L’anatomie de Cryptolocker

Cryptolocker est une nouvelle variante du logiciel malveillant ransomware qui crypte divers fichiers sur l’ordinateur de l’utilisateur et demande au propriétaire de payer une rançon aux auteurs de ce logiciel malveillant en échange du décryptage de ses fichiers. Les fichiers affectés sont des documents, des images, des bases de données et bien d’autres fichiers.

Comment le reconnaître

Les fichiers de CryptoLocker se répandent principalement par le biais de faux emails visant à imiter l’apparence d’entreprises légitimes et à travers de faux avis de suivi provenant de FedEx et UPS.  En outre, des rapports ont signalé que certaines victimes ont vu ce logiciel malveillant se manifester après une infection à partir de l’un des botnets fréquemment exploités dans le monde de la cybercriminalité.

Il est facile de savoir si vous êtes victime de ce logiciel malveillant. Après un certain temps, la fenêtre suivante apparait sur votre écran. La fenêtre affiche la date et l’heure auxquelles la clé privée sera détruite et le temps restant avant sa destruction. Le délai proposé est d’environ 3 jours suivant l’infection (entre 70-80 heures).

cryptolocker

Les cybercriminels prétendent garder la seule copie de la clé de décryptage sur leur(s) serveur(s), insinuant qu’elle n’est pas enregistrée sur votre ordinateur, et que vous ne pourrez pas décrypter vos fichiers sans leur aide – une aide qui coûte 300 EUR / USD ou deux Bitcoin.

cryptolock1

cryptolock2

cryptolock3

cryptolock4

Ce qu’il fait

Ce logiciels malveillants parcourt tous les disques durs, les lecteurs réseau, les lecteurs USB et même les unités de stockage en ligne, et identifie les fichiers qu’il peut chiffrer.

Voici la liste complète des extensions de fichiers que Cryptolocker cherche à chiffrer : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx.

Une fois les fichiers cryptés, Cryptolocker contacte les serveurs de commande et y stocke la clé privée asymétrique utilisée pour crypter les fichiers.

Pour vous connecter à ces serveurs, Cryptolocker utilise un algorithme de génération de domaines qui crée chaque jour des noms de domaines uniques. C’est la raison pour laquelle il est très difficile de voir le logiciel malveillant en action. Il doit d’abord se connecter à un serveur et ce n’est qu’après qu’il commence le cryptage des fichiers.

Les fichiers sont chiffrés en utilisant le chiffrement asymétrique. Le chiffrement asymétrique utilise deux clés différentes pour crypter et décrypter les messages. Le chiffrement asymétrique est une forme plus sécurisée de chiffrement car une seule partie connait la clé privée, alors que les deux parties connaissent la clé publique.

Pour maximiser le taux de réussite, le logiciel malveillant écrit des clés de registre qui permettent à l’ordinateur d’exécuter les fichiers malveillants à chaque redémarrage.

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker”

KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “CryptoLocker_<version_number>”

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “*CryptoLocker_<version_number”

Détection

La bonne nouvelle est que Cryptolocker n’est pas un virus (logiciel malveillant qui s’auto-reproduit); c’est plutôt un cheval de Troie – ce qui signifie qu’il ne peut pas se propager de manière incontrôlable sur votre réseau. Son but est de crypter des fichiers et vous demander une rançon pour les décrypter. Chaque utilisateur doit recevoir et activer le logiciel malveillant de manière individuelle.

La mauvaise nouvelle, c’est qu’il exécute ses actions malveillantes en mode silencieux (chiffre vos fichiers) et ce n’est qu’après qu’il communique sa présence sur la machine infectée.

Tous les produits Avira détectent ce logiciel malveillant en tant que “TR/Fraud.Gen2″.

Techniques de prévention

  • Toujours exécuter un logiciel antivirus à jour. Comme mentionné ci-dessus, tous les produits Avira le détectent et le suppriment. Malheureusement, il n’est pas possible de décrypter les fichiers que le logiciel malveillant a déjà chiffrés.
  • Ne jamais ouvrir des liens Web suspects ou non sollicités.
  • Ne pas ouvrir les e-mails que vous n’avez pas demandés
  • Ne pas exécuter les pièces jointes des e-mails, même si les emails proviennent de personnes connues
  • Gardez une copie de sauvegarde. Si vous avez un logiciel de sauvegarde en temps réel (par exemple: Avira Secure Backup, Dropbox, etc), puis assurez-vous de nettoyer d’abord l’ordinateur avant de restaurer la version non chiffrée des fichiers.

Que faire si votre ordinateur est infecté?

Nous recommandons vivement d’exécuter une analyse du système en utilisant Avira Rescue System  qui empêche les logiciels malveillants d’affecter activement les résultats de l’analyse.

Une dernière chose que nous ne cessons de répéter: Ne jamais, jamais payer de rançon. Vous ne feriez qu’encourager d’autres criminels à suivre cette voie.

Malheureusement, il n’est pas possible de décrypter par vous-même les fichiers que le logiciel malveillant a déjà chiffrés. Le chiffrement asymétrique rend cette tâche quasi impossible. Seule la restauration d’une copie de sauvegarde peut vous aider à récupérer vos fichiers.