Quoi de pire qu’un ransomware qui chiffre tous vos fichiers et vous demande de l’argent pour obtenir la clé de déverrouillage afin de les récupérer ?
WannaCry, quant à lui, a certainement ajouté une nouvelle dimension à l’univers des ransomwares, en combinant le processus de chiffrement de données avec un code viral qui se propageait par lui-même.
Ainsi, WannaCry pouvait se frayer un chemin au travers de votre réseau, et ce automatiquement, vous laissant potentiellement avec des centaines ou même des milliers d’ordinateurs chiffrés par le biais d’une seule attaque, même si un seul utilisateur avait ouvert la pièce jointe piégée ou avait téléchargé le fichier d’un site web contaminé.
Les cybercriminels derrière le ransomware SamSam ont, quant à eux, adopté une approche assez différente : en effet, au lieu d’essayer d’atteindre des milliers ou des dizaines de milliers de victimes à travers le monde avec une campagne de spams dévastatrice, en les allégeant au passage toutes de quelques centaines ou milliers de dollars, les SamSammers semblent attaquer les entreprises les unes après les autres.
En effet, les SamSammers restent en général silencieux jusqu’à ce qu’ils se soient introduits au sein du réseau et aient découvert, en utilisant des techniques similaires à celles des pentesteurs (ces gens qui font des tests de pénétration dans votre système d’information), une liste d’ordinateurs qu’ils pourront chiffrer tous en même temps.
Ensuite, ils se déchaînent sur tous vos appareils en même temps, leur donnant ainsi une plus grande chance de chiffrer au moins certains ordinateurs critiques pour le workflow de votre entreprise.
Enfin, ils émettent une demande de paiement, en général d’un montant de quelques milliers de dollars pour chaque ordinateur que vous souhaitez déverrouiller, mais offrent également une formule “à volonté” à 50 000 $ (environ 43 000€) pour tout déchiffrer.
Mais à présent, il existe l’approche inverse de celle utilisée jusqu’à aujourd’hui. Un groupe de cybercriminels qui ne dit plus : “Si vous ne payez pas, vous ne récupérerez pas vos fichiers”, mais qui dit plutôt : “Si vous payez, nous ne les chiffrerons pas”.
Dit autrement, il s’agit d’une extorsion de type préventive, où l’on vous prévient que le pire peut arriver, plutôt qu’une extorsion avec demande de rançon, où vous êtes obligé de réparer le pire une fois qu’il s’est déjà produit :
From: WannaCry-Hack-team
To: **************
Subject: !!!Warning Wannacrypt!!!Salut! WannaCry est de retour! Tous vos appareils ont été infiltrés par notre programme, installé sur ces derniers désormais. Nous avons amélioré le fonctionnement de notre programme, de sorte que vous ne pourrez pas récupérer les données après cette attaque.
Toutes les informations seront chiffrées puis effacées. Les logiciels antivirus ne seront pas en mesure de détecter notre programme, tandis que les pare-feux resteront impuissants face à notre code unique.
Si vos fichiers devaient être chiffrés, ils seront perdus pour toujours.
Notre programme s’attaque également au réseau local, en effaçant les données sur tous les ordinateurs connectés au réseau et les serveurs distants, sur toutes les données stockées dans le cloud et bloquant même le fonctionnement du site web. Nous avons déjà déployé notre programme sur vos appareils.
La suppression de vos données est prévue pour le ** juin, 2018, à **:** – **:** PM. Toutes les données stockées sur vos ordinateurs, serveurs et appareils mobiles seront détruites. Les périphériques fonctionnant avec Windows, iOS, macOS, Android et Linux, quelle que soit la version utilisée, sont concernés par l’effacement de ces données.
Pour éviter la destruction pure et simple de vos données, vous pouvez payer 0.1 BTC (~ 560€) sur le portefeuille bitcoin: ****************
La mauvaise nouvelle, c’est que cet email de menace de WannaCrypt “demandant de l’argent sous la contrainte” est très répandu. Nous avons vu des gens inquiétés par ces menaces à de nombreux endroits différents, c’est pourquoi nous avons décidé de rédiger cet avertissement.
La bonne nouvelle est que ces cybercriminels, en particulier, n’ont pas de malware pour sauvegarder leur stratégie malveillante.
En effet, leur affirmation selon laquelle “un logiciel antivirus ne sera pas capable de détecter [le] programme” est l’une des rares vérités de ce scam car, dans ce cas précis, il n’existe aucun programme à détecter !
Pour clarifier les choses : les malwares qui effacent des disques, tels que des ransomwares sans clé de déchiffrement, vous empêchant ainsi de récupérer vos fichiers en payant une rançon aux cybercriminels, et ce même si vous le vouliez, existent sans aucun doute !
Donc, ces scammeurs WannaCrypt pourraient, en théorie, avoir dit la vérité, vous donnant juste quelques heures pour débusquer et désactiver leur code malveillant avant que vos données ne soient détruites.
Cependant, dans ce cas particulier, toute l’histoire est un mensonge, et ce dès le départ, à commencer par l’existence même du malware.
Quoi faire ?
- Ne payez pas. Pour l’instant en observant la blockchain Bitcoin, personne n’a encore envoyé de fonds [2018-06-22T12: 00Z], du moins à l’adresse Bitcoin mentionnée dans les messages spams que nous avons vus jusqu’à présent.
- Ne pas contacter les scammeurs “juste au cas où”. Leur montrer que vous êtes présent et inquiet, leur donne des informations vous concernant qu’ils n’ont vraiment pas besoin d’avoir.
- Assurez-vous que vous êtes patché et protégé. Pour échapper à une telle attaque, vous devez tout d’abord être contaminé, mais surtout avoir une chance de traquer le malware avant qu’il ne se déclenche (en revanche, les ransomwares vous alertent seulement après qu’ils se soient activés), alors préparez-vous !
Rappelez-vous que les ransomwares, disk wiperware, protection racketware et les autres malwares qui détruisent vos données ne sont que l’une des nombreuses façons de perdre vos précieuses données numériques : les bugs logiciels, les incendies, les inondations, les pertes, les vols, et enfin bien sûr du matériel vieillissant peuvent tous mener à la perte catastrophique de vos données,…
…alors faites en sorte d’être à jour au niveau de vos sauvegardes, et faites-le dès aujourd’hui !
Billet inspiré de “WannaCrypt” ransomware scam demands payment in advance!, sur Sophos nakedsecurity.