Rançongiciel et courrier électronique

Bonjour/Bonsoir,

Aujourd’hui, on va parler des rançongiciel. Quel vilain mot que voilà !
Rançongiciels : Plus connus sous le nom de ransomware, ces programmes ont pour but de faire payer à l’utilisateur une somme contre le rendu de ses documents chiffrés.


Un exemple vaut mieux qu’un long discours :

Coté Utilisateur :
M.Doe est un simple utilisateur, il travaille aux Service Financier d’une grande société d’Energie. Dans le cadre de son travail, il doit traiter énormément de courriers électroniques qui émanent d’utilisateurs extérieurs.
M.Doe aujourd’hui reçoit un mail d’une société qui a priori, réclame le paiement d’une facture. M.Doe enregistre la pièce jointe sur son ordinateur et l’ouvre. Le document lui apparaît de manière inintelligible et totalement abscons. Heureusement, il est écrit dans un Français très correct, la procédure en cas de problème similaire. M.Doe, suit cette procédure et active les macros (On reviendra sur les macros plus tard.). Une fois celle-ci activées, M.Doe accède à une fausse facture. Il se renseigne, voit que la facture n’est pas valide. Il supprime donc le mail.

Coté Machine :
Lors de l’enregistrement de la pièce jointe, ce fichier est placé dans un dossier qu’on nomme « Temp ». Une fois le mail supprimé, la pièce jointe est toujours enregistrée. Quand M.Doe a activé les macros sur la suite bureautique Microsoft Office, il a ouvert une brèche dans sa machine. Cette brèche a permis l’exécution d’un code informatique caché dans le document. Ce code a téléchargé ce qu’on appelle un « Loader ». Ce petit programme (- 1Mo) télécharge lui le véritable programme qui va chiffrer l’ensemble des documents (pas tous, en fait, cela dépend du malware) de la machine. Une fois le chiffrement effectué, la clé de chiffrement est envoyée au pirate via un serveur. Enfin, il supprime celle-ci de la machine et s’autodétruit, ne laissant juste que les informations nécessaires au paiement de la rançon.
Maintenant, nous allons voir rapidement les 4 questions permettant de détecter un courriel malveillant ou potentiellement indésirable :
-Le français n’est pas correct ?
-Est-ce que son adresse e-mail est anormale ? (Les pirates utilisent surtout des mails avec des extensions comme .ve, pw, io, in, etc | En règle générale, une société utilise le .COM, ou en France, le .FR)
-Me demande-t-il de l’argent ?
-Me demande-t-il de modifier mon logiciel pour pouvoir lire ses documents ?

Si a, au moins, deux de ces questions, vous avez répondu OUI, contactez votre service informatique et expliquez votre problème.
Enfin, dernier point sur les logiciels malveillants de ce type, sachez qu’il s’en développe tous les jours. La vigilance doit donc être quotidienne.


Petite actualité, en ce moment, le rançongiciel Locky sévit de plus belle, faisant l’objet d’une alerte et d’un rapport McAfee.
Liens : Alerte : http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ALE-001/index.html
Rapport McAfee : https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf

LOG OFF