Wooxo News, actualités et Blog - Alertes Cyberattaques

Bulletin d'Alerte "LockBit Ransomware"

Rédigé par Anaïs Daniel | 27 févr. 2020 16:40:04

 

Depuis décembre 2019, Wooxo a pu constater parmi ses clients de nombreux cas d'entreprises infectées par LockBit Ransomware, un cryptovirus très tenace qui pénètre dans chaque ordinateur et crypte toutes les données qu'il rencontre sur son passage. 

 

 

Actif depuis début décembre 2019, LockBit Ransomware était destiné aux utilisateurs anglophones, mais a, en quelques semaines à peine, contaminé l'ensemble du globe. Depuis son apparition, il s'est attaqué à de nombreuses entreprises françaises et continuent à l'heure actuelle de faire des ravages dans les productions informatiques professionnelles.  

 

Rien ne semble lui résister ou presque... En effet, YooShield, l'antimalware de nouvelle génération de Wooxo a été capable de le détecter et de le bloquer bien en amont de ses premières attaques sur le territoire français. Aujourd'hui, Wooxo recommande à tous ses clients d'installer l'anti-ramsomware YooShield en plus de leur solution de sauvegarde afin d'éviter des pertes de temps à restaurer post infection et d'éviter des éventuels fuites de données. 

 

 

Qu'est-ce que LockBit Ransomware ?  

Lockbit Ransomware est un cryptovirus puissant. Ce programme informatique malveillant est en effet capable de s'emparer de l'ensemble des données d'une entreprise et de les prendre en otage en les chiffrant. Les employés et collaborateurs ne peuvent alors plus lire leurs fichiers et se voient dans l'incapacité de travailler. En résulte, bien souvent, une suspension d'activité et une grosse perte financière pour les entreprises touchées. 

 

 

Comment s'installe-t-il sur des ordinateurs ? 

Comme la plupart des cryptovirus, LockBit Ransomware parvient à prendre possession d'un ou de plusieurs ordinateurs professionnels, grâce à (ou à cause de) la non-vigilance de certains employés : une pièce jointe infectée, un lien malveillant, le 0-day du navigateur, une extension installée, ou bien, à travers une clé USB infectée. Il faut donc aujourd'hui redoubler de vigilance pour éviter de tomber dans les nombreux pièges que nous tendent les cybercriminels !  

 

 

Pourquoi avoir développé ce cryptovirus, LockBit Ransomware ?   

Le but de ce cryptovirus est simple : inciter les entreprises dont les données ont été prises en otage à payer la rançon demandée pour pouvoir être en mesure de travailler à nouveau. Les entreprises "infectées" n'ont la plupart du temps guère le choix que de céder à cet horrible chantage. N'étant pas prêtes à perdre leurs fichiers les plus importants, elles ne résistent pas longtemps au choix qu'on leur propose : verser de l'argent au(x) cybercriminel(s) pour récupérer l'ensemble de leurs données.  

 

 

Comment se déroule une attaque par le cryptovirus LockBit Ransomware ?  

Une fois installé sur les ordinateurs, LockBit va passer au processus de décryptage. Le cryptovirus renomme alors chacun des fichiers présents sur les postes avec l'extension "abcd" et rend ainsi tous les fichiers infectés illisibles 

 

Il crée ensuite un fichier texte nommé "Restore-My-Files.txt" et le dépose dans chaque poste infecté. Ce fichier texte informe l'utilisateur du poste qu'il vient d'être attaqué par un cryptovirus et que ses données sont par conséquent désormais cryptées. Il annonce l'ensemble des instructions nécessaires pour pouvoir restaurer les données dans leur état d'origine. 

 

Voici le type de message envoyé : 

 

 

Tous vos fichiers importants sont cryptés ! 

Il n'y a qu'une seule façon de récupérer vos fichiers : 

1. Contactez-nous. 

2. Envoyez-nous 1 fichier crypté, ainsi que votre clé personnelle. 

3. Nous décrypterons en guise de test ce fichier (taille maximale du fichier - 1 MB), pour vous prouver que nous pouvons décrypter l'ensemble de vos fichiers. 

4. Payez. 

5. Recevez le logiciel de décryptage. 

  

Attention ! Ne renommez pas les fichiers cryptés. 

Et n'essayez pas de les décrypter en utilisant un logiciel tiers, cela pourrait entraîner une perte permanente de vos données. 

La tentative de décryptage de vos fichiers avec l'aide d'un tiers peut également entraîner une augmentation du prix. 

 

+ Prix de la rançon 

  

Informations de contact :  

Veillez à reproduire votre message sur l'e-mail :  

Votre identifiant personnel : 

 

 

 

Le fichier texte se termine ainsi par un avertissement, incitant les victimes du cryptovirus à ne point tenter de renommer les fichiers cryptés ou à ne pas essayer de les décrypter manuellement avec un logiciel tiers, au risque de perdre de façon définitive l'ensemble de leurs données. Bien souvent, il est réclamé une deuxième rançon par les cybercriminels afin d'empêcher la divulgation de vos données confidentielles publiquement. 

 

 

 

Comment éviter une telle attaque ?  

Pour empêcher le cryptovirus LockBit d'effectuer d'autres cryptages, il doit impérativement être supprimé de tous les postes infectés. Malheureusement, si les ordinateurs professionnels d'une entreprise ont déjà été "contaminés" par ce cryptovirus, il est bien souvent trop tard : la suppression de LockBit ne permettra en effet pas de restaurer les données déjà compromises ! 

 

Les conséquences d'une telle attaque sont donc la plupart du temps assez dramatiques. Il vaut mieux prévenir une telle infection en vous équipant de solutions professionnelles de prévention contre l'infection (anti-malware), ainsi que d'une solution de sauvegarde professionnelle et de restauration de données. 
 

Les données, stockées dans un emplacement séparé de la production infectée, pourront alors facilement être restaurées de façon intègre sur les ordinateurs et serveurs de l'entreprise, et lui permettre de reprendre sainement son activité, une fois le cryptovirus supprimé.