Protégez-vous du ransomware : Crypto Locker

Page 1 / 1

Après le virus E-cops qui verrouillait votre ordinateur, un nouveau virus du nom de "Crypto Locker" est apparu sur le web.

Voici un aperçu de ces 2 virus (l'ancien : "E-cops" à gauche et le nouveau : "Crypto Locker" à droite) :

Ce nouveau ransomware est très dangereux car il crypte vos fichiers et si vous ne payez pas la ranson avant la fin du délai, le programme formate votre disque dur.
Le commissaire "Olivier Bogaert" de la Computer Crime Unit a d'ailleurs reçus des retours de plusieurs personnes qui lui ont dis que le programme effectuait bien le formatage des données à la fin du délai si l'amende n'était pas payée (Attention : Payer l'amende ne sert à rien. Le pirate ne vous enverra pas le code de déverrouillage).

Toujours d'après la police (plus précisément : le commissaire "Olivier Bogaert" de la Computer Crime Unit) :
- Payer la rançon ne sert à rien. Ce qui paraît logique. Le but de ce genre de programme est de faire culpabiliser l'utilisateur avec des actions illicites qu'il aurait soi-disant commises et ainsi gagner de l'argent de façon illégale.
- L'attaque viendrait de Russie et peut-être du Pakistan.
- Le virus est compatible avec Windows et Mac. Comme quoi, même sur les Mac, vous pouvez recevoir des virus.
- Le virus viendrait en pièce jointe (au format zip ou pdf) par des E-mails suspects ou via des sites Internet (sites de téléchargement illégaux notamment)

IMPORTANT : Rappelons-le, le ransomware E-Cops et ce nouveau ransomware "Crypto Locker" n'ont rien avoir avec la police. D'ailleurs, cela est totalement illégal car votre ordinateur vous appartient et la police n'a donc pas le droit de le verrouiller à distance. Si vous êtes infecté par ce virus, vous pouvez porter plainte à la police car les ransomware sont punis par la loi.

Ce virus crypte vos données avec une clé RSA-2048. Autant vous dire que même en brute-force, il vous sera impossible de trouver la clé privée de décryptage qui correspond à la clé publique générée pour votre ordinateur.

Comme indiqué plus haut, le ransomware Crypto Locker formatera votre ordinateur à la fin du délai. En d'autres termes, le programme effacera définitivement l'entièreté de votre disque dur.
Etant donné que nous ne savons pas s’il s'agit d'un formatage classique ou d'un formatage plus sophistiqué, nous ne pouvons pas vous certifier que les programmes e récupération de données fonctionneront.

Maintenant que vous en savez plus sur ce ransomware, voici comment vous en protéger.

Ces informations viennent d'une source fiable : l'émission "On n'est pas des pigeons" de la RTBF (la source n'est plus disponible).

  1. Mettre à jour votre ordinateur (l'OS)
  2. Mettre à jour vos programmes et vos plugins
  3. Mettre à jour votre antivirus
  4. Faire des scans antivirus et antimalware
  5. Acheter et installer : Malwarebytes Anti-Malware
  6. Protéger vous des failles avec Malwarebytes Anti-Exploit
  7. Faire attention à ce que vous faîtes sur Internet
  8. Faire des sauvegardes de vos données sur un disque dur externe
  9. Bloquer l'exécution de fichier exe dans le dossier %AppData%

1. Mettre à jour l'ordinateur

Sous Windows, il vous suffit d'utiliser Windows Update pour télécharger et installer automatiquement les mises à jour de Windows (dont ses mises à jour de sécurité qui permettent de corriger les failles de sécurité qui sont découvertes dans Windows.)
Note : Si vous êtes encore sous Windows XP malgré l'arrêt de son support par Microsoft. Sachez, que votre ordinateur est plus vulnérable aux attaques dont ce ransomware.

Sous Mac, il vous suffit d'aller sur l'App Store d'Apple.

 

2. Mettre à jour vos programmes et vos plugins

On ne vous le dira jamais assez gardez vos programmes à jour.
Pourquoi me direz-vous ? Et bien, pour plusieurs raisons :
- la principale : Chaque programme contient des failles et celles-ci sont corrigées au fur et à mesure par leur fabricant. Ainsi, un programme à jour contient moins de failles et le virus a donc moins de chance de pouvoir s'exécuter et de mettre la pagaille dans votre ordinateur
- la deuxième : Si vous gardez vos programmes à jour, vous éviterez les problèmes de compatibilité qui se produiraient un jour ou l'autre.
- Ensuite, on citera aussi : la stabilité des programmes et les nouvelles fonctionnalités mais on s'égare du sujet.

Pour mettre à jour vos programmes, vous avez plusieurs solutions :
- Utiliser le système de mise à jour de vos programmes (quand ce système existe)
- Télécharger la dernière version de chaque programme sur le site du fabricant (ou sur clubic.com qui est un site de téléchargement légal très connu et donc fiable)

Pour mettre à jour vos plugins, voici les liens officiels de téléchargement :
- Adobe Flash
- Java
- Microsoft Silverlight
- Adobe Reader

 

3. Mettre à jour son pare-feu et son antivirus

Pour vous protéger des derniers virus, espion, ransomware et autres malwares, il est très important que votre anti-virus soit à jour.
Quand on parle "d'antivirus à jour", on parle aussi bien de la version de votre anti virus que de la version de la base de données des virus (aussi appelée : base virale VPS par Avast notamment). Il est évident que les antivirus crackés sont à proscrire.

 

4. Faire des scans antivirus et antimalware

Pour les même raisons que la mise à jour des programmes, nous vous recommandons d'effectuer des scans antivirus et antimalware avec : Rogue Killer, Malwarebytes Anti-Malware (gratuit ou payant) puis avec votre antivirus.
ATTENTION : ne lancez pas Rogue Killer et Malwarebytes Anti-Malware en même temps. Ce sont des outils de scan qui peuvent être installés et utilisés en plus de votre antivirus mais ces 2 programmes n'aiment pas être lancés simultanément.

Les raisons pour lesquels nous vous recommandons d'effectuer ces scans sont simples :
Si votre ordinateur est infecté par un virus ou un trojan ou pire : un bot. Votre ordinateur risque de recevoir automatiquement ce ransomware sans votre consentement (le principe d'un virus, en fait). Il est même possible vous propagiez le ransomware sans le savoir er cela mettrais donc aussi vos proches et vos relations professionnelles en danger.

 

5. Acheter et installer Malwarebytes Anti-Malware Premium

Nous n’avons pas l'habitude de proposer des logiciels payants aux particuliers (ou alors nous nous efforçons de proposer des alternatives gratuites quand cela est possible) mais cette fois-ci, l'achat de ce programme de sécurité pourra vous protéger de ce ransomware et donc il pourra vous éviter de perdre vos données (car, rappelons-le, vos données seront cryptées par ce virus et il vous sera impossible de les décrypter sans la clé privée stockée sur le serveur du pirate.).
La version payante du programme pourra vous protéger de ce virus grâce à sa protection en temps réel qui n'est pas présente dans la version gratuite.

Note :
- Si vous avez déjà acheté Malwarebytes Anti-Malware Pro (la version 1 payante), nous vous recommandons d'installer la nouvelle version (la version 2 : Premium). Votre numéro de série est identique pour la nouvelle version de Malwarebytes Anti-Malware.
- Si vous installez la version Premium de Malwarebytes Anti-Malware, nous vous conseillons de l'ajouter dans les exclusions de votre antivirus. A l'inverse, il est aussi conseillé d'ajouter votre antivirus dans les exclusions de Malwarebytes Anti-Malware.

Comme vous pouvez le voir, la protection en temps réel de la version payante de Malwarebytes Anti-Malware détecte ce ransomware et empêchera son installation.

Source : forums.malwarebytes.org

 

6. Protégez-vous des failles grâce à Malwarebytes Anti-Exploit

Maintenant que votre système d'exploitation (Windows ou Mac) et vos programmes sont à jour, nous allons protéger vos navigateurs web (Mozilla Firefox, Google Chrome, ...) ainsi que d'autres programmes dont la suite office de Microsoft grâce au programme Malwarebytes Anti-Exploit qui est donc du même fabricant que l'antimalware.

Comme l'indique le nom de ce programme, celui-ci vous permettra de vous protéger des failles de ces programmes. Ainsi, lorsqu'un site malveillant tentera d'installer son virus sur votre ordinateur, Malwarebytes Anti-Exploit l'empêchera de s'installer er cela pourra vous éviter d'avoir ce ransomware sur votre ordinateur. Pour ce qui concerne la protection de vos navigateurs web, ce programme est capable de bloquer les exploits utilisant des plugins utilisés par vos navigateurs comme : Adobe Flash, Microsoft Silverlight ou encore Java.
Pour information, le virus E-cops utilisait une faille présente dans Java.

 

7. Faire attention à ce que vous faites sur Internet

Tous les informaticiens et les magasins d'informatique vous le diront : le meilleur antivirus, c'est vous.
Effectivement, dans la plupart des cas, il est possible d'éviter de télécharger ces virus.

Voici quelques exemples :
- vous recevez un message suspect. Un message en anglais d'un expéditeur qui vous est inconnu. Ou encore, une réponse (RE : quelque chose) à un mail que vous n'avez pas envoyé. C'est bien évidemment un spam et / ou un message qui contient un virus en pièce jointe. Pour rappel : Le "Crypto Locker" viendrait aussi par mail au format zip ou pdf.
- un site vous affiche un message du genre "Votre pc est infecté. Télécharger ce programme pour supprimer ces virus" ou "xx erreurs été trouvées sur votre ordinateur". Ce genre de publicité vous fera télécharger un programme qui ira supprimer n'importe quoi, qui plantera votre ordinateur et qui installera un ou plusieurs virus sur votre ordinateur. Parfois, certains de ces programmes se font même passer pour des antivirus. Ce sont bien évidemment de faux antivirus.
- Les sites de téléchargement illégaux et les sites pour adultes sont aussi une source de virus. Dans certains cas, le virus E-cops avait été téléchargé sur l'ordinateur à partir d'un site pour adultes sans le consentement de son utilisateur.

 

8. Faire des sauvegardes de vos données sur un disque dur externe

En effet, une fois cryptées, vos données seront perdues pour plusieurs raisons :
- Trouver la clé privée en mode "brute-force" n'est pas réaliste vu la longueur de cette clé de cryptage.
- Payer la raison ne vous servira à rien car le pirate ne vous enverra pas cette clé privée. Ça ne leur servirait à rien et ils risqueraient de se faire arrêter pour rien
- Aucun programme antivirus ou autre ne pourra décrypter vos données sans cette clé. C'est impossible et ce n'est pas leur but non plus.

La solution consiste donc à faire des sauvegardes de vos données sur un disque dur Externe. Ainsi, si le virus arrive un jour sur votre ordinateur, vous aurez une copie de vos données, et vous n'aurez donc rien perdu.
Note : Evidemment, il conseillé de ne pas laisser votre disque dur externe branché tout le temps. Si celui-ci est toujours branché lorsque le virus arrive, il risque de contaminer vos sauvegardes.

Si vous êtes un particulier, vous pouvez utiliser "Cobian Backup pour Windows".
Si vous êtes un professionnel, vous pouvez utiliser les solutions d'Acronis comme "Acronis Backup & Recovery" ou "Acronis True Image".

 

9. Bloquer l'exécution de fichier exe dans le dossier %AppData%

Compatibilité : Windows XP Pro et Windows Vista / 7 / 8 Professionnel minimum.

Pour finir, vous pouvez aussi interdire l'exécution de programmes exécutables (.exe) dans le dossier "%AppData%" ainsi que dans ses sous-dossiers.
Note : Ce ransomware se trouve toujours dans ce dossier ou un dossier de ce dossier avec un nom aléatoire.

Pour effectuer cette restriction, lancez le programme "gpedit.msc" via le menu démarrer -> Exécuter ou via le menu démarrer et tapez "gpedit.msc" dans la case de recherche.

Une fenêtre nommé "Editeur de stratégie de groupe locale" va s'afficher. Dans cette fenêtre, allez dans : Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité.
Puis, faites un clic droit sur "Stratégies de restriction logicielle" et cliquez sur "Nouvelles stratégies de restriction logicielle.

Note : Pour en savoir plus sur la restriction logicielle, référez-vous au site de Microsoft.

Ensuite, allez dans "Règles supplémentaires". Faites un clic droit dans la partie droite et cliquez sur "Nouvelle règle de chemin d'accès".

Dans cette fenêtre indiquez les informations suivantes :
- Chemin d'accès : %AppData%\*.exe
- Niveau de sécurité : Non autorisé (ce qui permet de bloquer l'exécution du programme quel que soit les droits de l'utilisateur) ou rejeté sous Windows XP
- Description : Ne pas autoriser les fichiers exécutables depuis le dossier %AppData%

Ensuite, faites la même chose pour bloquer les exe présents dans un sous-dossier du dossier %AppData% :
- Chemin d'accès : %AppData%\*\*.exe
- Niveau de sécurité : Non autorisé ou rejeté sous Windows XP
- Description : Ne pas autoriser les fichiers exécutables depuis un sous-dossier de %AppData%. Les sous sous-dossiers ne sont pas concernés par cette restriction.

Pour finir, vous devez appliquer les règles suivantes en lançant la commande "gpupdate" dans l'invite de commandes (cmd.exe) puis redémarrer votre ordinateur.

Maintenant, accédez au dossier "%AppData%", copiez un programme portable à l'intérieur (par exemple, le bloc-notes : C:\Windows\notepad.exe) et tentez de le lancer.
Si tout se passe bien, un message d'erreur devrait s'afficher et le programme ne se lancera pas.

Tentez de lancer ce même programme dans un des dossiers présents dans le dossier "%AppData%".

Et pour vous montrez que ces manipulation fonctionnent aussi sous Windows XP, voici son message d'erreur.