Définition du ransomware Cryptolocker
CryptoLocker est une forme de ransomware qui restreint l'accès aux ordinateurs infectés en chiffrant leur leur contenu. Une fois infectées, les victimes doivent payer une “rançon” pour déchiffrer et récupérer leurs fichiers.
Le principal moyen d'infection est le phishing de courriels avec des pièces jointes malveillantes. Ces courriels sont conçus pour imiter l'apparence des entreprises légitimes et les faux avis de suivi de FedEx et UPS[1].
Les attaquants ont déguisé des pièces jointes CryptoLocker pour tromper les utilisateurs sans méfiance et les amener à cliquer sur une pièce jointe de courriel qui active l'attaque. Les victimes devaient ensuite payer une rançon pour déchiffrer leurs fichiers. CryptoLocker s'est répandu entre début septembre 2013 et fin mai 2014[2].
Histoire de Cryptolocker
L'attaque de CryptoLocker s'est produite entre le 5 septembre 2013 et la fin mai 2014. Elle a été identifiée comme un virus cheval de Troie (code malveillant déguisé en quelque chose d'inoffensif) qui visait les ordinateurs exécutant plusieurs versions du système d'exploitation Windows. Il accédait à un ordinateur cible par le biais de faux emails conçus pour imiter l'apparence des entreprises légitimes et par le biais de faux avis de suivi de FedEx et UPS.
Lorsqu'une machine est infectée, CryptoLocker trouve et chiffre les fichiers situés sur des lecteurs réseau partagés, des lecteurs USB, des disques durs externes, des partages de fichiers réseau et même certains lecteurs de stockage dans le nuage. Début novembre 2013, le ransomware CryptoLocker avait infecté environ 34 000 machines, principalement dans les pays anglophones[3].
Un outil de déchiffrage gratuit a été mis en place à cet effet en 2014. Mais divers rapports suggèrent que plus de 27 millions de dollars ont été extorqués par CryptoLocker.[4]
Se protéger des attaques de Cryptolocker
L'US-CERT conseille aux utilisateurs de se protéger contre CryptoLocker en effectuant des sauvegardes de routine des fichiers importants et en gardant les sauvegardes stockées hors ligne. Les utilisateurs devraient également maintenir un logiciel antivirus à jour et garder leur système d'exploitation et leurs logiciels à jour avec les derniers correctifs.
Les utilisateurs ne doivent pas non plus suivre les liens web non sollicités dans les courriers électroniques et faire preuve de prudence lorsqu'ils ouvrent les pièces jointes aux courriers électroniques. Et, comme toujours, suivre des pratiques sûres lorsqu'ils naviguent sur le web[5].
Récupérer les fichiers après une attaque Cryptolocker
Dès que vos utilisateurs détectent une demande de rançon ou un virus, ils doivent immédiatement se déconnecter du réseau. Si possible, ils doivent apporter physiquement l'ordinateur qu'ils ont utilisé à leur service informatique. Seule l'équipe de sécurité informatique doit tenter de redémarrer l'ordinateur.
Le paiement de la rançon est un élément central de votre réponse. Cette décision doit être basée sur le type d'attaque, les personnes qui ont été compromises dans votre réseau et les autorisations de réseau dont disposent les détenteurs de comptes compromis[6].
Les attaques par rançon sont un crime, et les organisations doivent appeler les forces de l'ordre si elles en sont victimes. Les techniciens de la police scientifique peuvent s'assurer que les systèmes ne sont pas compromis par d'autres moyens, recueillir des informations pour mieux protéger les organisations à l'avenir et essayer de retrouver les attaquants.
Parfois, les chercheurs en sécurité proposent des décrypteurs qui peuvent déverrouiller des fichiers gratuitement, mais ils ne sont pas toujours disponibles et ne fonctionnent pas pour chaque attaque de logiciel contre rançon.
Si les organisations ont suivi les meilleures pratiques et maintenu des sauvegardes de leurs systèmes, elles peuvent rapidement restaurer leurs systèmes et reprendre leurs activités normales[4].
[1] Équipe américaine de préparation aux urgences informatiques (US-CERT), “CryptoLocker Ransomware Infections”
[2] Dan Goodin (Ars Technica). “Vous êtes infecté - si vous voulez revoir vos données, payez-nous 300 dollars en bitcoins”
[3] Ryan Naraine (SecurityWeek). “Les infections CryptoLocker sont en hausse”
[4] Proofpoint. “Ransomware is Big Business”
[5] US-CERT. “CryptoLocker Ransomware Infections”
[6] Proofpoint. “Le guide de survie du Ransomware”
CryptoLocker & Guide de survie contre les ransomwares
Apprenez quoi faire contre une attaque de ransomware avec le guide de survie de Proofpoint ! Téléchargez le guide gratuitement dès maintenant !
Les rançons, une affaire de gros sous
Découvrez comment Proofpoint aides les entreprises contre les menaces de ransomwares, et que faire si vous devez y faire face !
Webinaire : Neutralisez les ransomwares à la source
Neutralisez les ransomwares à la source : Limitez les risques liés à Microsoft 365 en lui offrant la protection qu'il mérite.
Webinaire : La recrudescence des attaques de ransomwares
Regardez le webinaire enregistré avec Ryan Kalember, EVP of Cybersecurity Strategy de Proofpoint, pour découvrir les trois principales méthodes utilisées par les cybercriminels spécialisés en ransomwares pour infiltrer votre entreprise, et comment les stopper net.
Rapport : Voice of the CISO 2022
Bien que moins mouvementée que la précédente, l'année 2021 a été particulièrement intense pour les professionnels de la cybersécurité.