Questions à un expert : Jornt van der Wiel nous parle des ransomwares

20 Juil 2016

Jornt van der Wiel est membre de notre Équipe internationale de recherche et d’analyse (GreAT) et un de nos experts les plus qualifiés en matière de ransomwares et de chiffrement. Il réside aux Pays-Bas et travaille pour Kaspersky Lab depuis plus de 2 ans.

43 - ask-expert01

Nous avons donné la possibilité à nos lecteurs de poser des questions à Jornt concernant les ransomwares et le chiffrement, auxquelles il a incroyablement bien répondu. En réalité, il y avait tellement de questions à publier dans un seul et même article, que nous avons été obligés de les diviser en deux groupes. Dans cet article, Jornt répond aux questions concernant pour la plupart les ransomwares. Dans le prochain, il nous parlera du chiffrement.

Pensez-vous que les ransomwares nous frapperont davantage à l’avenir, en comparaison avec d’autres catégories de malwares, telles que les virus classiques ou les chevaux de Troie ?

Oui, bien sûr. On assiste actuellement à une augmentation à la fois de nouvelles familles découvertes et de tentatives d’infection sur les utilisateurs. La menace est de plus en plus grandissante chaque jour. Principalement parce que le ransomware est relativement simple à monétiser. Un cybercriminel infecte un utilisateur, la victime paie, et une fois le paiement effectué, la victime reçoit les clés qui lui permettent de déchiffrer les fichiers. Pas besoin de faire appel à d’autres moyens de communication ou d’interaction. Par exemple, cela marque un contraste avec le malware bancaire qui requiert en général aux cybercriminels de parler à leurs victimes sur le chat.

Comment puis-je éviter d’être infecté par des ransomwares ?

  • Installez systématiquement les dernières mises à jour de votre logiciel ;
  • Ne cliquez sur aucun lien ou pièce jointe se trouvant dans n’importe quel e-mail douteux ;
  • Autorisez les extensions de fichiers sur Windows (ainsi vous voyez si le nom du fichier est invoice.pdf.exe au lieu de invoice.pdf) ;
  • Effectuez des sauvegardes au cas où les choses tourneraient mal. Sauvegardez vos fichiers hors-ligne ou gardez-les sur le Cloud avec un contrôle de version illimité (par conséquent, même si vos fichiers se retrouvent chiffrés sur votre disque dur local, s’ils sont synchronisés sur le Cloud, vous pourrez récupérer la dernière version non chiffrée).

En tant qu’individu, suis-je plus vulnérable face aux ransomwares qu’une entreprise ?

Les ransomwares ciblent tout le monde. Parfois, les entreprises spécifiques sont visées, mais la plupart du temps, on observe des séries massives de spams visant à infecter n’importe qui. D’un autre côté, les grandes entreprises ne sont pas disposées à payer la rançon ; elles ont en général des sauvegardes mises en place. Parfois, les plus petites sociétés sont davantage désireuses de payer étant donné que restaurer une sauvegarde peut coûter plus cher que payer la rançon.

Quand est-il possible de déchiffrer les fichiers qui ont été chiffrés par un ransomware ?

C’est possible dans les cas suivants :

  • Les auteurs de malwares font une erreur d’exécution, en rendant possible le déchiffrement. Le cas s’est déjà produit avec les ransomwares Petya et CryptXXX. Malheureusement, je ne peux pas vous donner une liste d’erreurs qu’ils ont commises, étant donné que ça pourrait les aider à ne pas en faire d’autres. Mais en général, il n’est pas aussi simple de bien comprendre le chiffrement. Si vous souhaitez en savoir plus concernant ce dernier, et les erreurs que les gens peuvent commettre, je vous invite à effectuer des recherches sur les crypto challenges Matasano.
  • Les développeurs de malwares présentent par la suite leurs excuses et publient les clés, ou une clé de « déchiffrement » comme dans le cas de TeslaCrypt.

Parfois, le fait de payer la rançon fonctionne, cependant il n’y a aucune garantie que le paiment mène au déchiffrement de vos fichiers. En plus, lorsque vous payez, vous encouragez les affaires des cybercriminels et de ce fait êtes en partie responsable de la montée des infections de ransomwares envers les individus.

Dans les instructions données pour lutter contre CryptXXX, vous dîtes qu’en plus du fichier chiffré, vous avez également besoin du fichier non chiffré. Mais qu’en est-il du logiciel ? Si j’avais le fichier non chiffré, je n’aurais pas besoin de votre outil…

Très bonne question, et merci de la soulever. Cela nous montre que nous devons être plus explicites à l’avenir. Ce type de ransomware chiffre vos fichiers avec la même clé. Donc admettons que vous ayez 1000 fichiers chiffrés, et que de tous ces fichiers, vous n’ayez seulement qu’un document sauvegardé quelque part. Par exemple, le fichier est une image que vous avez envoyé en e-mail à quelqu’un. Si vous intégrez seulement ce fichier dans notre utilitaire de déchiffrement, nous sommes capables de récupérer la clé, et vos 999 fichiers restants peuvent être déchiffrés. Néanmoins, vous avez absolument besoin du document original.

Est-ce que le malware qui chiffre les fichiers est le seul type de ransomware ?

Non, il existe également un ransomware qui bloque votre ordinateur. Cependant, ce type de ransomware est en général facile à contourner ou supprimer, ce pourquoi il est de moins en moins populaire ces derniers temps. Si vous souhaitez en savoir plus concernant le ransomware bloqueur et la façon de s’en débarrasser, rendez-vous sur notre blog.

De ce que j’ai lu dans la presse internationale, faire face aux problèmes des ransomwares est comme le jeu du chat et de la souris. Vous trouvez une solution et vos détracteurs essayent de la contourner. C’est vraiment comme ça que ça se passe ?

Pas vraiment. Notre Surveillance du système, qui examine l’activité des processus en cours d’exécution, est capable de détecter la plupart des attaques de nouveaux ransomwares rencontrés, même ceux encore inconnus. Maintenant, il existe peu d’exemples qui n’ont pas été détectés par la Surveillance du système. Ensuite, nous mettons en place une signature comportementale qui détecte un nouveau type d’attaque. Encore une fois, il s’agit de quelque chose de très inhabituel.

Les cybercriminels requièrent le paiement en bitcoins, qui est difficile à tracer. Est-il réellement possible de suivre la trace de ces hackers et de les débusquer ?

En réalité, suivre une transaction Bitcoin n’est pas si compliqué dans la mesure où les transactions sont enregistrées dans la chaîne de blocs. On peut suivre n’importe qu’elle transaction, puisque c’est la nature même du Bitcoin. Ce dont on ignore, c’est qui se cache derrière la transaction. Par conséquent, les autorités policières peuvent tracer une transaction vers un portefeuille bitcoin, cependant ils ont besoin de savoir à qui appartient ce portefeuille.

Les mixeurs de bitcoins ont été introduits afin de faire échouer toute tentative de traçage. Pensez que le mixeur est comme une machine dans laquelle vous pouvez introduire plusieurs bitcoins, et qu’ensuite ces derniers sont échangés plusieurs fois entre leurs propriétaires, ce qui rend le traçage plus difficile. Donc par exemple, je suis une victime et j’ai besoin de payer un bitcoin vers un portefeuille. J’effectue le paiement, et ensuite ce même bitcoin part dans un mixeur. Le bitcoin est échangé avec celui de quelqu’un d’autre. De ce fait, on ne sait plus quel bitcoin a été tracé. Et comme vous l’aurez deviné, cela arrive souvent.

Plusieurs recherches ont été effectuées à ce sujet (vous pouvez en savoir davantage sur Google), révélant que le traçage est possible. En résumé : parfois il est possible de tracer la transaction vers un portefeuille, mais ce n’est pas chose facile. Et même lorsque vous trouvez le portefeuille, les autorités policières doivent intervenir afin de déterminer les données du propriétaire.

Combien d’années a-t-il fallu pour découvrir CoinVault et retrouver ses créateurs ?

L’histoire de CoinVault a essentiellement débuté lorsque Bart de l’entreprise Panda Security avait posté un tweet dans lequel il disait qu’il avait découvert des échantillons supplémentaires de CoinVault. Il s’est avéré que deux d’entre eux n’étaient pas CoinVault, mais clairement associés à celui-ci. Nous avions alors décidé d’écrire un article de blog le concernant et de créer une chronologie de l’évolution de CoinVault. Une fois l’article rédigé à 90%, nous l’avions envoyé à la Dutch National High Tech Crime Unit (NHTCU).

Après avoir terminé l’article, nous avions trouvé quelques indices qui nous avaient mené à deux possibles suspects. Tout naturellement, nous avions partagé ces informations avec la NHTCU. Le temps entre le tweet de Bart et cette découverte avait été d’un mois tout au plus. Mais bien sûr, nous n’avions pas passé tout ce temps à travailler uniquement sur l’article de blog, nous nous étions également penchés sur le cas de CoinVault. Après la publication de l’article, la NHTCU avait mis près de six mois à mener une enquête approfondie, les cybercriminels ayant finalement été arrêtés en septembre de l’année dernière.

Combien d’argent les cybercriminels se font-ils avec les ransomwares ?

Très bonne question, mais pas facile d’y répondre. On peut le savoir uniquement avec certitude lorsqu’on peut suivre, par exemple, toutes les transactions de bitcoins vers un portefeuille en particulier. Ou lorsque la police s’empare d’un serveur de commande et contrôle qui possède des informations de paiement. Mais pour vous donner une idée, imaginons qu’un cybercriminel soit capable d’infecter 250 000 utilisateurs (il s’agit d’une estimation approximative si on parle de grandes entreprises). Supposons qu’ils demandent juste 200$ pour le déchiffrement (le montant moyen est de 400$). Si seulement 1% des victimes infectées payaient, leurs recettes atteindraient environ 500 000$.

Est-il possible pour un ordinateur infecté en réseau local de diffuser un ransomware par le biais du réseau d’autres ordinateurs qui possèdent le même système d’exploitation ? Un élément de ransomware peut-il affecter différents systèmes d’exploitation ?

En ce qui concerne la première partie de votre question : si le ransomware possède des compétences de ver, il peut se propager par le biais d’un réseau. Par exemple, Zcryptor et SamSam sont deux familles de ransomwares qui sont dotées de cette aptitude.

En ce qui concerne la seconde partie de votre question : il est possible pour un élément de ransomware d’infecter de multiples systèmes d’exploitaiton s’il vise des serveurs web. Par conséquent, un ransomware pourrait cibler un serveur éxecutant un système de gestion de contenu écrit en PHP. Le ransomware serait ensuite capable d’infecter un ordinateur Windows qui possède un serveur web doté du langage PHP. Par la suite, il serait en mesure d’analyser d’autres éléments d’Internet en quête d’un autre ordinateur infecté. L’ordinateur suivant pourrait être sous Linux, mais avec un serveur web PHP. En résumé, la réponse est : oui, il existe un ransomware multiplateforme.

La semaine prochaine, nous publierons les réponses de Jornt concernant le chiffrement. Restez à l’écoute !