Bien souvent, une attaque de cryptovirus commence par l’envoi d’un e-mail contenant une pièce jointe (notamment ZIP compressé contenant un document Word ou PDF). Une fois la pièce jointe ouverte, le logiciel malveillant se déploie dans le système de l’utilisateur.
A l’heure actuelle, méfiez-vous de Locky qui depuis mi-février se répand comme une trainée de poudre dans toute l’Europe (notamment en France et en Allemagne). Celui-ci évolue chaque semaine en utilisant de nouvelles méthodes de propagation. Le CERT-FR a observé que la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du logiciel malveillant. L’exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l’extension « .locky ». Le message électronique a pour sujet « ATTN: Invoice J- » et la pièce jointe pour nom « invoice_J- » ou peut provenir de l’opérateur Free Mobile.
En outre, si vous naviguez sur un site Web contenant un rançongiciel, vous risquez de voir votre poste de travail infecté. En effet, vous exécutez alors sans le savoir un script non sécurisé (parfois, en cliquant sur un lien ou en téléchargeant un fichier), ce qui permet au cryptovirus de se déployer dans le système. Certaines variantes diffusées, en fin d’année 2015, s’attaquaient également aux espaces de stockage dématérialisés. Le cas d’une infection sur l’ensemble des données d’une entreprise conservant tous ses fichiers sur le service Google Drive a depuis fait école.
Enfin, une boîte de dialogue apparaît vous informant que vos données sont bloquées et que vous devez verser une rançon pour pouvoir les récupérer. Actuellement, il n’y a aucun moyen connu de décrypter un fichier infecté.
Les postes qui seront infectés, s’ils n’ont pas été sauvegardés, perdront toutes les informations enregistrées sur les disques locaux. Si le cryptovirus atteint les serveurs, tous les postes liés aux serveurs seront infectés. Il faudra alors reconfigurer tous les postes et restaurer une sauvegarde afin de retrouver les données.
Les principaux vecteurs d’infection connus sont :
– L’e-mail avec une pièce jointe malveillante
– L’ingénierie sociale qui a pour vocation d’extirper frauduleusement de l’information à l’insu de son interlocuteur en incitant à installer délibérément un programme
– Le Drive-By-Download qui enclenche le téléchargement et l’installation automatique d’un logiciel malveillant suite à la consultation d’un mail ou d’un site piégé
– L’installation via un autre logiciel malveillant et les réseaux zombie utilisés pour la diffusion de pourriels.