Malheureusement, il n'existe pas de « solution miracle » qui permet de contrer parfaitement la menace des rançongiciels. Les algorithmes composant les malwares seront toujours en avance par rapport aux bases de menaces des antivirus que nous connaissons.

1. Attaque massive de cryptolocker
Le risque d’attaque de logiciels malveillants, en particulier de rançongiciel – ransomware, a connu une
croissance exponentielle au cours de ces dernières années, et plus particulièrement au cours de ces
derniers mois. Ceci peut s’expliquer par un accroissement constant du trafic de mails, plus 6% chaque
année environ, qui atteint de nos jours environ 90 mails professionnels en moyenne. Une mine d’or
pour les pirates.
Un autre facteur de cette croissance se trouve dans les nouvelles monnaies virtuelles. Lors de
l’apparition des premiers cryptolockers, le paiement se faisait via virement bancaire, quelque chose
de très facilement traçable. Les pirates se montraient donc frileux quand à l’utilisation de ce type de
virus. Avec l’émergence des monnaies virtuelles, comme le bitcoin, ce dernier problème de taille se
voit résolu. Le paiement est désormais intraçable, et cette transaction n’est plus qu’un échange de
bits, parmi tant d’autres.
Cela signifie que nous serons sûrement tous confrontés à un rançongiciel, nous devons rester vigilants
sur les mails et pièces jointes que nous ouvrons.
Typologie des rançongiciels, appelé ransomware
Un rançongiciel est un logiciel malveillant qui prend en otage des données personnelles.
Un rançongiciel se propage de la même manière qu’un cheval de Troie : il pénètre le système via des
failles dans les systèmes d’exploitations ou par des campagnes d’emails malicieux.
Nous distinguons deux types de rançongiciels, ceux qui utilisent une clé de chiffrement et ceux qui
n’en utilisent pas.
Le rançongiciel utilisant la technique de chiffrement se base sur le principe de clé privée / clé publique.
Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire
d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. Ainsi, sans la clé privée,
en possession de l’auteur du malware, il est impossible de déchiffrer les données précédemment
cryptées par le pirate.
Le rançongiciel n’utilisant pas de chiffrement utilise une simple application qui va restreindre toute
interaction avec le système, habituellement en changeant l’extension par défaut dans la base de
registre Windows7, ou même en changeant le Master Boot Record (MBR), pour empêcher le système
d’exploitation de démarrer tant qu’il n’a pas été réparé. Ce type de rançongiciel utilise des méthodes
basées sur la peur pour forcer l’utilisateur à payer pour le rétablissement de ses données. La charge
active du virus peut, par exemple, afficher une alerte à l’utilisateur, faussement issue d’une agence
gouvernementale qui avertit l’utilisateur que son système a été pris à partie par un pirate informatique.
Il aurait effectué des actions illégales ou bien aurait stocké des contenus illégaux comme des contenus
pornographiques ou des logiciels piratés. Ce type de malware est connu sous le nom de « virus
gendarmerie nationale ».

2. Pour éviter le rançongiciel d’abuser de nos réseaux, plusieurs couches de protection sont nécessaires
pour une couverture partielle.
Technique d’atténuation
Un des premiers axes que nous pourrions envisager pour se prémunir d’un rançongiciel est de se
doter d’un antivirus disposant de contrôle web, pare-feu et de filtre antispam. Correctement configuré
et installé il pourra contribuer à la défense du système contre les abus de logiciels malveillants.
Cela étant dit, tous les antivirus ne sont pas créés de la même manière. Les principaux antivirus du
marché se concentrent sur des fichiers et comparent alors la signature virale du virus aux codes à
vérifier. Cette technique a perdu de son efficacité contre les logiciels malveillants. Investir dans un
antivirus de nouvelle génération, qui ne repose par sur les signatures, mais plutôt fondé sur
l’apprentissage automatique et les lieux d’attaque communs, aide à obtenir un taux plus élevé de
détection.
Cependant, même si vous disposez d’un antivirus nouvelle génération, il ne sera pas toujours en
mesure de vous protéger contre un rançongiciel.
Technique de détection
En voyant que notre premier axe ne se montre pas complet, envisageons une nouvelle approche.
Il existe des solutions qui détermineront si une violation de vos systèmes est en cours. Elles sont
conçues pour détecter les menaces qui contournent les systèmes de protection classiques comme
les logiciels de sécurité endpoint dont font parties les antivirus. Ils émettent une alerte lorsqu’une
attaque est détectée. Cela se fait passivement par la mise en place d’une surveillance du flux réseau
comme les centres de supervision de sécurité (SOC).
Restez tout de même sur vos gardes, cette technologie n’est pas en mesure de contrer directement
les menaces, mais avertit de manière proactive d’une attaque actuellement en cours. Elle permet de
limiter la propagation de la menace et donne une vision globale de ce qui aurait été manqué par les
technologies endpoint.

3. Malheureusement, il n’existe pas de « solution miracle » qui permet de contrer parfaitement la menace
des rançongiciels. Les algorithmes composant les malwares seront toujours en avance par rapport
aux bases de menaces des antivirus que nous connaissons. La surveillance via les outils prévus à cet
effet est encore le meilleur moyen de faire face à la menace. Cela requiert une grande réactivité dans
le cas où l’attaque se déroule concrètement, tôt en prenant en compte que l’alerte émanant de la
menace peut se perdre au milieu de flux de données si nous ne nous montrons pas assez vigilants.
Alors certes, une conclusion possible serait de ne pas cliquer sur les liens douteux dans les mails, de
ne pas permettre à ces cryptolockers d’accéder à notre système… mais comme on dit, l’erreur est
humaine. Une piste reste encore envisageable, celle de l’analyse comportementale…
Liens :
https://www.reveelium.com/fr/massive-cryptolocker-attack/
https://www.itrust.fr/attaque-massive-cryptolocker