Rançongiciel Cryptolocker
Numéro : AL13-008
Date : Le 26 novembre 2013
Objet
La présent alerte a pour but de renseigner les lecteurs sur le rançongiciel Cryptolocker et de leur fournir des lignes directrices quant à la façon d'y réagir. Elle contient également des conseils de prévention visant à atténuer les risques liés à la menace que représente ce logiciel malveillant.
Évaluation
Le rançongiciel Cryptolocker est un logiciel malveillant qui restreint l'accès à l'ordinateur infecté. Il chiffre les fichiers de la victime et exige qu'elle paie une rançon pour récupérer ses données. Une fois infecté, l'ordinateur ouvre une fenêtre contextuelle qui contient un message expliquant à la victime qu'elle doit verser une somme d'argent quelconque, habituellement entre 100 et 300 $, au moyen du système de paiement en ligne GreenDot ou MoneyPack, ou encore sous forme de Bitcoins (monnaie virtuelle ayant cours actuellement dans Internet). La victime est informée qu'elle dispose d'une fenêtre de 72 à 100 heures pour obtempérer et que, passé ce délai, elle n'aura plus la possibilité de déchiffrer ses fichiers.
Le rançongiciel Cryptolocker est unique en son genre puisqu'il chiffre non seulement les fichiers conservés dans l'ordinateur local, mais également ceux qui sont stockés dans les lecteurs réseau partagés, les dispositifs de stockage USB, les disques durs externes et même certains systèmes de stockage en nuage. Par conséquent, si le logiciel malveillant infecte l'ordinateur d'un utilisateur qui a accès aux lecteurs partagés sur le réseau de l'organisation, il peut également chiffrer tous ces fichiers.
À l'heure actuelle, le principal vecteur d'infection semble être le courriel d'hameçonnage contenant une pièce jointe malveillante. Des rapports font état de courriels en anglais dont le contenu de la ligne d'objet apparaît dans la liste non exhaustive fournie ci-dessous.
Exemples de ligne d'objet :
- « Payroll Received by Intuit »
- « ADP RUN: Payroll Processed Alert »
- « Payroll Manager Payroll Invoice ADP RUN »
- « Payroll Processed Alert Annual form ACH Notification »
- « Annual Form – Authorization to Use Privately owned Vehicle on State Business »
- « DNB Complaint – (Number) »
- « Voice Message from Unknown Caller »
- « We have received your secure message »
- « Annual Form – Authorization to Use Privately Owned Vehicle on State Business »
- « Payroll Department »
- « UPS, DHS and FedEx »
- « American Express »
- « Annual Form – Authorization to Use Privately Owned Vehicle on State Business »
- Exemple de courriel malveillant
- Administrateur@<nom_domaine_entreprise>
- Fichier compressé de réglages Outlook en pièce jointe
- Fichier compressé d'un rapport d'entreprise en pièce jointe
Mesure suggérée
Si une infection par rançongiciel survient, le CCRIC recommande ne pas payer la rançon. Même si la victime obtempère et récupère ses données, rien ne garantit que le logiciel malveillant a été retiré de son ordinateur et qu'il ne se manifestera plus par la suite. Au contraire, le CCRIC invite les utilisateurs et les administrateurs ciblés par un rançongiciel de signaler l'incident à une organisation locale d'application de la loi.
Autres mesures recommandées :
- La plupart du temps, un utilisateur consciencieux et bien informé parvient à détecter les attaques par rançongiciel. Le CCRIC recommande que les utilisateurs reçoivent de la formation à jour sur le rançongiciel en vue de les sensibiliser à ce problème et qu'on leur explique la façon de signaler les courriels inhabituels ou suspects à l'équipe chargée de la sécurité de la TI dans leur organisation. L'examen des politiques, des procédures et de la formation axée sur l'éducation et la sensibilisation relative à la sécurité de l'organisation peut atténuer les risques associés aux rançongiciels.
- Créer une copie de sécurité de toute l'information essentielle de l'organisation pour limiter les effets négatifs de la perte des données ou des systèmes.
- Débrancher le système infecté du réseau sur-le-champ afin de limiter le nombre de fichiers chiffrés par le logiciel malveillant.
- Tenir à jour les antivirus et tout autre logiciel de sécurité.
- Éviter d'accéder à l'Internet et d'utiliser le système courriels au moyen des ressources informatiques essentielles de l'organisation, par exemple les serveurs.
- Dans la mesure du possible, appliquer le principe du moindre privilège.
- Les victimes du rançongiciel Cryptolocker peuvent consulter un expert en sécurité réputé qui les aidera à supprimer le rançongiciel et à récupérer leurs données.
Références
Guide de rétablissement à la suite d'une infection par un logiciel malveillant du CCRIC : http://www.publicsafety.gc.ca/prg/em/ccirc/2011/tr11-001-fra.aspx
Guide sur les rançongiciels du CCRIC :
http://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2013/in13-004-fra.aspx
Page Web sur les infections par le rançongiciel Cryptolocker de l'équipe US-CERT :
http://www.us-cert.gov/ncas/alerts/TA13-309A (en anglais)
http://www.cod.edu/about/information_technology/security/pdf/ransomware20131031_cryptolocker.pdf (en anglais)
http://www.securelist.com/en/blog/208214109/CryptoLocker_Wants_Your_Money (en anglais)
http://nakedsecurity.sophos.com/2013/10/18/CryptoLocker-ransomware-see-how-it-works-learn-about-prevention-cleanup-and-recovery/ (en anglais)
http://www.tripwire.com/state-of-security/top-security-stories/public-utilitys-systems-shut-cyber-attack/ (en anglais)
http://www.bleepingcomputer.com/virus-removal/CryptoLocker-ransomware-information (en anglais)
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) fonctionne au sein de Sécurité publique Canada et collabore avec des partenaires au Canada et ailleurs pour atténuer les cybermenaces pour les réseaux essentiels à l'extérieur du gouvernement fédéral. Il utilise des systèmes permettant d'assurer le bon fonctionnement des infrastructures essentielles du Canada, comme les réseaux électriques et financiers, et conserver les renseignements commerciaux de valeur qui sont à la base de notre prospérité économique. Le CCRIC aide les propriétaires et les exploitants de systèmes d'importance nationale, y compris les infrastructures essentielles, et est chargé de coordonner l'intervention nationale en cas d'incident important de cybersécurité.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca