Cryptolocker : définition - Comment récupérer ses fichiers ?

CryptoLocker est une forme de ransomware qui restreint l'accès aux ordinateurs infectés en chiffrant leur leur contenu. Une fois infectées, les victimes doivent payer une “rançon” pour déchiffrer et récupérer leurs fichiers.

Le principal moyen d'infection est le phishing de courriels avec des pièces jointes malveillantes. Ces courriels sont conçus pour imiter l'apparence des entreprises légitimes et les faux avis de suivi de FedEx et UPS^[1].

Les attaquants ont déguisé des pièces jointes CryptoLocker pour tromper les utilisateurs sans méfiance et les amener à cliquer sur une pièce jointe de courriel qui active l'attaque. Les victimes devaient ensuite payer une rançon pour déchiffrer leurs fichiers. CryptoLocker s'est répandu entre début septembre 2013 et fin mai 2014^[2].

L'attaque de CryptoLocker s'est produite entre le 5 septembre 2013 et la fin mai 2014. Elle a été identifiée comme un virus cheval de Troie (code malveillant déguisé en quelque chose d'inoffensif) qui visait les ordinateurs exécutant plusieurs versions du système d'exploitation Windows. Il accédait à un ordinateur cible par le biais de faux emails conçus pour imiter l'apparence des entreprises légitimes et par le biais de faux avis de suivi de FedEx et UPS.

Lorsqu'une machine est infectée, CryptoLocker trouve et chiffre les fichiers situés sur des lecteurs réseau partagés, des lecteurs USB, des disques durs externes, des partages de fichiers réseau et même certains lecteurs de stockage dans le nuage. Début novembre 2013, le ransomware CryptoLocker avait infecté environ 34 000 machines, principalement dans les pays anglophones^[3].

Un outil de déchiffrage gratuit a été mis en place à cet effet en 2014. Mais divers rapports suggèrent que plus de 27 millions de dollars ont été extorqués par CryptoLocker.^[4]

L'US-CERT conseille aux utilisateurs de se protéger contre CryptoLocker en effectuant des sauvegardes de routine des fichiers importants et en gardant les sauvegardes stockées hors ligne. Les utilisateurs devraient également maintenir un logiciel antivirus à jour et garder leur système d'exploitation et leurs logiciels à jour avec les derniers correctifs.

Les utilisateurs ne doivent pas non plus suivre les liens web non sollicités dans les courriers électroniques et faire preuve de prudence lorsqu'ils ouvrent les pièces jointes aux courriers électroniques. Et, comme toujours, suivre des pratiques sûres lorsqu'ils naviguent sur le web^[5].

Dès que vos utilisateurs détectent une demande de rançon ou un virus, ils doivent immédiatement se déconnecter du réseau. Si possible, ils doivent apporter physiquement l'ordinateur qu'ils ont utilisé à leur service informatique. Seule l'équipe de sécurité informatique doit tenter de redémarrer l'ordinateur.

Le paiement de la rançon est un élément central de votre réponse. Cette décision doit être basée sur le type d'attaque, les personnes qui ont été compromises dans votre réseau et les autorisations de réseau dont disposent les détenteurs de comptes compromis^[6].

Les attaques par rançon sont un crime, et les organisations doivent appeler les forces de l'ordre si elles en sont victimes. Les techniciens de la police scientifique peuvent s'assurer que les systèmes ne sont pas compromis par d'autres moyens, recueillir des informations pour mieux protéger les organisations à l'avenir et essayer de retrouver les attaquants.

Parfois, les chercheurs en sécurité proposent des décrypteurs qui peuvent déverrouiller des fichiers gratuitement, mais ils ne sont pas toujours disponibles et ne fonctionnent pas pour chaque attaque de logiciel contre rançon.

Si les organisations ont suivi les meilleures pratiques et maintenu des sauvegardes de leurs systèmes, elles peuvent rapidement restaurer leurs systèmes et reprendre leurs activités normales^[4].