Comment identifier le ransomware qui bloque mes données ?

Par leur caractère intrusif et la prise en otage des données des victimes, les ransomwares peuvent constituer un sérieux danger. Heureusement, il existe souvent une parade permettant de se débarrasser des rançongiciels et de reprendre la main sur les données chiffrées. Pour ce faire, il est important d'agir rapidement, d'identifier la menace qui plane sur son PC et d'installer un antivirus. Voici comment procéder.

Si vous vous posez encore la question « De quoi me protègent un antivirus et une suite de sécurité ? », c'est que vous êtes passé au travers de l'un des types d'attaques informatiques les plus ravageurs de ces dernières années. Avec de nombreuses infections visant à la fois les particuliers et les entreprises, les ransomwares peuvent infecter un appareil de différentes manières. Que ce soit via un chiffrement des données personnelles ou un blocage du PC, ce type de menaces demandera toujours une rançon pécuniaire aux victimes pour récupérer et déchiffrer ses données personnelles. Une suite de sécurité ou un antivirus gratuit vous protégeront.

Les attaques les plus récentes sont celles qui font le plus de dégâts, faute de correctifs et de mises à jour des antivirus. Il est ainsi essentiel de bien reconnaître une offensive de type ransomware et surtout d'identifier l'attaque en question afin de trouver les correctifs adéquats.

Quels sont les signes d'une infection ?

Les ransomwares peuvent infecter un appareil de bien des manières. La plupart du temps, un clic sur une pièce jointe vérolée, une publicité en ligne malicieuse ou le téléchargement d'un logiciel cracké suffisent pour inviter un ransomware sur sa machine. La bonne nouvelle est qu'il existe de nombreuses façons de se protéger - de l'installation d'un antivirus à la mise à jour régulière du système et des logiciels, en passant par un processus de sauvegardes bien huilée.

L'origine de l'infection vient généralement d'une erreur ou d'une maladresse humaine. Il est donc essentiel d'acquérir quelques réflexes pour se prémunir des ransomwares, tout comme il est judicieux d'apprendre à bien réagir en cas d'infection. Mais comment savoir si son PC est infecté ?

L'objectif principal des rançongiciels étant extorquer de l'argent, ce type d'attaques présentent des signes qui ne trompent pas :

• Tout d'abord, il faut savoir que les ransomwares demandent toujours une rançon ! Si, aux débuts d'Internet, elle était réclamée par voie postale, les cyberescrocs qui sont à l'origine des attaques exigent généralement une rançon en cryptomonnaie à leurs victimes. Cela permet de ne pas tracer les transactions et de rendre le pistage de ces délinquants plus délicat.

• Un message inhabituel s'affiche soit via une fenêtre pop-up intempestive, par un changement du fond d'écran ou encore par un avertissement qu'il est impossible de supprimer. Il peut également s'agir d'une annonce vocale, d'un message qui s'affiche lorsqu'un fichier crypté est ouvert ou alors d'un fichier texte qui apparaît de manière incontrôlable.
• Les crypto ransomwares ont pour but de chiffrer les données personnelles et de demander une rançon pour leur déchiffrement. L'un des meilleurs moyens de reconnaître ce genre d'attaques est lorsque des documents, photos, vidéos ou des fichiers système sont chiffrés. Leur lecture est alors impossible et leur nom, mais aussi l'extension, peuvent être modifiés.

Pour les ransomwares les plus insidieux ou ceux qui transforment les ordinateurs en botnets, il sera plus difficile de savoir si un PC est victime d'une attaque. La grande majorité des ransomwares laissent une trace et surtout un avertissement qui aura un impact psychologique, instaurant un terrain favorable au paiement de la rançon.

Le message qui s'affiche à l'écran peut contenir plusieurs informations permettant d'identifier le ransomware et de trouver une solution adaptée à la menace. Il est ainsi recommandé d'effectuer une capture d'écran ou une photo du message d'avertissement.

Ce dernier peut nous renseigner sur le nom de la menace, son identité (par la structure du message), dévoiler éventuellement une adresse e-mail ou encore apporter des informations via le procédé de paiement. Une recherche sur Internet d'une phrase ou d'un terme spécifique peut être suffisant pour poser un nom sur une menace.

Comment identifier un ransomware avec précision ?

Si le message d'avertissement du ransomware ne suffit pas pour déterminer son identité, deux outils peuvent être utilisés en complément. Ils permettent de définir le type de rançongiciel qui affecte le système et aiguillent les internautes vers une solution dédiée. Nous vous conseillons d'utiliser ces deux logiciels en complément, si l'un ou l'autre ne donne pas satisfaction. Soulignons que ces deux outils fonctionnement uniquement sur des fichiers chiffrés et non sur les virus eux-mêmes.

Identifier une menace avec No More Ransom

Le site web « No More Reason » est une initiative commune entre des services de police néerlandais, de l'organisme européen de lutte contre la criminalité Europol et des entreprises spécialisées dans la sécurité informatique McAfee et Kaspersky. Il propose un outil appelé Crypto Sheriff qui permet de découvrir l'identité d'un ransomware de manière simple et rapide :

• Rendez-vous sur la page de Crypto Sheriff.

• Chargez les fichiers chiffrés par le ransomware dans les champs
  prévus à cet effet et renseignez d'éventuelles informations
  complémentaires (comme l'URL du site web, une adresse de courrier
  électronique ou encore une adresse bitcoin). Il est également possible
  d'envoyer un fichier TXT ou HTML contenant toutes ces informations.
  Cliquez enfin sur « C'est parti » pour identifier le rançongiciel.
• Si le danger est identifié, Crypto Sheriff se chargera de dévoiler
  son identité et fournira un manuel pour apprendre à le supprimer de son
  PC. Un lien vers un correctif permet alors de déchiffrer les données et
  de supprimer la menace de son système.

Toutefois, si le ransomware ne peut pas être identifié et les données impossibles à déchiffrer, Crypto Sheriff permet d'être redirigé vers des services permettant de rapporter le délit.

Diagnostiquer avec ID Ransomware

Dans le même registre, ID Ransomware est un site web développé par l'équipe de MalwareHunterTeam et qui permet d'identifier un rançongiciel grâce à des fichiers chiffrés. Il donne également moult détails sur la menace identifiée tout comme sur les moyens de s'en débarrasser et permet ainsi de retrouver l'usage normal de son PC.

• Rendez-vous sur le site d'ID Ransomware.
• Une fois sur la page, chargez un fichier TXT ou HTML comprenant les informations de paiement du ransomware. Il est aussi demandé de charger un fichier chiffré par le ransomware et de mentionner d'éventuelles URL ou adresses e-mail et bitcoin. Lorsque les informations sont prêtes, il suffit de cliquer sur « Envoi ».

• ID Ransomware est en mesure de reconnaître plus de 840 ransomwares et informe les internautes sur les actions à mettre en place pour éliminer le ransomware et surtout déchiffrer les données impactées.

Tout comme avec Crypto Sheriff, il peut arriver qu'ID Ransomware ne trouve pas de solution. Dans ce cas, le logiciel propose des liens vers des articles évoquant la menace en détails.

Comment identifier un fichier douteux ?

Si une pièce jointe suspecte pointe son nez dans la boite e-mail, il peut être judicieux d'analyser le fichier pour lever le doute sur son authenticité et sa potentielle menace. Les deux précédents outils permettent uniquement d'analyser les fichiers d'instructions et les fichiers chiffrés par les ransomwares. Nous allons donc nous pencher sur deux autres outils pour analyser les fichiers EXE, les documents en pièces jointes et les fichiers douteux.

Le premier outil, VirusTotal, permet d'analyser des fichiers suspects via une détection rapide des logiciels malveillants. Le service utilise de nombreux moteurs antivirus et fournit un rapport détaillé sur les menaces rencontrées. La recherche peut être effectuée sur un fichier du disque dur, une URL ou via le hachage du fichier.

Dans le même registre, l'outil Hybrid Analysis passe au crible des fichiers locaux, en ligne ou via la base de données du service. Ce dernier permet d'en savoir plus sur le comportement d'un exécutable via plusieurs analyses disponibles sur de nombreux systèmes d'exploitation comme Windows, Linux et Android. Il utilise également les données issues de VirusTotal pour l'analyse antivirus.