Les rançongiciels

Numéro : IN13-004
Date : Le 06 août 2013

Public cible

Le présent document vise à fournir aux lecteurs des renseignements et des directives concernant les rançongiciels. Il donne aussi des conseils relatifs aux mesures d'atténuation qui peuvent réduire les risques associés à cette menace.

Description

Un rançongiciel, (ou épouvantiel ou rogue) est un type de logiciel malveillant (maliciel) qui infecte un ordinateur et le verrouille jusqu’à ce qu’une rançon soit payée pour le faire déverrouiller. Il tente d’extorquer de l’argent des victimes au moyen d’un message affiché à l’écran qui indique que l’ordinateur a été verrouillé et que tous les fichiers ont été chiffrés, et demande le paiement d’une rançon pour rétablir l’accès.

Les victimes signalent avoir reçu un message d’alerte affirmant qu’une licence logicielle est périmée ou un faux message antivirus qui indique que l’ordinateur est infecté et présente un bouton pour corriger le problème. Ce type de maliciel est particulièrement efficace puisqu’il utilise la peur ou la panique pour inciter l’utilisateur à cliquer sur le lien, ce qui permet d’infecter son ordinateur. De même, le sentiment de panique incite l’utilisateur à payer rapidement la rançon pour rétablir l’accès à son ordinateur.

Même lorsque l’utilisateur paie la rançon, il n’est pas garanti que les fichiers seront rétablis; cela garantit seulement que les criminels reçoivent votre argent (et peut-être aussi vos renseignements bancaires). Les rançongiciels ne ciblent pas seulement les particuliers : des entreprises ont aussi été victimes et ont perdu les frais engagés pour faire rétablir leurs systèmes. On signale que cette arnaque est très profitable, rapportant plus de cinq millions de dollars par année aux criminels.Footnote 1

Des exemples de rançongiciels qui ont touché des Canadiens figurent à l’annexe.

Méthodes d’infection

Les rançongiciels peuvent infecter les utilisateurs de diverses manières. Les cybercriminels ont adapté leurs méthodes et achètent maintenant des publicités sur les sites Web, souvent sur les sites pornographiques ou de jeux. Lorsqu’un utilisateur clique sur une fenêtre contextuelle de publicité, ils se font redirigé vers une trousse d’exploitation qui infecte leur ordinateur avec un rançongiel ou d’autres maliciels. Les trousses d’exploitation utilisées comprennent Blackhole, Cool EK et neutrino. De plus, les criminels ciblent non seulement Windows, mais aussi les Macintosh et les appareils mobiles.

Parmi les anciennes méthodes d’infection, mentionnons les pièces jointes malveillantes de courriels, les supports amovibles, les médias sociaux, ainsi que les sites Web contaminés qui effectuent des téléchargements furtifs. Un téléchargement furtif se produit lorsqu’un utilisateur visite un site Web infecté qui télécharge et installe furtivement des logiciels malveillants.

Recommandations

Voici quelques mesures que vous pouvez prendre pour réduire le risque d’infection et pour faciliter la reprise en cas d’infection :

Reprise

La reprise après l’infection par un rançongiciel peut être difficile et peut exiger de se tourner vers un expert en récupération de données. Veuillez noter que le paiement de « l’amende » ou de la « rançon » au criminel n’assurera pas la récupération ou le déchiffrement de vos données. Le but des criminels est simplement d’obtenir votre argent.

Une fois que la suppression du maliciel est confirmée, modifiez les mots de passe de tous les comptes utilisés sur l’ordinateur qui était infecté. Cela comprend, entre autres :

Si vous avez déjà payé la rançon, avisez-en votre institution financière et les autorités policières locales. Vous pouvez aussi communiquer avec le Centre antifraude du Canada.
http://www.antifraudcentre-centreantifraude.ca/
info@centreantifraude.ca
1-888-495-8501

Conclusion

Les rançongiciels extorquent chaque année des millions de dollars à leurs victimes. Les utilisateurs peuvent se protéger en s’assurant de tenir à jour leur système d’exploitation et leurs applications, d’installer un logiciel antivirus d’un fournisseur de confiance et de sauvegarder régulièrement leurs données. L’utilisateur est ainsi en mesure de rétablir plus rapidement son ordinateur en cas d’infection.

Annexe

Reveton
Cette variante de rançongiciel, aussi connu sous le nom « Police Trojan », verrouille l'ordinateur et affiche un message qui prétend provenir de l'agence d'exécution de la loi du pays de la victime et affirme que l'ordinateur a été utilisé à des fins illégales (par exemple, pornographie juvénile, téléchargement de logiciels piratés).

L'avertissement affirme que pour débloquer l'ordinateur et éviter de faire face à des accusations criminelles, l'utilisateur doit payer une amende au moyen d'un coupon en ligne (Paysafecard, MoneyPak, Ukash, etc.). Les criminels utilisent divers moyens pour que le message semble authentique : géolocalisation, logo de l'agence d'exécution de la loi, image provenant de la caméra Web de l'ordinateur, affichage de l'adresse IP, dans le but de faire croire qu'ils surveillent l'utilisateur et qu'ils enregistrent ses activités afin de lui faire peut et de l'inciter à payer la rançon.

Les criminels ont ainsi utilisé les logos d'organismes légitimes (Association canadienne des policiers, Gendarmerie royale du Canada [GRC], Sécurité publique Canada, Service canadien de renseignement de sécurité [SCRS]), ainsi que d'organismes non légitimes (par exemple, « Agence d'enquêtes sur les cybercrimes »). Le site suivant présente des images types qui ont été utilisées : https://www.botnets.fr/index.php/Landings_CA

Remarque : Un ordinateur infecté par Reveton se branche à un serveur de commande et de contrôle géré par les criminels afin de recevoir d'autres commandes. Cela permet au maliciel de s'adapter facilement et même pour maintenir l'infection de l'ordinateur bien après le paiement de la rançon. Il peut aussi tourner en arrière-plan et installer des enregistreurs de frappe pour saisir les renseignements personnels et les mots de passe de l'utilisateur.

Urausy

Tout comme Reveton, Urausy utilise des symboles d'agences d'exécution de la loi pour faire peur à la victime et l'inciter à payer l'amende. Il s'installe toutefois de manière différente, principalement au moyen de trousses d'exploitation (p. ex., Blackhole) qui exploitent des vulnérabilités non corrigées des navigateurs Web populaires pour installer des maliciels.

Le site suivant présente des images types qui ont été utilisées : https://www.botnets.fr/index.php/Urausy

Appareils mobiles

Les rançongiciels se propagent maintenant sur les appareils mobiles. Toutefois, ces variantes ne verrouillent normalement pas l'appareil mobile et ne demandent pas une rançon pour le débloquer comme sur un ordinateur personnel. Elles se font plutôt passer pour une application antivirus et prétendent que l'appareil est infecté, avant de demander que la victime paie pour faire corriger le problème.

Les victimes peuvent faire l'objet d'une infection en téléchargeant et en installant des applications de sources tierces non fiables. Après l'installation, le logiciel affiche un message, conçu pour ressembler à un message antivirus, qui affirme que l'appareil est infecté et demandant à l'utilisateur de toucher un bouton pour corriger le problème. Lorsque l'utilisateur touche le bouton, ou ailleurs dans l'écran, le message ne se ferme pas et ne permet pas à l'utilisateur d'effectuer d'autres fonctions sur l'appareil. Le maliciel peut même faire planter l'appareil en raison de problèmes de compatibilité si l'utilisateur clique sur le bouton d'accueil. Au redémarrage, le message s'affiche de nouveau et bloque l'accès aux autres applications, ce qui rend difficile de désinstaller l'application malveillante. La reprise peut s'avérer complexe et exiger la réinitialisation de l'appareil ou l'intervention d'un expert.

Winlock

Winlock, un rançongiciel qui n'utilise pas le chiffrement, était courant en Russie il y a quelques années et a fini par arriver en Amérique du Nord. Il bloquait l'accès à l'ordinateur et affichait un message d'avertissement contenant des images pornographiques et exigeant que l'utilisateur envoie un message texte à supplément afin de recevoir un code permettant de déverrouiller l'ordinateur. Le coût du message texte était d'environ 10 $, et son envoi faisait disparaître les images et débloquer l'ordinateur. Par contre, l'avertissement réapparaissait quelques jours plus tard et demandait un nouveau paiement, démontrant que le maliciel n'avait pas été supprimé.

Activation de produit Microsoft Windows

Les rançongiciels ont ensuite évolué pour utiliser les messages d'activation de Microsoft Windows. Ce type de rançongiciel n'utilisait pas le chiffrement, mais bloquait l'accès à l'ordinateur et affichait un message indiquant que Windows devait être réactivé en raison de fraude. L'utilisateur devait appeler un numéro international pour obtenir un code de six chiffres, mais il était redirigé par l'entremise d'un standardiste rogue et mis en attente, entraînant d'importants frais d'interurbain.

Rançongiciels utilisant le chiffrement

Ces rançongiciels bloquent l'accès à l'ordinateur, chiffrent les fichiers ou les lecteurs de l'utilisateur, y compris des documents d'affaires, et exigent un paiement. La reprise après une telle infection s'avère particulièrement difficile, puisque les fichiers demeurent souvent chiffrés après la suppression du maliciel. Parfois, la seule solution est de récupérer les données à partir d'une sauvegarde.

Références

 

Footnotes

  1. 1

    http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :