Comment faire face à un ransomware comme Locky

Faut-il payer la rançon ? Peut-on éviter simplement les dégâts, ou au moins les limiter ? Un spécialiste répond aux questions que devraient se poser les entreprises.

Depuis le début de l'année, cela n'arrête pas : les victimes de ransomwares, et de Locky notamment, se multiplient. Un ransomware, ou "rançongiciel", a la particularité de chiffrer des fichiers, puis de proposer de les déchiffrer contre une rançon, à payer en bitcoin. Les montants demandés s'élèvent le plus souvent à quelques centaines d'euros : même si des sommes bien plus élevées ont été rapportées, elles restent plus rares.

Faut-il payer la rançon ?

Première question que peut se poser la victime d'un ransomware : faut-il payer la rançon ? "Officiellement, non. C'est du moins le discours des autorités, car évidemment, payer les cybercriminels équivaut à les encourager. Mais dans la pratique, c'est un peu plus compliqué", admet Vincent Nguyen, responsable technique du CERT de Solucom, un cabinet qui a vu arriver des dizaines de victimes de ransomwares depuis le début de l'année - du Cac 40 comme des entreprises de taille bien plus modeste.  

A chaque fois, la clé achetée avec les bitcoins fonctionne

Force est de constater, qu'à chaque fois, la clé achetée avec les bitcoins fonctionne, et déchiffre effectivement les données cryptées. Payer n'est donc pas vain, la proposition n'est pas un piège. "Mais attention, nous ne conseillons pas toujours de payer, cela dépend des cas", tient à préciser le consultant de Solucom.

Les alternatives au paiement de la rançon

Il y a en effet des alternatives. La première : oublier les données chiffrées. A l'heure du cloud, il y a des postes de travail sur lesquels tout peut finalement être effacé sans aucune conséquence grave. Travailler au maximum "dans le cloud" peut aussi être un bon moyen de se protéger contre les ransomwares.

Autre piste : si des sauvegardes des données ont pu être faites, elles pourront servir. A condition qu'elles aient été bien isolées, car un ransomware comme Locky s'attaque aux fichiers sur le poste, mais peut aussi s'en prendre aux sauvegardes sur le réseau. "Une fois infectée, la machine reste fonctionnelle, détaille Vincent Nguyen car elle doit notamment pouvoir afficher les indications permettant de payer la rançon et récupérer la clé". En fait, le ransomware va cibler certaines extensions de fichiers, et les chiffrer.

Un malware de plus en plus dangereux

Que fait-il de plus ? Le malware contamine-t-il d'autres ordinateurs sur le même réseau ? La réponse n'est pas très rassurante, concernant Locky. Le malware a muté, et si, au début, il se limitait à chiffrer des fichiers sur un poste et son réseau, "des variantes ont commencé à apparaître il y a quelques semaines, et désormais elles peuvent se propager vers d'autres postes", constate le spécialiste de Solucom.

Selon ce dernier, c'est malheureusement une évolution classique : "les cybercriminels débutent souvent par un mécanisme simple, avec des cibles modestes, et quand ils commencent à être bloqués, leur malware et leurs cibles évoluent, et cela peut devenir plus sophistiqué", a pu observer le responsable technique du CERT de Solucom.

Comment éviter de se faire infecter ?

Les infections peuvent être habiles

Avec Locky, les infections, sans être ni révolutionnaires, ni très sophistiquées, sont habiles, et peuvent déjouer la vigilance des plus prudents. Souvent, les victimes de Locky ont ouvert la pièce jointe d'un e-mail se faisant passer pour une facture, ou, plus malin encore, pour un scan. L'identité de l'émetteur aussi peut-être trompeuse.

Des infections par macro, dans un document de type Office, ont aussi été nombreuses : un bon rempart consiste donc à demander à ses employés de ne pas les activer – et bien entendu, "les activer par défaut est une mauvaise pratique", rappelle le consultant de Solucom, qui renvoie au blog de son entreprise qui liste les différentes bonnes pratiques à adopter face à Locky.

Évidemment, l'idéal reste de ne pas croiser le chemin de tels malwares. Ou avoir la technologie qui les détecte, et les empêche de nuire. Mais le problème, c'est que bien souvent, les antivirus ne suffisent pas. A chaque nouvelle campagne, le malware mute, et sa toute dernière version n'est pas toujours dans la base des antivirus. Les antivirus ont parfois juste quelques heures de retard… mais cela peut suffire.

Virus / SOLUCOM