Face à la multiplication des menaces de ransomware, les agences de police et les sociétés spécialisées en sécurité informatique se sont associées afin de combattre les entreprises cybercriminelles ayant des connections avec les ransomwares. C'est ainsi qu'est né en 2016 le site internet No More Ransom, une initiative du National High Tech Crime Unit de la police néerlandaise, du European Cybercrime Centre basé à Europol et de McAfee dont le but est d'aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les criminels.
Étant donné qu'il est plus simple d'éviter la menace des rançongiciels plutôt que de des combattre une fois que le système est affecté, le but du projet est également d'éduquer les utilisateurs sur le fonctionnement des rançongiciels et sur les contre-mesures qui peuvent être prises afin de prévenir les infections de façon efficace.
Le portail regroupe un ensemble de ressources pour aider les victimes. Les visiteurs peuvent y trouver des informations sur les ransomwares, comment ils fonctionnent et le plus important comment protéger leurs appareils et données.
Durant les deux premiers mois, plus de 2 500 personnes ont pu déchiffrer avec succès leurs appareils sans avoir à payer les cybercriminels. Les victimes ont pu profiter des outils gratuits de déchiffrement comme CoinVault, WildFire et Shade. Les acteurs derrière le projet espèrent que le manque à gagner des cybercriminels va contribuer à ralentir la menace des ransomwares. Au départ, cinq outils de déchiffrement étaient listés dans le site. Cette fois-ci, le projet lancé en juillet 2016 héberge désormais 82 outils permettant de déchiffrer 109 types de ransomwares différents.
Un anniversaire
Dans un billet de blog, Europol a tenu à célébrer le troisième anniversaire de No More Ransom, une initiative qui a permis à plus de 200 000 victimes de ransomware de récupérer leurs fichiers gratuitement depuis son lancement en juillet 2016. Avec des visiteurs venus de 188 pays, le projet est devenu un point d'arrêt pour les victimes de ransomware, enregistrant déjà plus de 3 millions de visites individuelles au cours de sa courte durée de vie. Europol estime que, grâce à la coopération de plus de 150 partenaires, le modèle d’entreprise criminelle à la base du ransomware a été sérieusement touché depuis le lancement de cette initiative, ce qui a empêché des profits de 108 millions de dollars d’aller dans de mauvaises poches.
Avec 14 nouveaux outils ajoutés en 2019, le portail peut désormais déchiffrer 109 types différents d'infections par ransomware - un nombre qui ne cesse de croître chaque mois. Les efforts déployés contre GandCrab - considéré comme l’une des attaques de ransomware les plus agressives de l’année dernière - en sont un exemple parfait: Depuis la publication du premier outil GandCrab en février 2018, près de 40 000 personnes ont déchiffré leurs fichiers, ce qui a permis d’économiser près de 50 millions de dollars en paiements de rançon.
Un porte-parole d'Emsisoft a déclaré que l'estimation de 108 millions de dollars communiquée par Europol est « en réalité une énorme sous-estimation ». « Ils sont basés sur le nombre de déchiffrement réussis confirmés par télémétrie - en d'autre termes lorsque l'outil envoie à l'éditeur une confirmation que le travail a été bien effectué », a-t-il continué. Et de préciser qu'aucun des outils développés par Emsisoft ne lui fournissent une confirmation. « Ils ont été téléchargés plus de 1,6 million de fois. Il serait donc plus exact de dire qu’ils ont aidé les gens à éviter une demande de rançon de 800 millions de dollars ».
Le portail, initialement publié en anglais, est disponible dans 35 autres langues. L'anglais, le coréen, le néerlandais, le russe et le portugais figurent en tête de liste des cinq principales langues, suivis du français, du chinois, de l'allemand, de l'espagnol et de l'italien, ce qui représentent le caractère mondial de la menace.
Steven Wilson, responsable du Centre européen de la cybercriminalité (EC3) d’Europol, a déclaré: « En examinant de près les ransomwares, nous voyons à quel point il est facile d’infecter un appareil en quelques secondes. Un clic incorrect, des bases de données, des images et une vie de souvenirs peuvent disparaître à jamais. No More Ransom apporte de l'espoir aux victimes, une véritable fenêtre d'opportunité, mais envoie également un message clair aux criminels : la communauté internationale défend un objectif commun: les succès opérationnels sont et continueront de traduire les auteurs présumés en justice ».
Conseils
Comme précisé, la page a également vocation éducative. Voici ce qui est recommander pour se prémunir d’une attaque par un ransomware :
- Sauvegardez! Sauvegardez! Sauvegardez! Ayez un système de récupération en place de telle sorte qu’une infection par un rançongiciel ne détruise pas vos données personnelles pour toujours. Il est recommandé de créer deux copies de sauvegarde, l’une qui sera stockée dans un service de l’informatique en nuage (cloud – pensez à utiliser un service qui assure une sauvegarde automatique de vos fichiers) et une autre à stocker sur un support physique (disque dur portatif, clé USB, ordinateur secondaire, etc.). Déconnectez ceux-ci de votre ordinateur lorsque vous avez terminé. Vos copies de sauvegarde pourront aussi vous être utiles si jamais vous détruisez par erreur un fichier important ou êtes victime d’une défaillance de disque dur.
- Utilisez un antivirus robuste pour protéger votre système des rançongiciels. Ne désactivez pas les fonctions heuristiques, celles-ci permettant notamment de capturer des échantillons de virus informatiques qui n’ont pas encore été formellement détectées.
- Tenez tous les logiciels de votre ordinateur à jour. Quand votre système d’exploitation (OS) ou vos applications proposent une nouvelle version, installez-la. Et si le logiciel contient une fonction de mise à jour automatique, activez-la.
- Ne faites confiance à personne. Littéralement. Tout compte peut être compromis et des liens malveillants peuvent être envoyés depuis les comptes de vos amis sur les réseaux sociaux, par des collègues ou un partenaire dans un jeu en ligne. N’ouvrez jamais des pièces jointes dans des courriers électroniques provenant de personnes que vous ne connaissez pas. Souvent les cybercriminels diffusent de faux courriers électroniques qui semblent provenir d’une boutique en ligne, d’une banque, de la police, d’un tribunal ou d’une agence de collecte des impôts, incitant l’utilisateur à cliquer sur un lien malveillant qui amènera le virus informatique dans l’ordinateur. Cette technique est appelée le hameçonnage (ou phishing).
- Activez la fonction ‘Afficher l’extension des noms de fichiers’ dans la configuration du système d’exploitation de votre ordinateur. Cela vous aidera à repérer plus facilement les fichiers potentiellement malveillants. Méfiez-vous des extensions telles que ‘.exe’, ‘.vbs’ et ‘.scr’. Les escrocs peuvent utiliser différentes extensions pour camoufler un fichier malveillant en vidéo, photo ou document (comme hot-chics.avi.exe ou doc.scr).
- Si vous découvrez un processus scélérat ou inconnu sur votre machine, déconnectez-la immédiatement de l’Internet ou de tout autre connexion réseau (comme le Wifi de votre domicile) — cela empêchera l’infection de se propager.
Les outils
Au total ce sont donc 82 outils qui ont été proposés pour déchiffrer 109 types différents d'infections par ransomware. La plupart d'entre ces outils ont été créés et partagés par des éditeurs d'antivirus tels qu'Emsisoft, Avast et Bitdefender, entre autres. des organismes comme les CERT ou des communautés en ligne. D’autres outils seront disponibles au fur et à mesure que de nouveaux pays et firmes du secteur privé participent au projet.
Le fabricant d'antivirus Emsisoft, qui a publié 32 outils de déchiffrement pour 32 souches de ransomware différentes, est de loin le membre le plus prolifique. « Nous sommes assez fiers de publier un déchiffreur pour MegaLocker, car non seulement il a aidé des milliers de victimes, mais il a vraiment énervé l'auteur du malware », a déclaré Michael Gillespie, chercheur à Emsisoft. « Nous avons également quelques outils de déchiffrage en préparation pour les souches qui ont fait un très grand nombre de victimes et, dans l'un de ces cas, nous procéderons au déchiffrement comme jamais auparavant », a-t-il ajouté.
Des types de logiciels qui défraient encore la chronique
Les ransomware font encore beaucoup parler d'eux. Nous pouvons citer des attaques aux ransomwares sur les réseaux de la ville de Baltimore qui ont bloqué l'accès à certains services essentiels. Les autorités ont refusé de payer la rançon de 100 000 USD en bitcoins et cela leur a coûté la modique somme de 18 millions de dollars pour aller vers un retour à la normale un mois après.
D'autres villes américaines ont cédé. Fin juin, les dirigeants de Riviera Beach, en Floride, se sont réunis à la hâte pour un vote extraordinaire qui s’est soldé par le paiement d’une rançon de près de 600 000 dollars aux hackers qui ont paralysé les systèmes informatiques de la ville. Ils ont estimé que la banlieue de Palm Beach n’avait pas le choix si elle souhaitait récupérer les enregistrements chiffrés par des pirates. Trois semaines avant, le conseil avait déjà voté pour dépenser près de 1 million de dollars US sur de nouveaux ordinateurs et matériels après que des pirates aient capturé le système de la ville.
Quelques jours plus tard, une seconde ville en Floride a décidé de payer la rançon et a versé 500 000 USD aux pirates informatiques après une attaque de ransomware. Le montant total payé par les municipalités de la Floride pour les ransomwares en moins de deux semaines s'est élevé à 1,1 million de dollars.
Source : No More Ransom, Europol
Et vous ?
Que pensez-vous de ce projet ?
En aviez-vous déjà entendu parler ?
Y avez-vous déjà eu recours ?
Que pensez-vous du fait qu'aucun organisme d'application de la loi basé aux États-Unis ne figure parmi les membres ?
Voir aussi :
La Conférence des maires des USA adopte la résolution de ne plus payer de rançons aux pirates dans les attaques de ransomware
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Symantec : le formjacking constitue la nouvelle forme d'attaque utilisée par les pirates pour s'enrichir encore plus vite qu'avec les ransomwares
Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge