Médiatisés et popularisés à la suite des incidents WannaCry et NotPetya, les rançongiciels (ransomwares en anglais) font désormais partie du domaine public. Le magazine Forbes avançait même le chiffre de plus de 20 000 ordinateurs par mois qui seraient infectés par ces logiciels malveillants en France. Mais saviez-vous qu’il existe rançon et… rançon ? Retour sur les ransomwares les plus surprenants de ces dernières années.
CryptoJoker : un ransomware négociable
On ne le répètera jamais assez : en cas de cyberattaques, il ne faut pas payer les demandes de rançons. Outre le fait d’inciter la mécanique et l’activité des créateurs de ces malwares, payer une rançon ne garantit pas que vous puissiez récupérer vos fichiers chiffrés. Dans une étude de 2016, Kaspersky avançait le chiffre de 17% des victimes de ransomwares qui ne récupèrent jamais leurs fichiers après avoir payé la rançon…
Pour « optimiser » le nombre de payeurs, CryptoJoker est devenu le premier crypto-ransomware à proposer une nouveauté aux victimes : la possibilité de négocier la rançon à payer pour récupérer ses données. Découvert dès janvier 2016, ce ransomware marquait les débuts de l’ère créative chez les pirates informatiques…
Jigsaw : un ransomware angoissant
Autre ambiance et parti-pris avec Jigsaw. Découvert en avril 2016, il est directement inspiré de la série de films d’horreur « Saw ». En plus d’utiliser le visuel de la célèbre poupée « Billy », ce ransomware joue en effet sur la pression psychologique des victimes puisqu’il augmente et efface une partie des données toutes les heures. Sur fond de compte à rebours qui plus est.
CryptMix : un ransomware caritatif
Créé par un groupe de pirates informatiques « The Charity Team » et découvert en mai 2016, le ransmoware CryptMix promettait de reverser l’argent de la rançon à… des organisations de charité pour enfants. Dans le message qui apparaissait à l’écran, les auteurs de l’attaque remerciaient les victimes pour leur participation et expliquaient que « beaucoup d'enfants recevront des cadeaux et de l'aide médicale ».
À noter que dans le post-scriptum, ils prévenaient également les victimes que la rançon augmenterait automatiquement à cause du serveur si celle-ci n’était pas payée dans les 24 heures. Grands princes.
PopCorn Time : un ransomware à partager
Découvert en décembre 2016 par l’équipe MalwareHunterTeam, le ransomware PopCorn Time proposait une alternative sociale au paiement de la rançon. Pour récupérer ses fichiers chiffrés, la victime pouvait en effet tenter d’infecter plusieurs de ses connaissances et attendre qu’au moins deux d’entre elles payent la rançon.
Un sacré cadeau de fin d’année.
Koolova : un ransomware éducatif
Peu de temps après, en janvier 2017, un autre ransomware proposait de restaurer gratuitement les fichiers chiffrés. Avec Koolova, plus besoin d’infecter des amis ; il suffit de lire deux articles sur les ransomwares. Et selon Lee Matthews, auteur pour le magazine Forbes, ces deux articles étaient intéressants à lire puisqu’il s’agissait d’un papier publié par les membres de l’équipe de sécurité de Google sur la navigation sur le net et d’un papier de BleepingComputer sur le ransomware Jigsaw.
L’éducation par la menace ; une piste à creuser pour les DSI ?
Spora : un ransomware à la carte
Après les rançons négociables, les ransomwares franchissent une nouvelle étape en janvier 2017 avec l’apparition de techniques marketing. Pour récupérer les fichiers chiffrés par le ransomware Spora, différentes fonctionnalités tarifées sont en effet proposées aux victimes : fichier déchiffré à l’unité, désinstallation du virus, promesse de ne pas se faire réinfecter ou encore restauration complète.
À noter le beau geste commercial, puisque les deux premiers fichiers déchiffrés sont gratuits.
rensenWare : un ransomware ludique
Créé par un étudiant coréen, le ransomware rensenWare s’est vite propagé en avril 2017 après avoir été déposé sur un site de partage. Pour déchiffrer et récupérer ses fichiers, rien de plus simple : terminer un jeu. En théorie, car dans la pratique, le jeu était configuré en mode hardcore.
Plus récemment, l’équipe de chercheurs MalwareHunterTeam a découvert une déclinaison light avec le « PUBG ransomware », qui demandait de jouer au jeu vidéo PUBG… pendant une heure !
Another top quality ransomware that asks you to play a game to decrypt files: "PUBG Ransomware".
Sample: https://t.co/qyEHMG2orL
Extension: .PUBG
This sample only encrypts files on desktop (including subdirectories)...@BleepinComputer @demonslay335 pic.twitter.com/5406DPbwmX— MalwareHunterTeam (@malwrhunterteam) 9 avril 2018
nRansom : un ransomware pervers
Dernier de cette liste chronologique, le ransomware nRansom a fait parler de lui en septembre 2017. Comme d’autres exemples dans cette liste, il ne demandait pas aux victimes de payer une rançon en bitcoins mais de faire parvenir aux pirates informatiques pas moins de 10 photos de nu de la victime…
Par la suite, les analyses de ce virus ont démontré qu’il s’agissait davantage d’un malware inoffensif, qui ne chiffrait pas les données. nRansom, blague salace ou coup d’essai ?
Si les études tendent à montrer que l’évolution des ransomwares est plutôt à la baisse, ils n’en demeurent pas moins une menace à prendre au sérieux de par leur potentiel de nuisance. Installer régulièrement les mises à jour, sensibiliser en interne face aux fichiers suspicieux et réaliser une sauvegarde régulière dans le Cloud sont autant de premières pistes rapides à mettre en place au sein de l’entreprise.