Crypto Locker : Un nouveau pas vers la professionnalisation des cyber-délinquants.

Crypto Locker est un malware qui fait partie de la famille des ransomware. La particularité de ce type de malware est de rompre l’accessibilité d’une partie ou de l’ensemble des données  de la machine infectée et de demander un paiement (une rançon) en échange du retour à l’accessibilité des données

Les particularités de Crypto Locker :

  • Le vecteur d’infection reste classique via mail (pièce jointe) ou web (kit d’exploitation).
  • Une fois compromise, la machine chiffre la quasi-totalité des documents de l’utilisateur.
  • Crypto Locker affiche une fenêtre avec un compte à rebours pour indiquer combien de temps il reste à la victime pour payer la rançon. Passé ce délai, la clé de chiffrement est soi-disant détruite.

countdown

  • Différents moyens de paiements sont proposés dont bitcoin, qui est privilégié parce qu’il permet un meilleur niveau d’anonymisation.

Bitcoin

  • Après paiement, les fichiers sont bien déchiffrés et la victime récupère ses fichiers ! Par le passé, les cyber-délinquants se contentaient de récupérer la rançon et la machine était laissée en l’état.
  • Un service client est disponible sur le Dark net pour récupérer la clé privée et permettre le déchiffrement des données.
  •   Ceci montre que les hackers prennent en considération la « satisfaction du client », ce qui caractérise leur évolution vers une forte professionnalisation.

 

Limitation des risques

Prévention :

  • Maintenir son environnement à jour pour limiter le risque d’exploitation de vulnérabilités.
  • Etre très vigilant lorsque vous recevez une pièce jointe.  (même émanant d’une personne que vous connaissez). Surtout bien vérifier qu’il ne s’agit pas d’un exécutable maquillé avec une icône pdf ou docx, …
  • Pour la navigation web, l’utilisation de Firefox associée au module NoScript est recommandée. Permettant de ne pas autoriser JavaScript par défaut sur les sites web, ce module limite en effet considérablement les risques d’infection via « kit d’exploitation ».

Remédiation

  • disposer d’une solution antimalware.
  • Le moyen le plus sûr de pouvoir faire face à une problématique d’accessibilité des données est de disposer d’un moyen de sauvegarde/restauration. SafeSync est une solution de partage de fichiers qui permet de gérer l’historique de vos fichiers. Ainsi, même si vous êtes victime de ce type de malware, vous pourrez récupérer la version non chiffrée de vos données.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *