Midsommar Traductions

Midsommar, c'est aussi des services de traduction et de rédaction/pigisme.

Découvrez-les sur le site de Midsommar Traduction & Rédaction.

Se prémunir contre le virus Cryptolock / Crypto locker

Lorsque je pratique du dépannage informatique, je suis souvent effaré de voir l'état des ordinateurs des utilisateurs... je ne parle pas là de leur état matériel, mais logiciel. Sous Windows, la quantité de logiciels plus ou moins malveillants présents est souvent énorme (et une cause courante d'appel à un dépanneur). Ces derniers temps, un malware particulièrement vicieux a fait son apparition sur internet : surnommé Cryptolock ou Crypto Locker, ce virus est terriblement cruel. Il chiffre les données personnelles de l'utilisateur (documents, images, pdf etc.) et donne un temps limité à l'utilisateur pour payer une rançon (en général 300$). Si vous payez dans le temps imparti, vos fichiers sont déchiffrés et retournent à leur état normal. Sinon... vos fichiers sont perdus pour toujours.

Ce qu'il a de particulièrement dur est que si vous vous débarassez du virus, vous ne récupérez pas vos fichiers pour autant. Lorsque votre antivirus entre en action par exemple, il est souvent trop tard : vos fichiers sont cryptés, donc "captif", et contre cela, l'antivirus ne peut absolument rien faire. Il n'existe aucun autre moyen de récupérer ses fichiers que de payer (d'où l'intérêt de faire des sauvegardes, rangées hors de l'ordinateur). Pas la peine non-plus de faire appel à mes services de dépannage informatique : je ne peux pas déchiffrer vos fichiers, ni moi ni personne. Il est impossible de le faire sans payer la rançon. Malheureusement, le cryptage est très bien conçu et donc inviolable. La meilleure solution est donc d'empêcher le virus d'agir en premier lieu.

Fort heureusement, cela est assez simple et je vais vous détailler pas à pas la procédure.

Note : vous pouvez cliquer sur chaque image pour la visualiser en "taille réelle".

Etape 1 : Rendez-vous dans l'outil "Stratégie de sécurité locale".
Vous n'avez sans doute jamais entendu parler de cet outil, et pourtant y accéder est très simple. Rendez-vous dans le menu démarrer, tapez "Stratégie de sécurité locale", il apparait, vous n'avez qu'à cliquer dessus.
Menu Démarrer

 
Etape 2 : Aller dans la partie "Stratégies de restriction logicielle".

Dans la liste qui se présente sous vos yeux, vous verrez cette option : "Stratégies de restriction logicielle". Cliquez dessus pour vous y rendre. Lorsque ceci est fait, deux possibilités : ou bien des stratégies sont déjà en place (créées par Windows), ou bien il n'y a rien du tout, et Windows vous proposera d'en créer. Dans cette seconde hypothèse, suivez les instructions données par Windows.

Stratégie de sécurité locale

 

Etape 3 : Créer une nouvelle règle de restriction.

Après vous êtres rendu dans la partie souhaitée, et si nécessaire suivi Windows lorsqu'il vous a proposé de créer de nouvelles stratégies de restriction, vous allez vous rendre dans la sous-partie "Règles supplémentaires". Cela devrait ressembler un peu à ceci :

Stratégie de restriction logicielle

Nous allons désormais créer une nouvelle règle de restriction logicielle. C'est à dire que nous allons interdire à des applications de se lancer si elles répondent à certains critères. Comme un virus n'est rien d'autre qu'une application, nous allons pouvoir empêcher le virus de démarrer et de causer des dégats. En l'occurrence, nous allons créer une règle de type "Chemin d'accès", c'est à dire que nous allons interdire à toutes les applications voulant se lancer à partir d'un certain endroit de le faire. Pour ce faire, dans la partie de droite de la fenêtre, faites un clic droit. Un menu contextuel s'ouvre :
Nouvelle restriction

Etape 4 : Ecrire la règle de restriction logicielle de type "règle de chemin d'accès".

Choisissez "Nouvelle règle de chemin d'accès". 
Si vous avez soigneusement suivi le didacticiel jusqu'ici, vous devriez vous retrouver avec une fenêtre de ce type sous les yeux :

Nouvelle règle de chemin d'accès

Fort bien. Désormais, les choses sont simples : dans Chemin d'accès, vous rentrez très précisément le texte suivant (le plus simple étant de le copier-coller à partir de ce site) :

%APPDATA%\*.exe

A "Niveau de sécurité", vous choisissez "Non-autorisé" ou, si vous êtes sous Windows XP, "Rejeté".

Ensuite, vous validez en cliquant sur "OK".

Etape 4-bis (facultative) : Créer une deuxième règle de ce type.

Par mesure de sécurité, vous pouvez renouveler les étapes 3 et 4 pour créer une règle supplémentaire. Cette règle vise à garantir encore un peu plus de sûreté, mais elle peut, dans de rares cas, empêcher d'autres logiciels (utiles et non-dangereux) de se lancer. A vous de voir. Si toutefois vous voulez vous protéger avec plus de certitude, répétez les étapes 3 et 4 de façon parfaitement identique, à ceci près que dans "Chemin d'accès", vous entrerez cette-fois ci le texte suivant :

%APPDATA%\*\*.exe

(notez le \* supplémentaire par rapport à la règle précédente). En principe, cette étape n'est pas indispensable pour se protéger du virus, mais on n'est jamais trop prudent.

Etape 5 : Redémarrer votre ordinateur.

Pour s'assurer que les règles de restriction logicielle prennent effet immédiatement, redémarrez Windows dès maintenant.

Debriefing :

C'est fait. En principe, vous voilà protégé contre CryptoLocker. Attention toutefois, aucune protection n'est fiable à 100%. Notamment parce que les virus évoluent souvent, et qu'il est tout à fait possible qu'une variante apparaisse qui contourne cette protection. La seule protection fiable à 100%, c'est donc de garder des sauvegardes, tenues à l'écart de votre ordinateur, de vos documents importants.

Vous vous demandez peut-être comment cette protection est censée agir, et qu'est-ce que je vous ai fait faire exactement. C'est en fait assez simple : Ce virus s'exécute habituellement depuis un répertoire qui change entre les différentes versions de Windows, mais que Windows connait toujours sous le nom de "%APPDATA%" (sous Windows 7 par exemple, cela correspond au dossier C:\Users\<vous>\AppData\Roaming\). Or, les logiciels normaux et sains ne se lancent habituellement jamais depuis ce répertoire. Nous avons donc utilisé une fonctionnalité de Windows qui permet d'interdire à toutes les applications de se lancer depuis un répertoire précis, et lui avons spécifier "interdire à toute application de se lancer depuis %APPDATA%". Vu qu'aucun logiciel normal ne se lance depuis cet endroit, cela ne vous gènera pas au quotidien. En revanche, le virus, qui lui se lance habituellement depuis cet endroit, se verra interdire de démarrer, et ne pourra donc pas mettre vos données personnelles sous scellés. Concernant la règle 4-bis, elle va interdire à tout logiciel de se lancer dans un sous-répertoire de %APPDATA%. C'est à dire que concrètement, si le virus tente de se lancer depuis %APPDATA%\Mozilla Firefox\virus.exe, sans l'étape 4-bis, il le pourra. Si vous effectuez l'étape 4-bis, il ne le pourra pas. Cependant, il existe quelques rares logiciels sains qui se lancent depuis un sous-répertoire de ce type. C'est donc à vous de voir si vous voulez empêcher toutes les applications de se lancer depuis cet endroit ou non.

Sachez que vous pouvez à tout moment revenir en arrière : si l'application de ce tutoriel a bloqué des logiciels sains que vous utilisez habituellement par exemple, c'est très simple. Répétez les étapes 1 et 2 puis, au début de l'étape 3, faites un clic droit sur la ou les règles que vous aviez créé et cliquez sur "Supprimer". Redémarrer votre ordinateur une fois ceci fait, et vous revoilà comme avant (auquel cas vous n'êtes plus protégé contre Crypto Locker).

Enfin, n'oubliez pas que ce tutoriel s'applique uniquement pour vous protéger si vous n'avez jamais eu affaire au virus. Si vous avez attrapé ce virus, il est trop tard pour agir, ce tutoriel ne vous est d'aucune utilité et la seule solution pour retrouver vos fichiers est hélas de payer la rançon. Supprimer ce virus ne vous fera pas récupérer vos fichiers originaux.