Le virus Cerber, nouvelle terreur des ordinateurs

Ce "ransomware", c’est-à-dire un virus informatique malveillant qui demande à la victime une rançon, prend la forme d’une véritable franchise qui recrute des "affiliés" payés à la commission pour le propager. Il aurait extorqué 209 millions de dollars auprès de 80.000 victimes dans 176 pays, et 8 nouvelles "campagnes d’infection" seraient lancées chaque jour.
Sylvain Rolland
Cerber, d'origine russe, aurait généré 209 millions de dollars au premier trimestre 2016. Au moins 158 campagnes d'infection sont actives actuellement.

L'inventivité des cybercriminels n'a décidément pas de limite, ou très peu. Dans un jeu du chat et de la souris sans fin avec les autorités et les éditeurs d'antivirus, les escrocs du net trouvent toujours un nouveau moyen de propager des virus dans les ordinateurs et les terminaux des particuliers, pour leur extorquer des données personnelles ou de l'argent.

Depuis le début de l'année, un nouveau virus, fonctionnant de manière originale, a été identifié par Check Point, l'un des leaders mondiaux de la cybersécurité. Après avoir étudié scrupuleusement son fonctionnement pendant plusieurs mois, l'éditeur a publié cette semaine une étude approfondie sur la nouvelle terreur des ordinateurs, qui permet d'obtenir un éclairage rare sur le fonctionnement de ce type de virus.

Son nom ? Cerber. Sa particularité ? C'est un ransomware, c'est-à-dire un logiciel qui s'exécute à votre insu dans votre ordinateur et vous demande de payer une rançon (ransom). Mais, contrairement à la plupart des autres virus de la même famille, Cerber est un ransomware-as-a-service (RaaS). Autrement dit, c'est une véritable franchise, qui recrute des volontaires pour le propager, appelés des "affiliés". Ceux-ci sont payés "à la commission", c'est-à-dire selon le succès de leur "campagne" d'infection. Ils reçoivent environ 60% du montant de la rançon, le reste revient au développeur.

209 millions de dollars au premier trimestre

Repéré pour la première fois par Check Point en février 2016, Cerber est d'ores et déjà considéré comme le RaaS le plus actif. "Il est capable de passer outre les contrôles administrateur", ce qui le rend très viral, explique le rapport. Surtout, Cerber représente un business lucratif. Il aurait généré 209 millions de dollars au premier trimestre 2016, grâce en partie à sa coopération avec les principaux exploits kits (des logiciels malveillants exploitants des failles de sécurité).

Pire : son utilisation s'intensifie. D'après les estimations, Cerber est actuellement distribué par 158 campagnes actives, qui ciblent près de 80.000 utilisateurs dans 176 pays. Chaque jour, huit nouvelles campagnes en moyenne sont lancées...

D'où vient Cerber ?

Certainement de Russie, estime Check Point. Etrangement, les fichiers de configuration du virus révèlent que le logiciel-rançon ne peut infecter des cibles situées en Russie, en Arménie, au Bélarus, en Géorgie, au Kirghizstan, au Kazakhstan, en Moldavie, au Turkménistan, au Tadjikistan, en Ouzbékistan et en Ukraine.

"C'est typique des virus russes. Cette approche permet aux acteurs d'éviter les poursuites permises par des lois spéciales dans ces pays", écrivent les auteurs de l'étude.

Quels sont les pays les plus touchés ?

Les pays les plus ciblés par les infections sont pour l'instant la Corée du Sud, les Etats-Unis, Taïwan, la Chine, le Royaume-Uni, l'Allemagne et la France. Si les attaques sont plus nombreuses dans les pays asiatiques, les Occidentaux paient plus souvent la rançon.

L'organisation très élaborée de Cerber est frappante. Des traducteurs professionnels ont traduit l'interface de contrôle en douze langues, dont l'anglais, le français, le chinois, le turc, le portugais et l'arabe. "Avec un très bon niveau de langage dans chaque langue", ce qui permet de duper plus facilement les victimes.

En France, un pic d'infections a été observé dans la deuxième quinzaine de juillet.

Comment Cerber vous piège-t-il ?

Chaque "affilié" peut choisir la méthode qu'il souhaite pour propager le virus. Mais généralement, ils recourent aux bons vieux classiques. La plupart du temps, l'infection se fait via des courriels qui comportent des liens infectés, via des liens frauduleux sur certains sites web, ou via des fenêtres de dialogue avec des bots. Le piège est parfois très élaboré. Dans une campagne récente, le virus était caché dans des courriels très bien écrits contenant de fausses offres d'emploi. Parfois, il prend la forme d'un faux courriel officiel, émanant d'institutions gouvernementales ou fiscales.

Chaque campagne d'infection cible de nombreuses personnes (parfois des dizaines de milliers). Chekpoint relève par exemple une campagne qui s'est déroulée entre avril et mai 2016. En sachant que beaucoup de personnes ciblées ne téléchargent pas le virus, cette campagne a réussi à provoquer 13.941 installations et à récolter 34.800 dollars.

Que fait le virus dans l'ordinateur ?

Cerber utilise un algorithme de cryptage pour encoder les fichiers de la victime, ce qui les rend indéchiffrables et donc inutilisables. Une fois que la victime a cliqué sur le lien contenant le virus, le fichier s'exécute automatiquement.

Lorsque le processus de cryptage est terminé, le virus laisse des messages de rançon, qui vous fournissent des instructions sur la manière de récupérer vos fichiers. Après plusieurs étapes pour accéder à un site web permettant de payer de manière anonyme, il faut débourser 1 bitcoin, soit environ 515 euros, payable en une seule fois ou en deux.

Le paiement permet -en théorie- d'accéder à un lien de téléchargement unique pour obtenir un outil de déchiffrage. Bien évidemment, si vous ne payez pas dans les cinq jours, la rançon sera doublée.

Comment s'en protéger ?

En amont, ne pas ouvrir des courriels suspects et avoir un filtre anti-spam sont des protections élémentaires. Stocker ses fichiers sur un disque dur externe ou un service de cloud sécurisé permet de ne pas se retrouver démuni.

En cas d'infection, il est possible de supprimer le virus, mais pas l'encodage, puis d'utiliser des logiciels de décryptage comme Photorec ou Kaspersky Decryptor.

Dans tous les cas, mieux vaut ne pas payer la rançon. D'abord pour ne pas entretenir le système, ensuite car payer n'est pas une garantie de recevoir la clé de déchiffrement.

Sylvain Rolland

Sujets les + lus

|

Sujets les + commentés

Commentaires 17
à écrit le 30/08/2016 à 11:34
Signaler
Il est amusant de constater qu'à chaque fois que l'on parle de sécurité informatique dans un article, le journaliste n'indique jamais sur quel système d'exploitation porte la faille ? Comme si le danger ne dépendait pas du système d'exploitation ?

à écrit le 28/08/2016 à 12:12
Signaler
J'utilise windows sur un portable pour tout SAUF internet, je suis connecté à internet pour les MàJ, point barre. J'utilise Linux Mint POUR internet et depuis, plus de soucis. Mon DD externe, je le branche quand j'en ai besoin pour copier ce d...

à écrit le 25/08/2016 à 20:49
Signaler
"209 millions de dollars auprès de 80.000 victimes" les piratez sont fou... ça fait plus de 2600 euros en moyenne, vous avez un bel ordi à ce prix là... On vie vraiment dans un autre monde quand des piratez peuvent payer ce genre de rançon et que tan...

le 29/08/2016 à 1:38
Signaler
Ceux qui sont infecté ne payent pas pour récupérer leur PC, ça c'est facile, il suffit de réinstaller le système après un nettoyage intégral. Ceux qui paient veulent récupérer des fichiers essentiels à leur activité professionnelle.

à écrit le 25/08/2016 à 10:33
Signaler
bref, rien de révolutionnaire pour ne pas être victime de ce nouveau virus: ne pas ouvrir les pj de mails inconnus, ni accéder à ses comptes au travers de ces mails alarmistes, du style "votre compte est fermé, veillez vous connecter ici ".. c'est u...

à écrit le 23/08/2016 à 12:14
Signaler
une autre solution consiste à faire la grève de l'appareil infecté

à écrit le 22/08/2016 à 14:10
Signaler
Maintenant que vous avez cliquer sur cette page, LA TRIBUNE va vous demander une rançon, pardon, une participation

à écrit le 22/08/2016 à 5:39
Signaler
Pour info, on ne crypte pas un fichier, on le chiffre. Et le virus ne dechiffre pas le contenu, il le decrypte. Dechiffrer c est redonner l information en ayant la cle, decrypter c est le faire sans la cle. C est pour ca qu on ne peut las crypter u...

à écrit le 20/08/2016 à 12:03
Signaler
Commencer par éviter windows au maximum puisque 100 % desinfections concernent windows!!!

le 21/08/2016 à 12:25
Signaler
C'est faux : l'intérêt d'un tel virus dépend simplement du nombre d'utilisateurs pour maximiser les profits.( Les pirates ne s'attaquent pas à windows juste pour vous faire plaisir). C’est ainsi que les les virus dédiés aux iphones se développent.

le 22/08/2016 à 12:00
Signaler
C'est bien ce que je dis, il est toujours plus sûr de ne pas suivre la masse!! Personellement, CEBER je m'en contrefiche, je ne suis pas concerné! CQFD

le 24/08/2016 à 7:06
Signaler
Cqfd....pourquoi utiliser cette abréviation dans ce contexte ? Aucune utilité...

à écrit le 20/08/2016 à 10:50
Signaler
"Stocker ses fichiers sur un disque dur externe ou un service de cloud sécurisé permet de ne pas se retrouver démuni." Voilà le véritable intérêt de cette publicité, avec la vente de nouveaux antivirus bien-sur!

le 20/08/2016 à 18:03
Signaler
Non, ce sont simplement de vieilles pratiques autrefois generalisees et que beaucoup oublient maintenant. Sans sauvegardes externes et suffisamment éloignées de votre ordinateur vous êtes à la merci d'un pirate ou d'un sinistre matériel voire de vos ...

le 22/08/2016 à 13:12
Signaler
sauver sur un disque externe ne protege de rien du tout si le disque externe est accessible par le virus. autrement dit, il faut faire des sauvegardes sur le disque externe PUIS debrancher celui ci pour etre en securite. c est en general tellement f...

à écrit le 20/08/2016 à 10:41
Signaler
"Stocker ses fichiers sur un disque dur externe ou un service de cloud sécurisé permet de ne pas se retrouver démuni." Voilà le véritable intérêt de cette publicité avec la vente de nouveau antivirus bien-sur!

le 30/08/2016 à 11:40
Signaler
Surtout que le service de cloud (quelqu'il soit) va simplement synchroniser les fichiers cryptés par le ransomware. Il ne peut absolument pas savoir quoi ou qui a crypté les fichiers , ce service de cloud ne sert donc à rien pour la protection des do...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.