Chevaux de Troie de cryptage et leurs conséquences : tous les fichiers cryptés avec l’extension CRAA

Les chevaux de Troie de chiffrement sont toujours un problème majeur, un rapport d’expérience.

Un peu désespéré, un client m’a appelé cette semaine, tous les fichiers de son ordinateur ont reçu une nouvelle extension. Les fichiers ont maintenant une extension .craa et ne peuvent plus être ouverts après avoir testé un logiciel sur Internet.

J’ai rapidement compris qu’il s’agissait probablement d’un cheval de Troie de cryptage, ce qu’une brève recherche sur Google a confirmé. Derrière cette affaire se cache le ransomware Djvu, qui sévit depuis de nombreuses années. Une fois que l’on s’est fait pénétrer la chose, le logiciel commence à crypter les données en arrière-plan.

Les documents, les fichiers texte, les images et les vidéos sont concernés.

En outre, le cheval de Troie dépose un fichier “readme” qui informe la victime en conséquence et réclame l’argent.

En termes de prix, cette variante s’adresse aux utilisateurs privés. Il faut débourser un peu moins de 1000 dollars et une remise est accordée pendant les 72 premières heures. On peut faire décrypter un fichier gratuitement, comme preuve que les escrocs disposent effectivement de la clé.

Nous n’avons pas essayé de savoir si cela fonctionnait dans la pratique. De toute façon, ce n’est pas une bonne idée de jeter de l’argent aux escrocs et il ne faut donc l’envisager que dans des cas tout à fait exceptionnels. Mieux vaut opter pour une sauvegarde ou une stratégie de sauvegarde. Nous y reviendrons plus tard.

Nettoyer son ordinateur

La première mesure à prendre est de déconnecter l’ordinateur d’Internet. Ensuite, l’ordinateur doit être éteint. Cela permet, le cas échéant, de stopper le chiffrement des fichiers.

Les disques durs USB doivent être déconnectés de l’ordinateur. Si vous disposez d’une sauvegarde complète du système, vous pouvez l’importer.

Un nettoyage est possible, mais devrait être effectué sans que le système d’exploitation soit démarré, par exemple avec Windows ToGo.

Si ce n’est pas une sauvegarde, il faut en créer une, par exemple également à partir de Windows ToGo. Les fichiers ne doivent pas être réutilisés directement, mais servent uniquement de sécurité supplémentaire, par exemple au cas où Windows serait réinstallé.

Réinstaller Windows est la variante la plus sûre. Pour ceux qui disposent d’une sauvegarde des données, c’est la meilleure solution.

Décryptage avec un outil

.

Je me suis fait envoyer quelques fichiers. Tous des fichiers texte. Un coup d’œil dans le fichier montre le désastre. Plus rien n’est lisible, tout est crypté.

Il y a un peu d’espoir sous la forme d’un outil de décryptage. Toutefois, celui-ci vient doucher les espoirs dès son lancement.

Un décryptage n’est actuellement possible que pour les anciennes variantes, ou pour les clés qui sont déjà connues. Dans notre cas, c’est “pas de chance”.

Bien entendu, les développeurs de ransomware savent aussi que ces programmes de décryptage existent et adaptent leurs logiciels en conséquence.

Liens

Impossible de décrypter ? Et maintenant ?

Si le décryptage n’est pas possible, les données cryptées ne doivent pas être supprimées. Il est préférable de les archiver. Il est ainsi possible que les clés soient connues à un moment donné et que l’outil de décryptage puisse les utiliser à l’avenir.

Stratégie de sauvegarde pour les particuliers

Comment les utilisateurs privés se prémunissent-ils ? La réponse est en premier lieu les sauvegardes. L’idéal est de faire régulièrement une sauvegarde sur au moins deux disques durs USB. L’un d’entre eux ne doit pas toujours être connecté à l’ordinateur, sinon il est également crypté.

Si nous avons une sauvegarde, nous pouvons réinstaller les fichiers après l’attaque. Idéalement, nous devrions également faire une sauvegarde régulière de notre ordinateur, afin de ne pas avoir à le nettoyer, mais de pouvoir revenir à un état antérieur.

Utilisation de services en nuage

Une autre bonne option est l’utilisation de services cloud, comme Microsoft OneDrive. Les fichiers sont stockés hors du domicile, sur les serveurs du fournisseur concerné. Ici aussi, les fichiers locaux seraient cryptés puis synchronisés avec le service cloud, mais les services cloud enregistrent des versions plus anciennes des fichiers, ce qui permet de les récupérer. De nombreux services de cloud computing détectent également lorsqu’un cheval de Troie de cryptage est actif et bloquent les modifications.

Il est également possible de restaurer l’ancienne version du service cloud.

En principe, il est recommandé d’utiliser en parallèle le cloud et la sauvegarde locale.

Conclusion

Dans notre cas, cela ne s’est pas déroulé de manière optimale. Il n’y avait pas de sauvegarde et les fichiers sont donc pour l’instant cryptés. Une stratégie de sauvegarde a donc été mise en place, au moins pour l’avenir.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *