Comment savoir si vous avez été touché par de faux ransomwares

Contrairement à la plupart des logiciels malveillants, les ransomwares ne sont pas furtifs. C'est bruyant et odieux, et si vous avez été infecté, les attaquants vous le diront en termes non équivoques. Après tout, ils veulent être payés.

«Vos fichiers personnels sont cryptés», résonne le message sur l'ordinateur. "Vos documents, photos, bases de données et autres fichiers importants ont été chiffrés avec le chiffrement le plus puissant et la clé unique, générés pour cet ordinateur." Bien que la langue puisse varier, l'essentiel est le même: si vous ne payez pas la rançon - généralement dans les 48 à 72 heures - vos fichiers sont arrosés.

Ou sont-ils? Il y a une faible possibilité que les auteurs tentent de vous tromper et que les fichiers n'ont pas été cryptés. Bien que ce ne soit pas un scénario courant, cela se produit, selon les experts du secteur. Plutôt que de payer, vous pouvez contourner le faux message effrayant et passer à autre chose.

«Il existe un certain nombre d'exemples où le véritable cryptage ne se produit pas. Au lieu de cela, les cybercriminels s'appuient sur l'ingénierie sociale de l'attaque pour convaincre les gens de payer », prévient Grayson Milbourne, directeur du renseignement de sécurité chez Webroot.

Est-ce vrai ou faux?

Il ne faut que quelques secondes pour confirmer s'il s'agit d'une véritable infection ou d'une arnaque d'ingénierie sociale.

Si la demande de rançon comprend le nom du ransomware, alors il n'y a pas de mystère et vous êtes en difficulté. Les familles de ransomwares qui s'identifient comprennent Linux.Encoder - le premier ransomware basé sur Linux - qui dit clairement «chiffré par Linux.Encoder». CoinVault s'identifie en répertoriant l'adresse e-mail du support. TeslaCrypt et CTB-Locker font également partie des familles de ransomwares bien connues qui vous indiquent qui détient vos fichiers en otage.

Mais il y a beaucoup de jeux de rançon qui ne se soucient pas des noms. Par exemple, CryptoLocker a simplement averti que vos fichiers ont été cryptés et n'ont jamais affiché son nom. Au lieu de cela, vous devrez rechercher d'autres indices: existe-t-il une adresse e-mail d'assistance? Recherchez sur Internet l'adresse de paiement Bitcoin ou le message de rançon réel et voyez ce qui se passe sur les forums ou auprès des chercheurs en sécurité.  

Si vous ne pouvez pas identifier le ransomware, il est possible qu'il soit faux. Dans de tels cas, vos fichiers ne sont pas réellement chiffrés; l'attaquant affiche simplement un message effrayant et verrouille l'écran. La demande de rançon apparaît généralement dans une fenêtre de navigateur et ne permet pas à l'utilisateur de s'éloigner, ou elle verrouille l'écran et affiche une boîte de dialogue demandant une clé de cryptage. Parce que la victime ne peut pas fermer le message, il semble réel.

S'il est possible de fermer l'écran à l'aide de raccourcis clavier, tels que Alt-F4 sous Windows et Commande-W sous Mac OS X, alors la demande de rançon est fausse. Ou essayez de forcer le redémarrage de l'appareil et voyez si le message disparaît.

Les ransomwares ont tendance à changer le nom de fichier dans le cadre du processus de cryptage. Locky ajoute une extension de fichier .lock à tous les documents, tandis que CryptXXX utilise l'extension de fichier .crypt. Parcourez les fichiers et voyez quels fichiers ont été modifiés. Voyez si vous pouvez toujours les ouvrir ou si vous pouvez modifier les extensions de fichier et ouvrir les fichiers. Parfois, les extensions de fichiers ont été modifiées sans réellement crypter les fichiers.

Revenez dans le système à l'aide d'un CD Linux Live et recherchez le système pour voir si les fichiers réels ont été déplacés ou renommés. La plupart des systèmes d'exploitation modernes peuvent rechercher le contenu du fichier avec les noms de fichiers.

N'ayez pas trop d'espoir

Bien qu'il soit bon d'être sceptique, si vous voyez une demande de rançon, c'est probablement légitime. Grâce aux kits de logiciels criminels préchargés avec des ransomwares et des ransomwares en tant que service, la barrière à l'entrée est beaucoup plus faible. Les script kiddies et autres criminels moins techniquement enclins essaient de profiter du succès de vrais gangs de ransomwares sans se mettre au travail.

«La simplicité d'acheter votre crypto-malware auprès d'un fournisseur de services criminels signifie désormais que les cybercriminels peuvent facilement déployer une attaque de ransomware qui utilise un cryptage complexe et efficace contre leurs cibles», déclare Orlando Scott-Cowley, stratège en cybersécurité de Mimecast. .

Les infections par ransomware sont une menace sérieuse et les fausses attaques sont relativement rares. Mais avant de commencer le processus de reconstruction de votre machine pour récupérer d'une infection par ransomware, assurez-vous de ne pas être victime d'une arnaque. Cela ne prend que quelques minutes.

S'il s'avère que vous avez été victime de la vraie chose, vous pouvez avoir une autre mince chance: les outils de décryptage accessibles au public.