CryptoLocker

Thomas Le Coz

Thomas Le Coz

Ransomware

Suite à la popularisation du Bitcoin, les ransomwares sont revenus au goût du jour. CryptoLocker est le premier rançongiciel notable utilisant la cryptomonnaie pour faciliter le paiement des rançons.

Dans cet article, nous revenons sur les grandes caractéristiques et l'histoire de ce ransomware.

Cryptolocker, qu’est-ce que c’est ?

Cryptolocker était un ransomware : il chiffrait les données présentes sur un ordinateur, les rendant illisibles sans la clé de déchiffrement. Cela vous empêchait ensuite d’utiliser vos logiciels ou de visualiser vos fichiers.

L'attaque prenait place à travers un mail de phishing contenant des pièces jointes malveillantes. Afin d’obtenir la clé de déchiffrement, il était nécessaire de payer une rançon en euros, dollars ou en bitcoin.

Cryptolocker est un logiciel qui été actif entre 2013 et 2014. Il a fait de nombreuses victimes et a réussi à extorquer plusieurs millions de dollars.

L'histoire de Cryptolocker

Le malware a été recensé entre le 5 septembre 2013 et mai 2014. Dès les premiers jours, Cryptolocker a infecté plus de 34 000 machines pour les mettre sous rançon. Ensuite, le logiciel informait les victimes qu'il détruirait la clé privée permettant de déchiffrer leurs fichiers après le délai de paiement de 72 heures.

Initialement, la rançon était de 400 dollars ou l’équivalent en bitcoin. Évidemment, le montant en bitcoin s'actualisait suivant le cours du bitcoin sur la période. Cependant, les cybercriminels ont mis en place un service en ligne qui permettait de déverrouiller les fichiers chiffrés après expiration du délai pour un prix bien plus élevé de 10 bitcoins.

Attaque de ransomware

Contrairement aux virus et aux vers informatiques, Cryptolocker n’avait pas la capacité de se répliquer. Néanmoins, afin d’infecter de nouvelles victimes, les hackers ont exploité un botnet, “GameoverZeus”.

GameoverZeus était un réseau d’ordinateurs infectés, contrôlés à distance à l’insu de leurs propriétaires. Grâce à ce botnet, les hackers ont utilisé les machines infectées et envoyé des mails frauduleux pour propager CryptoLocker sur internet.

En 2014, l’opération Tovar — une opération collaborative dirigée par différentes forces de l'ordre nationales — a neutralisé GameoverZeus, permettant d’avoir accès à certaines clés de déchiffrement de Cryptolocker restées inchangées.

Les sociétés de sécurité Fox-IT et FireEye ont participé à l’opération. Par la suite, elles ont récolté des clés de déchiffrement pour mettre en place un outil en ligne, Decrypt Cryptolocker. Les clés obtenues permettaient ainsi de récupérer gratuitement les fichiers cryptés sans payer de rançon.

L’opération a permis d’isoler le ransomware le 2 juin 2014 en redirigeant discrètement les tentatives d'enregistrement sur un serveur gouvernemental, engendrant ainsi la destruction de Cryptolocker.

Finalement, c'est plus de 27 millions de dollars qui ont été extorqués par Cryptolocker. Plusieurs ransomwares ont choisi d’utiliser le nom “Cryptolocker” par la suite, même s’ils ne possèdent aucun lien direct avec celui-ci.

Comment fonctionne Cryptolocker ?

La méthode d’infection initiale de Cryptolocker était le phishing : une campagne de mails frauduleux contenant une pièce jointe ou un lien permettant le téléchargement du malware.

Ensuite, Cryptolocker agissait comme un ransomware classique. Il chiffrait vos données avant de vous envoyer un message vous demandant de payer une rançon. Le logiciel était un ransomware utilisant une méthode de chiffrement asymétrique : une clé était utilisée pour le chiffrement des données et une autre servait à les déchiffrer. Évidemment, elles ne sont déchiffrables que si vous possédez la clé privée (de déchiffrement), le plus souvent obtenue au paiement de la rançon.

Clé de déchiffrement

Après l'exécution du logiciel, le ransomware identifie et chiffre les fichiers situés sur les lecteurs USB, les disques dur externes, les partages de fichiers réseau, le stockage Cloud accessible ainsi que sur les lecteurs réseaux partagés avec l’ordinateur infecté.

La recherche de nouveaux fichiers ou dossiers à chiffrer pouvait prendre plusieurs heures pendant lesquelles Cryptolocker restait discret. La période d’incubation comprenait l’installation et le chiffrement des données.

Le ransomware révélait ensuite sa présence pour vous contacter et demander le paiement de la rançon. Le paiement devait être effectif sous 72 heures sous peine de voir le montant augmenter considérablement.

Comment le reconnaître ?

Fenêtre Cryptolocker

Aperçu de la fenêtre de Cryptolocker lorsqu'il révèle à la victime l’attaque qu’elle subit

L'écran de demande de rançon est caractéristique de CryptoLocker et permet de reconnaître ce rançongiciel.

Certains logiciels de déchiffrement ont été mis à disposition gratuitement, développés grâce aux clés de chiffrement saisies lors de l’opération Tovar. Ces outils permettent de déchiffrer vos fichiers et de rétablir vos accès. Ces outils ne sont néanmoins pas toujours efficaces car Fox-IT et FireEye n'ont pas réussi à récupérer l’intégralité des clés.

Comme pour beaucoup de ransomware, une bonne stratégie de sauvegarde permet par la suite une restauration des fichiers compris tout en minimisant la perte de productivité.

D'autre part, le vecteur d’infection principal de Cryptolocker est le phishing, une technique d’ingénierie sociale qui n’est pas sans faille.

L’humain est la clé pour se protéger du phishing comme pour beaucoup d’autres menaces.

Il est essentiel de former les individus pour leur apprendre à détecter et à signaler un mail suspicieux. Un personnel bien entraîné permet de se protéger de ces pratiques.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.