Les rançongiciels sont toujours très actifs

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

  • La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
    • Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
    • Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
  • Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
  • Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
  • Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
  • Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
  • Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
  • Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

  • Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
  • Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
  • Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
  • Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
  • Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :