Rançongiciels : apparition de Synolocker et mise en ligne d’une solution pour les victimes de Cryptolocker

07.08.2014 - Le paysage des maliciels de type « rançongiciels » (ou ransomware) est en constante évolution. Alors qu’un nouveau maliciel du nom de Synolocker a fait son apparition, une solution permettant aux victimes de Cryptolocker de récupérer leurs données est mise en ligne.

Synolocker, un nouveau rançongiciel en circulation

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a reçu ces derniers jours plusieurs annonces concernant un rançongiciel nommé Synolocker. Une fois infecté, l’utilisateur verra ses données cryptées et une rançon lui sera demandée. Cette méthode rappelle ce qui avait été observé avec le maliciel Cryptolocker. Une différence est cependant que ce maliciel cible exclusivement les utilisateurs de NAS (Network Attached Storage) de la marque Synology. Les recommandations de MELANI pour Cryptolocker s’appliquent ici aussi. En particulier, il est recommandé d’effectuer des sauvegardes régulières des données importantes sur un support externe, qui sera connecté à l'ordinateur uniquement lors de la sauvegarde des données. Par ailleurs, les supports utilisés devront être changés, par exemple chaque semaine ou chaque mois, afin d’avoir à disposition différentes versions des sauvegardes sur différents supports.

Il est désormais établi que seuls les NAS de Synology sur lesquels sont installés des anciens systèmes d’exploitation sont touchés. Il convient donc d’y installer immédiatement les dernières mises à jour de sécurité. MELANI recommande comme règle générale de toujours veiller à utiliser le système d’exploitation le plus récent.

En plus de cela, Synology a publié d’autres recommandations, de même qu’un formulaire de contact, sur son site web : https://myds.synology.com/support/support_form.php?lang=us

Mise à disposition d’un outil de décryptage pour les victimes de Cryptolocker

De meilleures nouvelles font également l’actualité : les entreprises FireEye et Fox-IT ont annoncé la mise en ligne d’un service gratuit permettant aux victimes de Cryptolocker de récupérer leurs fichiers encore cryptés par le maliciel. Comme cela avait été reporté par les médias, des mesures ont été prises par le FBI contre le Botnet de Cryptolocker en juin dernier. De nombreuses victimes ont cependant des fichiers encore inaccessibles.

Le service est disponible à l’adresse suivante : https://www.decryptcryptolocker.com . Son fonctionnement est aisé et ne nécessite pas de paiement ou d’inscription préalable. Nous recommandons de veiller à bien utiliser l’URL exacte figurant ci-dessus.

La marche à suivre est la suivante :

  1. Identifiez un fichier crypté par Cryptolocker sur votre machine. Veillez à choisir un fichier ne contenant pas d'informations sensibles
  2. Transmettez le fichier à travers la plateforme https://www.decryptcryptolocker.com. Votre adresse E-mail vous sera également demandée, sur laquelle la solution de décryptage vous sera envoyée
  3. Vous recevrez par E-mail une clef et un lien pour télécharger et installer un programme de décryptage
  4. Démarrez le programme localement sur votre machine en utilisant la clef reçue
  5. Les fichiers se trouvant sur l'ordinateur concerné seront ensuite décryptés

Dans le cas de Synolocker également, il n’est pas à exclure qu’une telle solution émerge dans le futur. Il est ainsi conseillé de conserver les données cryptées par Synolocker.

La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI décline toute responsabilité quant à d’éventuels dommages survenus suite à l’utilisation du service proposé sur https://www.decryptcryptolocker.com. La mise en œuvre de la procédure décrite ci-dessus a lieu sous la responsabilité individuelle de l’utilisateur.

 

 

Informations complémentaires

Dernière modification 07.08.2014

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/rancongiciels---apparition-de-synolocker-et--mise-en-ligne-dune-.html