécharge et s'installe tout seul sur votre machine.

Au bout d'un moment, une grosse partie de vos fichiers systèmes vont être cryptés.

Il va effacer les anciennes sauvegardes, rendant impossible toute restauration et, va, par le biais de messages, vous demander de payer, pour pouvoir récupérer l'intégralité de votre machine.

On le sait bien, c'est faux !

La somme demandée semble dérisoire : 0.50 BTC... ce qui fait environ 200 €... tout de même.... tout cela pour "acheter" Locky Decryptor PRO, un soft censé "décrypter" justement vos fichiers... ben voyons, et la marmotte... vous connaissez la suite...

 

 Comment s'en débrasser ?

Au jour d'aujourd'hui, aucune méthode miracle, car une fois que c'est crypté, difficile de revenir en arrière.

Il est possible de faire un petit nettoyage avec quelques outils :

• Smart Security d’ESET  
• Bitdefender Anti-Ransomware
• Power Eraser de Symantec

Une fois que c'est fait, n'hésitez pas à passer aussi :

• MalwareBytes'Antimalware
• ADW Cleaner

de faire aussi :

• une purge de la restauration système

Ne pensez pas, qu'après tout cela, tout, tout, reviendra comme avant.

Il faut regarder aussi, dans la base de registre, si vous avez les clés suivantes :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Locky
• HKCU\Software\Locky\id
• HKCU\Software\Locky\pubkey
• HKCU\Software\Locky\paytext

Cela vous donnera déjà un apperçu de l'étendue des dégâts.

Il est "possible" de "tenter" de récupérer les fichiers cryptés avec quelques outils, mais attention, aucune garantie.

 

 Comment s'en prémunir ?

A l'heure actuelle, une solution, pour "éviter" de l'attraper, c'est dêtre plus intelligent que lui.

Etant donné que Locky, tente de créer une clé dans la base de registre, la seule parade, pour le moment est de la créer, avant lui : HKCU\Software\Locky

 

et de lui enlever les droits d'accès :

Merci à Tonton Korben pour l'astuce ;)

 

La meilleure solution, pour ne pas l'attraper, c'est de toujours faire attention à ce que l'on reçoit, de vérifier les expéditeurs, les fotes dortgrafes et de ne cliquer sur rien et de ne rien télécharger...

---

PETYA

C'est le dernier né, connu... lui, il est encore plus méchant.

Il ne se contente pas simplement de chiffrer certaines extensions, ou fichiers, non, lui, il chiffre l'intégralité de votre disque dur...

C'est G Data qui l'a découvert.

La campagne actuelle vise les entreprises. Dans un email au service des ressources humaines, il y a une référence à un fichier se trouvant dans Dropbox. Une jentille candidature, qui semble anodine et qui vous colle cette merde.

Les premiers fichiers ont été détectés jeudi 24 mars 2016, en Allemagne :

• SHA25626b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739
• et SHA256b041d9573ae083a02cf52fcd23648b32ad9a8811bd7ea12ca6af3d91ca14a07a

Bien entendu, il vous dirige vers Tor, tout comme Locky, pour vous demander de payer pour récupérer votre PC.

Celui-ci, possède un "compte à rebours", pour vous mettre encore plus la pression : à savoir, si au bout de  jours, vous n'avez pas payé, la somme est doublée. Comme c'est charmant.

Pour le moment, aucun moyen connu pour récupérer ses données...

---

 

---

Mon billet vous a plus ? Pour me remercier, installez Cryptotab Browser, le navigateur qui mine des bitcoins dès qu'il est ouvert.
Installez-le, connectez-vous et naviguez normalement sur internet.
Léger, gratuit, sans investissement. Affiliation anonyme.