Vous n'aimez pas être pris en otage? Nous non plus, et pourtant des petits malins s'amusent depuis plusieurs années à réclamer de l'argent contre le déblocage de l'ordinateur suite à l'installation d'un malware. Autrefois baptisé "virus gendarmerie", le rançongiciel (ransomware) a depuis évolué et constitue maintenant un véritable danger pour les fichiers personnels, notamment pour les entreprises.
LA RECETTE DES RANSOMWARE: DE REVETON À CRYPTOWALL

Le virus gendarmerie doit son surnom à son écran de bord, qui reprend sans vergogne le logo de la gendarmerie nationale pour indiquer à la personne infectée qu'elle doit payer une amende suite à une infraction détectée sur l'ordinateur. Vous connaissez peut-être déjà la rengaine, depuis 2011 ce malware a semé la pagaille dans toute l'Europe et même plus, avec des variantes déclinées par pays et par institutions (les SACEM, Hadopi, Police, FBI...), mais reposant à chaque fois sur le principe de "tu payes ou on te bloque".
Les premières malwares étaient les plus rentables mais aussi les plus rudimentaires: Après avoir infecté une machine, Reventon et son engeance pouvait masquer les fichiers d'un ordinateur et empêcher l'utilisateur d'effectuer des tâches les plus sommaires. Seule la possibilité de payer une rançon était intégrée au logiciel qui s'ouvrait dès l'allumage de l'ordinateur, une somme relativement basse mais sans assurance qu'elle permette de retrouver un système sain.
Reveton ou le virus gendarmerie
Ce "Reveton" du diable a eu au moins le mérite de rendre riche de nombreux escrocs d'Europe de l'Est, où furent localisés la plupart des centres de commande. Dans chaque pays concernés, des autochtones se sont consacrés à cette forme de chantage et ont adaptés le malware (vendus sur le marché noir plusieurs centaines de dollars minimum) pendant plusieurs mois, jusqu'à ce que les fabricants d'antivirus et antimalware ne commencent à sortir leur propre contre-mesure. Le virus gendarmerie n'était plus vraiment une menace pour les initiés, juste un impondérable que l'on pouvait éradiquer...
Cryptolocker
Malheureusement, les choses n'allaient pas s'arrêter là, puisque le très célèbre Cryptolocker allait défrayer la chronique. Ce ransomware très élaboré et surtout impitoyable peut chiffrer entièrement les fichiers d'un ordinateur sans laisser d'autre choix à la victime que de payer une rançon, beaucoup plus élevée, sous peine de perdre définitivement l'accès à ses documents privés. Cryptolocker est encore considéré comme une menace sérieuse (Un de ses contributeurs est activement recherché), même s'il a été grandement affaibli depuis la parution de solutions de prévention et de réparation, mais nous y reviendrons plus tard.
CTB-Locker
En 2014, de nouveaux ransomwares arrivent en scène: Cryptowall et CTB-Locker. Le premier est une "amélioration" de Cryptolocker, tandis que le second utilise de nouveaux mécanismes de confidentialité (le réseau TOR est utilisé pour les communications par exemple). Ces deux derniers malware réclament des Bitcoins pour libérer les fichiers, monnaie virtuelle qui garantit l'anonymat aux bénéficiaires de l'arnaque. Seul problème, les victimes doivent alors composer avec un logiciel très technique et une devise qui n'est pas encore connue de tous, et préfèrent abandonner devant l'ampleur de la tâche, même si une assistance par messagerie instantanée a été implémentée...
PRÉVENTION ET RÉPARATION DE CES RANSOMWARES

Depuis Reveton et les efforts déployés pour le contrer, peu d'avancée significative en matière de réparation a été effectuée. Il n'existe à ce jour aucun logiciel pouvant nettoyer un ordinateur infecté ou de solutions annexes pour récupérer les fichiers cryptés. En revanche, il existe des moyens de prévention efficaces et des manières de récupérer quelques, si ce n'est l'intégralité des documents bloqués.
Les premiers rançongiciels ont été pris en charge et quasiment tous les antivirus et logiciels antimalware parviennent à contrer ses effets. En matière de désinfection, il existe des outils spécifiques mis à disposition de tous, mais généralement une bonne application de MalwareBytes suffit à s'en débarrasser.
Les malware suivants se montrent eux beaucoup plus problématiques. Il n'y a pour ainsi dire aucune solution logicielle et il faudra avant tout se montrer prévoyant et un peu chanceux...Voici quelques solutions pour se prémunir contre ces malware et essayer de réparer les dégâts...
-Sauvegarder ses données régulièrement. Si vous sauvegardez régulièrement vos fichiers, vous pourrez les récupérer n'importe quand et surtout ne plus avoir peur de les perdre par inadvertance. Outre les logiciels de sauvegarde existant, vous pouvez également procéder à des synchronisations avec votre espace Cloud et éparpiller vos documents sensibles à plusieurs endroits.
-Restaurez votre système: En cas d'infection, vous pouvez éventuellement et si elle est activée procéder à une restauration du système. Cela n'est pas garanti et vous n'êtes pas sûr de récupérer les fichiers récents mais cette solution reste la plus efficace dans la plupart des cas constatés.
Le site qui déchiffre les fichiers cryptés par Cryptolocker
-Utilisez Shadow Explorer pour récupérer des fichiers effacés. Ce logiciel se substitue à la fonctionnalité "versions précédentes" de Windows 7 ou 8 et permet de récupérer un à un des fichiers ou des dossiers. A utiliser juste après l'infection au risque de perdre de précieuses données.
-Vaccinez votre ordinateur. Ces malwares une fois téléchargés se lancent dans certains dossiers du système. Un logiciel comme Cryptoprevent empêche l'exécution de programmes dans certains dossiers clé, empêchant toute intrusion. Il est possible d'effectuer cette manipulation manuellement, mais Cryptoprevent est beaucoup plus pratique et se montre aussi très souple.
Sur Youtube et sur le net, beaucoup de sites montrent comment retirer les ransomware sans pouvoir récupérer ses fichiers. Attention aux sites qui vous proposent une solution miracle, elle n'existe pas et aucune ne peut vous permettre de récupérer vos fichiers autrement qu'avec les méthodes évoquées ci-dessus.


Mise à jour 14/05/2018: Il existe maintenant beaucoup de protections contre les rançongiciels, mais cela ne doit pas vous éloigner des bonnes pratiques.