Qu’est-ce que le ransomware CryptoLocker et d’où vient-il ?
Le ransomware CryptoLocker est un type de logiciel malveillant (malware) qui chiffre les fichiers sur les ordinateurs Windows, puis demande une rançon en échange de la clé de déchiffrement. Il est apparu pour la première fois en septembre 2013 lors d’une attaque soutenue qui a duré jusqu’en mai de l’année suivante. CryptoLocker a trompé ses victimes en leur faisant télécharger des pièces jointes malveillantes envoyées par e-mail. Une fois ouvertes, ces pièces jointes (en réalité un cheval de Troie) exécutaient le malware qu’elles contenaient.
CryptoLocker était-il un virus ? Pas vraiment. Contrairement aux virus et aux vers, CryptoLocker ne pouvait pas se répliquer. Dans ce cas, comment CryptoLocker s’est-il répandu ? Pour l’aider à infecter d’autres victimes, les cybercriminels utilisaient le désormais célèbre botnet Gameover ZeuS. Il s’agissait d’un réseau d’ordinateurs infectés par des malwares et pouvant être contrôlés à distance par l’opérateur du botnet, à l’insu et sans le consentement de leurs propriétaires. En d’autres termes, un public tout prêt pour une infection massive par le ransomware CryptoLocker.
À la mi-2014, une unité opérationnelle internationale connue sous le nom d’Opération Tovar a finalement réussi à neutraliser Gameover ZeuS. Les clés de déchiffrement de CryptoLocker ont ainsi été mises en ligne gratuitement. Bien qu’il soit difficile de déterminer un montant exact, les cerveaux ayant créé CryptoLocker avaient déjà réussi à extorquer des millions de dollars en bitcoins aux victimes. Son succès considérable a incité de nombreux autres cybercriminels à développer des « clones » et des souches de ransomware dérivées (dont certaines n’ont pas encore été déchiffrées) basés sur le modèle original de CryptoLocker ou empruntent simplement des éléments de son nom.
Comment fonctionne le ransomware CryptoLocker ?
CryptoLocker utilise une méthode de chiffrement asymétrique qui le rend difficile à déchiffrer. Ce système à deux clés utilise une clé publique pour le chiffrement et une clé privée pour le déchiffrement. Ces clés sont liées l’une à l’autre.
L’expéditeur chiffre un fichier avec la clé publique et le destinataire le déchiffre avec sa clé privée.
Lorsqu’un chiffrement asymétrique est, par exemple, utilisé pour des besoins de transmission d’informations sensibles, le destinataire donne la clé publique à l’expéditeur afin qu’il puisse chiffrer les données, mais il gardera la clé privée pour lui. Dans le cas des ransomwares comme CryptoLocker, les opérateurs conservent les deux clés, y compris la clé privée dont vous avez besoin pour déchiffrer vos fichiers.
Une fois qu’il est sur votre ordinateur, CryptoLocker se comporte comme la plupart des ransomwares modernes. Il chiffre vos fichiers, puis affiche un message vous informant que vous devrez payer une rançon pour les récupérer.
Lorsqu’il est exécuté, CryptoLocker s’installe dans le profil de l’utilisateur, puis commence à explorer l’ordinateur, tous les appareils connectés et tout autre appareil sur son réseau à la recherche de fichiers et de dossiers à chiffrer. Le processus de chiffrement peut prendre des heures, ce qui donne à CryptoLocker une sorte de « période d’incubation » avant que l’ordinateur de la victime ne commence à présenter des symptômes.
Comment reconnaître le ransomware CryptoLocker ?
Une fois le processus de chiffrement terminé, CryptoLocker fait connaître sa présence par une demande de rançon.
Comme CryptoLocker se lance à chaque fois qu’un ordinateur infecté est mis sous tension, il ouvre également une fenêtre de paiement qui se ferme rapidement. Vous remarquerez que le message ci-dessus conseille aux victimes de télécharger à nouveau le malware au cas où leur propre antivirus l’aurait supprimé.
CryptoLocker informe les victimes que leur « clé privée » (c’est-à-dire l’élément pour lequel elles doivent payer, et qui théoriquement permettra de déchiffrer leurs fichiers) sera détruite passé un certain délai si le paiement n’est pas reçu. En novembre 2013, quelques mois après le début de l’attaque, les cybercriminels à l’origine de CryptoLocker lançaient un service en ligne qui promettait de déverrouiller les fichiers des victimes après l’expiration du délai qu’ils avaient fixé, mais pour un prix nettement plus élevé.
Comment supprimer le ransomware CryptoLocker ?
Pour supprimer CryptoLocker de votre ordinateur, il vous suffit de lancer un programme antivirus fiable tel qu’Avast One . Il analysera votre ordinateur à la recherche de toute trace de programme malveillant, y compris les ransomwares comme CryptoLocker, et les supprimera de votre machine.
C’est tellement simple que, comme mentionné plus haut, les créateurs de CryptoLocker ont anticipé le fait que de nombreuses cibles disposeraient d’un logiciel antivirus ayant déjà supprimé le ransomware.
Le fait que la suppression potentielle de CryptoLocker n’ait pas eu d’effet dissuasif sur son utilisation nous indique que la suppression du ransomware ne résout pas le problème. Une fois vos fichiers chiffrés, ils le resteront jusqu’à ce que vous les déchiffriez avec la bonne clé. La suppression de CryptoLocker l’empêche de chiffrer d’autres éléments, mais cela ne va pas déchiffrer les fichiers déjà affectés.
Lorsque vous êtes infecté par un ransomware, vous pouvez être tenté de payer la rançon dans l’espoir que les cybercriminels vous fourniront la clé de déchiffrement dont vous avez besoin, mais c’est sans garantie. Ils peuvent au contraire choisir de disparaître avec votre argent, vous laissant à la fois plus pauvre et toujours sans vos fichiers. Certains types de chiffrement de ransomwares ne peuvent même pas être annulés de cette manière.
Payer les rançons ne fait que confirmer que l’utilisation de ransomwares pour escroquer les gens est une activité viable et rentable. Vous pouvez aider à épargner de nouvelles victimes en montrant aux cybercriminels que vous ne céderez pas aux demandes de rançon. Ne payez jamais les cybercriminels pour récupérer vos fichiers.
Effectuez plutôt des sauvegardes. C’est le moyen le plus simple de restaurer vos fichiers. C’est la raison pour laquelle il est si important d’effectuer des sauvegardes régulières de toutes vos données essentielles. Mais avant tout, supprimez le ransomware de l’appareil infecté :
Comment déchiffrer les fichiers chiffrés par CryptoLocker
Lorsque les chercheurs en cybersécurité percent les méthodes de chiffrement d’une souche de ransomware, ils mettent souvent en ligne un déchiffreur gratuit. Bien qu’un outil de déchiffrement de CryptoLocker ait été publié suite à l’opération Tovar, les chercheurs ne sont pas encore venus à bout de tous ses nombreux clones et descendants.
Si vous avez été touché par une souche non déchiffrée, vous ne pourrez pas bénéficier des outils de déchiffrement. Au lieu de cela, et comme mentionné plus haut, votre meilleure option est de supprimer le ransomware et de restaurer vos fichiers à partir d’une sauvegarde, si vous en avez une. Si vous n’en avez pas, ne supprimez pas vos fichiers ! Les fichiers chiffrés ne peuvent pas être ouverts, mais il n’y a aucun risque à attendre un remède. Les recherches progressent, et il est possible que d’autres déchiffreurs de CryptoLocker soient mis en ligne à l’avenir.
Encore une fois, nous vous exhortons à ne jamais payer de rançon à un cybercriminel. Vous ne pouvez tout simplement pas être sûr d’obtenir quoi que ce soit en retour.
CryptoLocker représente-t-il toujours une menace ?
Depuis que l’opération Tovar a trouvé les clés de chiffrement de CryptoLocker, vous ne risquez plus d’être infecté par la version originale. En raison de son succès retentissant, le nom CryptoLocker et des variantes sur ce thème ont été utilisés par plusieurs autres ransomwares.
Apparu pour la première fois en 2014, CryptoWall infecte Windows 10 en plus des éditions antérieures. CryptoWall s’intègre dans les fichiers de démarrage de l’ordinateur infecté. Son succès a été tel qu’en 2015, un agent du FBI a admis que dans de nombreux cas, l’agence encourageait les victimes à payer la rançon afin de récupérer leurs fichiers, malgré le caractère discutable de ce conseil.
Ainsi, alors que le ransomware CryptoLocker original ne représente plus une grande menace, il existe beaucoup d’autres ransomwares qui meurent d’envie d’enfoncer leurs griffes dans vos fichiers.
Comment se protéger du ransomware CryptoLocker ?
CryptoLocker ne peut chiffrer que les fichiers et dossiers auxquels son compte utilisateur a accès. Si vous gérez un réseau, vous pouvez atténuer les dommages potentiels en restreignant les droits d’accès des utilisateurs aux seules ressources dont ils peuvent avoir besoin. C’est ce que l’on appelle le principe du moindre privilège. Cependant, lorsqu’il s’agit de protéger votre ordinateur personnel, cette stratégie de prévention contre CryptoLocker n’est probablement pas pertinente.
Veillez plutôt à toujours suivre les bonnes pratiques ci-dessous en matière de lutte contre les ransomwares afin d’éviter que CryptoLocker et d’autres rançongiciels n’infectent votre ordinateur :
-
Sauvegardez vos données. Ce conseil est le premier car c’est le moyen le plus efficace de récupérer vos fichiers au cas où vous seriez touché par un ransomware. Si vous utilisez un disque externe, déconnectez-le une fois la sauvegarde terminée et conservez-le dans un endroit sûr. Si vous le laissez connecté à votre ordinateur, le ransomware peut également chiffrer son contenu. Vous pouvez (et devriez) également effectuer une sauvegarde dans des services cloud. Si vous disposez d’une sauvegarde récente, le ransomware n’aura aucun effet sur vous.
-
Ne téléchargez jamais de pièces jointes qui vous ont été envoyées par des contacts inconnus. Hormis l’utilisation du botnet Gameover ZeuS, c’est comme ça que CryptoLocker s’est frayé un chemin sur les ordinateurs de ses victimes. Quelles que soient les circonstances, ne téléchargez jamais de pièces jointes de sources inconnues. Vérifier les pièces jointes provenant de contacts de confiance est également une pratique judicieuse. « Dites-moi, vous vouliez vraiment m’envoyer ce document ? »
-
Ne cliquez pas sur les liens inconnus. Ce conseil s’applique dans ce cas comme dans le précédent. Si on vous présente un lien provenant d’une source non fiable, laissez tomber. Cela vaut autant sur Internet que pour les e-mails, tout spécialement dans les sections de commentaires et dans les forums. Ces liens peuvent renvoyer vers des sites web malveillants qui téléchargent automatiquement des programmes dangereux (y compris des ransomwares) sur votre ordinateur.
-
Téléchargez les programmes, les applications et le contenu uniquement à partir de sources vérifiées. Lorsque vous téléchargez à partir de portails officiels, vous bénéficiez d’une sécurité supplémentaire grâce à un processus de vérification approfondi. Le partage de fichiers en P2P (peer-to-peer) peut être tentant pour obtenir le contenu que vous souhaitez, mais vous le faites à vos risques et périls.
-
Mettez toujours vos logiciels à jour. Installez les mises à jour et les correctifs dès qu’ils sont disponibles pour votre système d’exploitation et autres logiciels. Ces mises à jour éliminent souvent des vulnérabilités que les cybercriminels peuvent autrement exploiter pour introduire leurs malwares sur votre ordinateur.
-
Limitez les informations personnelles que vous communiquez ou mettez en ligne. Plus un cybercriminel dispose d’informations personnelles vous concernant, plus il peut adapter avec précision sa tentative de hameçonnage à votre situation. Participez activement à la protection de votre confidentialité en ligne.
-
Utilisez un logiciel de sécurité. Un logiciel de cybersécurité puissant peut faire beaucoup pour vous en matière de prévention. Équipez votre ordinateur d’un logiciel antivirus pour bloquer les malwares avant qu’ils ne s’installent et utilisez un VPN pour rester protégé lorsque vous êtes connecté à un réseau Wi-Fi public.
Défendez-vous contre CryptoLocker grâce à un outil anti-ransomwares dédié
Améliorez votre cybersécurité avec Avast One, la meilleure solution anti-ransomwares au monde. Elle est constamment mise à jour pour vous permettre de garder une longueur d’avance sur les dernières évolutions des menaces en ligne. Notre antivirus de haut niveau vous signale tout logiciel obsolète qui pourrait rendre votre système vulnérable, tout en détectant et en bloquant les ransomwares avant qu’ils ne puissent arriver jusqu’à votre appareil.