En ce moment
 
 

Des PME liégeoises rançonnées par un nouveau virus: "Il ne faut surtout pas payer"

Des PME liégeoises rançonnées par un nouveau virus:
 
arnaque, Web
 

Raphaël, actif dans le secteur de l'informatique en région liégeoise, a contacté RTL info pour prévenir la population qu'un genre très vicieux de "virus" sévit actuellement. Quatre de ses clients ont été victimes d'un "logiciel rançon", l'un d'entre eux a tout perdu…

On pourrait écrire un article chaque semaine sur les nouvelles formes de virus qui affectent nos ordinateurs, ruinent des années de souvenirs, fait perdre un temps et une énergie précieuse à de nombreuses entreprises.

La dernière en date, même si elle n'est pas nouvelle, nous concerne tous car "elle s'étend rapidement", nous a expliqué Raphaël, informaticien à Liège: il s'agit d'un ransomware.

C'est un logiciel malveillant qui encrypte vos fichiers (Word, PDF, Excel, JPG, etc): lorsque vous voulez les ouvrir, une page web vous indique qu'il faut payer pour les débloquer. C'est pour cette raison qu'on parle de "rançon".

Et comme nous l'a fait remarquer Raphaël, en contactant la rédaction de RTL info via la page Alertez-nous, "il faut être plus vigilant que d'habitude" car "quatre clients" de ce magasin d'informatique liégeois, "des PME et un indépendant", ont été victimes de cette rançon virtuelle ces dernières semaines.

Comment attrape-t-on ce ransomware ?

Comme la plupart des virus, il faut une manipulation humaine pour qu'il s'installe sur un ordinateur. "C'est généralement par email, lorsque la pièce jointe est un fichier ZIP (les gens sont généralement méfiants et n'ouvrent que rarement ce genre de fichier), mais également un document Word", nous a expliqué Raphaël.

Ce document Word peut "exécuter une macro" (une série d'actions) qui installe finalement le virus caché sur l'ordinateur. "Normalement, la suite Office ouvre le document en Mode protégé, qui empêche l'exécution de ces macros, mais certains désactivent ce mode…"

Usurpation d'identité

Mais "le plus gros problème", la raison principale de l'ouverture d'une pièce jointe corrompue, "c'est l'usurpation d'identité".

En effet, quand ces fichiers Word ou ZIP sont envoyés par un adresse inconnue, la plupart des gens sont désormais très méfiants. Mais s'il s'agit de l'email "d'un fournisseur ou d'un client", c'est forcément différent.

"Même moi, j'ai failli me faire avoir. Un de nos fournisseurs nous a envoyé une facture par email, c'était un document Word. L'adresse email était la bonne, mais le texte était en néerlandais et de plus, on ne reçoit jamais les factures sous  forme de document Word".

Raphaël a donc supprimé l'email sans ouvrir la pièce jointe, mais tout le monde n'est pas aussi attentif ou aussi prudent.  

Que se passe-t-il lorsque le ransomware est installé?

Si par malheur vous avez ouvert le document Word ou le fichier ZIP, c'est trop tard. Rapidement, le logiciel malveillant s'installe et encrypte vos documents. Ils existent toujours, mais il faut une clé pour les décrypter. "De plus, tous vos fichiers, .doc, .pdf, .jpg, etc, voient leur extension modifiées. Ils deviennent: 'malettre.doc.isx', par exemple".

Et lorsqu'on essaie d'ouvrir ses fichiers, une page web vous explique la marche à suivre pour payer la rançon. "Souvent, ils proposent de payer entre 500 et 1.000$ via Paypal, en Bitcoins, etc… des moyens de paiement anonymes".

En réalité, votre ordinateur, bien qu'infecté, tourne normalement, afin que justement, vous puissiez vous rendre sur les sites adéquats pour payer la rançon. "L'OS (Windows) fonctionne toujours…"

Que faut-il faire ?

Avant tout, "il faut une vigilance accrue" pour ne pas télécharger les fichiers suspects, nous rappelle Raphaël. Mais si le mal est fait, "il y a des solutions dans certains cas".

Si vous avez fait une sauvegarde via un logiciel (et non une simple copie de données sur une clé USB, par exemple), votre back-up est "une image", cela signifie que c'est un seul gros fichier qui correspond à l'entièreté de votre sauvegarde. Les fichiers Word, par exemple, n'apparaissent pas en tant que tel et ne sont donc pas contaminés.

"Après avoir nettoyé votre ordinateur (attention, certains logiciels antivirus n'identifient pas encore tous les derniers ransomware…), il faut alors effectuer la restauration d'une sauvegarde précédente".

Un des clients de Raphaël avait simplement copié ses fichiers sur un disque dur externe. "Pour lui, c'est foutu, tout est infecté, il n'y a rien à faire".

Ne jamais payer

Selon Raphaël, payer n'est pas une bonne idée. "Car au-delà du fait que vous n'avez aucune garantie de retrouver vos documents, vous encouragez un système de rançon", ce qui pourrait multiplier les tentatives des escrocs informatiques.

Les trois PME de la région liégeoise qui étaient concernées ont été sauvées par Raphaël, qui avait prévu des sauvegardes via logiciel.

Raphaël, dont le seul but est de "prévenir la population" qu'une nouvelle vague de ransomware sévit actuellement en Wallonie, appelle donc à "la plus grande vigilance". C'est ce que vous diront tous les responsables des services informatiques dans les entreprises…

 

 




 

Vos commentaires