Cryptolocker : vos fichiers en otage

Qu’est-ce que le Cryptolocker ?   Le CryptoLocker est un logiciel malveillant dit « rançongiciel » (ransomware) qui se propage par courrier électronique à l’ouverture d’une pièce jointe, d’un fichier zippé. En très peu de temps des dizaines de milliers de données sont « prises en otages et rançonnées ». Des mairies, entreprises, particuliers en France se sont vues crypter leurs dossiers en une fraction de seconde, au Royaume-Uni les ordinateurs d’universités et d’étudiants ont ainsi été complètement cryptés. A l’ouverture d’une pièce jointe, les documents des disques internes, partages réseaux, clés USB ou disques dur externes connectés sont chiffrés (le contenu n’est plus visible). Les pirates proposent de rendre les données après le paiement d’une rançon dans un délai imparti, au-delà duquel les documents sont définitivement perdus (généralement 72 heures). Comment fonctionne le CryptoLocker ? C’est un code malveillant classique qui se copie dans le dossier temporaire au moment du lancement. La persistance du code est assurée par l’ajout de deux clés de registre dans le profil de l’utilisateur courant. Une fois la persistance établie sur la machine de la victime, le rançongiciel va utiliser son algorithme de génération de noms de domaine (détaillé dans la section suivante) pour identifier le ou les serveurs de contrôle et de commande avec lesquels il va pouvoir communiquer. Lorsque le serveur a été identifié, CryptoLocker demande au serveur de contrôler et de commander la génération d’un couple de clés RSA 2048 bits. L’une d’elle est stockée sur le serveur, l’autre est envoyée au logiciel malveillant pour chiffrer les données jugées importantes (PDF, fichiers textes, tableaux, fiches de paies,  rapports, analyses techniques, images, photos etc… )...