La centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a reçu plusieurs annonces témoignant d'une recrudescence d'infections avec un maliciel de type « cryptolocker ». Ce dernier semble notamment se propager à travers des E-mails contenant des pièces jointes malicieuses, ou suite à la visite par l'Internaute de pages web compromises (drive-by download). Il se peut également que cryptolocker soit installé par un maliciel ayant déjà préalablement pénétré le système sans être repéré. Une fois installé, le maliciel va crypter les fichiers présents sur la machine de l'utilisateur (tels que des fichiers excel ou word par exemple). La victime verra ensuite un message s'afficher sur son écran. Dans ce dernier, les criminels exigent le paiement d'une somme d'argent dans un laps de temps donné en échange de la clé de décryptage permettant de récupérer les données.
13.11.2013 - La centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a reçu plusieurs annonces témoignant d’une recrudescence d’infections avec un maliciel de type « cryptolocker ».
De nombreux antivirus permettent de repérer et détruire le maliciel, mais il est souvent déjà trop tard, les fichiers se trouvant sur la machine ayant déjà été cryptés. Le problème principal n'est donc pas de se débarrasser du maliciel, mais bien de réaccéder à ses données. A l'heure actuelle, aucune méthode ne semble pouvoir permettre de récupérer à coup sûr les fichiers préalablement cryptés sans la clé unique à disposition des malfaiteurs. MELANI déconseille tout de même de céder aux demandes des criminels et d'effectuer un paiement. Aucune garantie n'existe en effet que ces derniers respecteront leur engagement et enverront réellement à la victime la clé lui permettant de récupérer ses données.
C'est pourquoi, face à ce type de maliciels, il convient de rappeler quelques règles de prévention qui limitent les risques d'en être victime, et de perdre des données importantes :
- Veillez à effectuer des sauvegardes régulières de vos données importantes sur un support externe, qui sera connecté à l'ordinateur uniquement lors de la sauvegarde des données
- Il convient de toujours garder à jour son système d'exploitation et toutes les applications (telles que Adobe Reader, Adobe Flash, Sun Java etc.) installées sur sa machine, de manière automatique lorsque cela est possible
- Un antivirus à jour doit toujours être installé sur sa machine
- Un pare-feu (firewall) personnel doit être installé et à jour
- Il convient toujours d'être extrêmement prudent en présence de courriels suspects, inattendus ou provenant d'un expéditeur inconnu : ne suivez pas les recommandations figurant dans le texte, ne suivez pas les liens indiqués et n'ouvrez pas les documents attachés,
Vous retrouvez ces conseils avec plus de détails sur la page web de MELANI consacrée aux moyens de protection : «Comment se protéger?»
En cas d'infection avérée il est recommandé de déconnecter immédiatement l'ordinateur de tout autre réseau ou système. Une désinfection de la machine est bien entendu nécessaire. En règle générale, une réinstallation du système et un changement de tous les mots de passes sont des mesures recommandées. Ces manipulations peuvent être réalisées avec le concours d'un spécialiste en informatique. Une fois ces mesures prises, il sera possible de restaurer les données à partir de copies de sauvegardes si ces dernières existent.
MELANI, d'entente avec les fournisseurs d'accès à Internet suisses, a déjà pris des mesures en vue de réduire la menace posée par cryptolocker.
Dernière modification 13.11.2013
