Locky, le «rançongiciel» qui cible les abonnés de Free

Cette arnaque exige une rançon contre la restitution de documents personnels. La dernière en date, Locky, touche actuellement les abonnés de Free.

000000008135Un hôpital de Los Angeles, le ministère français des Transports et dernièrement des abonnés de Free. Le «ransomware» («rançongiciel» en français), arnaque consistant à prendre en otage les données informatiques d’un utilisateur et de lui demander une rançon pour les débloquer, sème actuellement la pagaille auprès des particuliers, des entreprises et des institutions. En janvier, à quelques jours du Forum international de la cybersécurité, le ministère des Transports, et notamment la Direction générale de l’aviation civile, ont à leur tour été infectés par ce logiciel, comme l’a révélé le Canard enchaîné. Cette semaine, l’opérateur télécom Free a mis en garde ses abonnés, face à la prolifération de Locky, une variante de ce logiciel malveillant, qui cible spécifiquement ses clients. Le Figaro fait le point sur ces attaques informatiques.

Qu’est-ce qu’un «ransomware»?

L’arnaque dite «ransomware» (rançongiciel en français) consiste à bloquer vos fichiers informatiques et à vous réclamer pour une rançon pour les récupérer. Le blocage touche autant le disque interne, que tous les périphériques branchés (clé USB, disque dur externe…) et les réseaux partagés. Pour récupérer ces fichiers, le pirate exige une rançon, souvent en bitcoin, mais le paiement ne garantit souvent pas le déblocage des données.

Le rançongiciel opère de la même manière que le cheval de Troie, un virus pénétrant le système informatique via un mail, un site ou un programme compromis. Le phénomène peut prendre plusieurs formes. Le rançongiciel policier exige le paiement d’une amende à travers une fenêtre intempestive reprenant les logos officiels de la police et de la gendarmerie nationales. Le rançongiciel peut également prendre la forme d’une publicité: pour débloquer l’appareil, la victime est invitée à cliquer sur des publicités, faisant ainsi gagner de l’argent au pirate.

«Les logiciels de demande de rançon resteront une menace majeure, en croissance rapide en 2016», prévoit McAfee. L’éditeur d’antivirus estime que «les auteurs de ces campagnes pourraient se tourner vers certains secteurs industriels, dont la finance et les administrations publiques, qui n’auront d’autre choix que payer les rançons pour rétablir leurs services critiques». Au-delà des ransomware les plus répandus (CTB-Locker, CryptoWall, Teerac et CryptoLocker), de nouvelles variantes chiffrant les données de façon silencieuse pourraient émerger dès cette année. Ce lundi,le système OS X d’Apple a été affecté pour la première fois par un virus de ce type, causé par un ransomware semblable nommé KeRanger.

Qu’est-ce que Locky, le «rançongiciel» qui se propage en France?

Capture d'écran d'un mail malveillant

Depuis un mois, ce logiciel malveillant sévit principalement aux Etats-Unis, en France et en Allemagne. Selon l’éditeur d’antivirus Kaspersky, il en existe 60 variantes à ce jour. Depuis quelques jours, il cible plus particulièrement les abonnés de Free, lesquels reçoivent des mails contenant de fausses factures. Comme l’avertit l’opérateur: «Rédigés en français et émis par une adresse qui semble officielle [freemobile@free-mobile.fr, NDLR], ils invitent à l’ouverture d’une pièce jointe pour consulter une facture. […] L’ouverture du fichier exécute l’installation d’un logiciel malveillant (type ransomware Locky) venant infecter la machine, pouvant jusqu’à chiffrer vos données personnelles.» Ces mails sont reconnaissables par leur sujet, à savoir: «ATTN: Invoice J-XXXXXXX»

Qui a été victime de Locky

Les clients de Free ne sont pas les seules victimes de ce logiciel malveillant. Mi-février, Locky a paralysé le système informatique d’un hôpital situé à Los Angeles. Des données sensibles, relatives à plus de 900 patients, ont été dérobés ou rendus inaccessibles. Un incident qui a nécessité le transfert de certains patients dans d’autres établissements. Dans ces conditions, impossible de prodiguer les soins. Après une dizaine de jours, l’hôpital s’est résigné à verser 40 bitcoins (soit 17.000 de dollars) sur les 9000 bitcoins (3,5 millions de dollars) réclamés par les auteurs du piratage.

Comment se protéger de l’arnaque?

Dans un bulletin d’alerte du 19 février dernier, l’Agence nationale de la sécurité des systèmes d’information (ANSII) émet une série de précautions. Si vous ouvrez la pièce jointe ou le fichier ZIP, l’ANSII «recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés».

L’ANSII préconise aussi de ne pas donner suite à la demande de rançon. «Le versement de la rançon à l’attaquant ne garantit ni le déchiffrement des fichiers ni la sécurité des moyens de paiement utilisés. Il peut notamment entraîner l’installation de maliciels supplémentaires sur le poste utilisé», signalait-elle déjà en janvier 2015.

Que faire si vos documents sont touchés?

Il est possible de corriger le tir après une tentative d’arnaque à la rançon. Si votre ordinateur est infecté, et que vous avez réalisé des sauvegardes, il suffit alors de restaurer une version antérieure. Le redémarrage de Windows doit alors se faire en mode sans échec. Il convient, en plus, de désinfecter votre ordinateur, notamment au moyen de programmes anti-logiciels malveillants comme Malwarebytes ou Rogue Killer.

Dans certains cas, des solutions existent pour déchiffrer les données sur le disque dur, après le passage des rançongiciel, sans même réinitialiser son ordinateur. Il est ainsi possible de récupérer ses fichiers bloqués par CryptoLocker ou CryptoWall 3.0. Pour cela, des programmes (comme TeslaCrypt, édité par Cisco) permettent de décrypter les fichiers rendus illisibles par le ransomware. Il n’existe toutefois pas encore de solution pour éradiquer Locky.

http://www.lefigaro.fr/secteur/high-tech/2016/03/12/32001-20160312ARTFIG00014-locky-le-rancongiciel-qui-cible-les-abonnes-de-free.php

 

Comments are closed.