Un cryptovirus (crypto-verrouilleur, cryptolocker ou encrypting ransomware) est une classe de logiciel malveillant de type cheval de Troie, apparu en 2013. Ce type de virus se diffuse principalement via des emails infectés et tourne actuellement sous Windows, Android, MacOS, IOS et aussi sur Linux.
Une fois activé, il crypte les fichiers personnels de l'utilisateur via une clé RSA secrète. Cette clé est stockée sur un serveur pirate et le virus demande une rançon (souvent payable en bitcoins) pour fournir cette clé afin de pouvoir décrypter les données.
La demande de rançon s'accompagne sauvent d'un compte à rebours (de quelques heures à quelques jours) qui, une fois arrivé à zéro, supprime la clé de déchiffrage du serveur pirate.
Comment est-on infecté par un Cryptolocker ?
Ce type de virus est le plus souvent propagé par mail. Le pirate émet des mails en imitant ceux émis par des sociétés ou des administrations (sociétés de transport, des banques, la Poste, ...). Ces mails contiennent soit un document soit un lien vers un document que l'on vous demande d'ouvrir.
Si vous cliquez sur ce document ou sur ce lien, le virus est alors téléchargé sur votre ordinateur et va commencer son sinistre travail en tache de fond de façon imperceptible. Il va commencer par communiquer avec son serveur afin d'obtenir une clé de cryptage et dès qu'il l'aura reçu, Il va crypter les données présentes sur l'ordinateur, les disques réseau et USB auxquels il a accès.
Lorsqu'il aura terminé de crypter les données de votre ordinateur, le virus vous affichera une demande de rançon
Comment se protéger de ce type de virus
- Les correctifs de sécurité : Installez le plus régulièrement possible tous les correctifs de sécurité du système d’exploitation et des applications installées pour empêcher les malware d’utiliser des failles de sécurité présentes pour s’installer sur le PC.
- L'anti-virus : Installez les mises à jour de votre anti-virus afin que celui-ci soit capable de détecter les dernières menaces découvertes.
- Le Firewall : Installez les mises à jour de votre Firewall et vérifiez son paramétrage afin que celui-ci soit capable de bloquer les accès vers les serveurs utilisés par les pirates.
- L'anti-spam : Vérifiez que votre boîte mail est bien protégée par un logiciel anti-spam et que celui-ci est mis à jour.
- Faites régulièrement un backup de vos données et archivez ce backup en lieux sûr afin de pouvoir les restaurer en cas de perte de celle-ci.
- Appliquer quelques consignes de prudence élémentaires très efficaces
- Ne jamais ouvrir un courrier électronique suspect (sujet, langue, syntaxe, sans rapport avec votre activité) ou de provenance douteuse (expéditeur inconnu) ou dont l'adresse de l'expéditeur ne correspond pas au nom de la société qui est censée avoir expédié le mail (toutes les grosses sociétés ont leur propre serveur mail et n'utilisent jamais des adresses mail Gmail ou Hotmail pour communiquer).
- Ne jamais cliquer sur un lien web dans un courrier électronique non sollicité ou de provenance douteuse.
- Supprimer immédiatement chaque courrier électronique suspect ou de provenance douteuse.
- Ne jamais ouvrir un courrier électronique suspect (sujet, langue, syntaxe, sans rapport avec votre activité) ou de provenance douteuse (expéditeur inconnu) ou dont l'adresse de l'expéditeur ne correspond pas au nom de la société qui est censée avoir expédié le mail (toutes les grosses sociétés ont leur propre serveur mail et n'utilisent jamais des adresses mail Gmail ou Hotmail pour communiquer).
Que faire si mon ordinateur est infecté
- Déconnecter immédiatement les appareils infectés de tout réseau filaire ou WiFi : cela empêchera le Cryptolocker de communiquer avec son serveur et l'empêchera de se propager chez d'autres personnes à partir de votre ordinateur.
- Faite appel à un spécialiste qui pourra vous assister afin de nettoyer votre ordinateur et récupérer vos données. si néanmoins, vous souhaiter vous lancer vous-même dans cette longue opération, voici quelques étapes clé.
- Nettoyer les machines infectées avec un anti-virus à jour ou un outil de suppression de virus.
- Restaurer les données cryptées à partir du dernier backup valide.
- Si vous n'avez pas de backup de vos données.
- Il existe un certain nombre d'outils qui peuvent décrypter les données cryptées par un crypto-virus https://www.nomoreransom.org/decryption-tools.html malheureusement, ces outils ne permettent pas de décrypter tous les crypto-virus.
- En dernier recours, il reste la solution de payer la rançon, mais ici encore, il n'y a pas de garantie absolue que le pirate fournisse le programme de décryptage.
- Nettoyer les machines infectées avec un anti-virus à jour ou un outil de suppression de virus.