Table des matières
Les logiciels malveillants ont évolué. Ils ne cherchent plus simplement à faire planter une machine. Beaucoup visent maintenant vos données et utilisent des procédés pour que vous ne puissiez plus y accéder. Comprendre ces mécanismes aide à agir rapidement et réduire les dégâts.
Un logiciel malveillant peut vous priver d’accès aux fichiers de plusieurs façons. Certaines attaques sont visibles, d’autres très furtives. Les procédés principaux sont la chiffrement, le verrouillage des comptes, la suppression et la corruption. Chacun produit un symptôme différent mais le résultat est le même : vos documents, photos et sauvegardes deviennent inaccessibles.
Le procédé le plus répandu est le chiffrement malveillant connu sous le nom de ransomware. Le logiciel scanne le disque, identifie les fichiers jugés intéressants et les encode avec une clé que vous n’avez pas. Une fois chiffrés, les fichiers portent souvent une extension nouvelle et vous ne pouvez plus les ouvrir.
Ce qui rend ce procédé dangereux
• Le chiffrement est souvent réalisé de façon rapide et méthodique.
• Les cybercriminels utilisent parfois des clefs générées sur des serveurs distants en dehors de votre contrôle.
• Ils accompagnent souvent l’opération d’une demande d’argent pour remettre la clef de déchiffrement.
Certaines souches malveillantes ciblent les comptes utilisateurs plutôt que les fichiers eux mêmes. Le logiciel modifie les droits d’accès, verrouille les profils ou crée des comptes administrateurs cachés. Résultat vous êtes loggé mais n’avez plus le droit d’ouvrir vos dossiers.
Pourquoi cela complique la récupération
• Sans droits suffisants, les outils de réparation ne peuvent pas restaurer les fichiers.
• Les criminels peuvent ajouter des verrous supplémentaires pour empêcher toute restauration automatique.
D’autres malwares effacent ou altèrent les fichiers. Dans certains cas il s’agit d’un sabotage pur et simple. Dans d’autres il s’agit d’une préparation pour un chantage. Le contenu devient illisible ou partiellement effacé, rendant la récupération plus difficile.
Signes révélateurs
• Fichiers renommés ou remplacés par des fichiers vides.
• Fichiers rendus illisibles avec des messages d’erreur au moment de l’ouverture.
• Absence de copies exploitables dans les sauvegardes locales.
Des variantes plus avancées peuvent s’attaquer au démarrage de l’ordinateur. En altérant le chargeur du système, le programme empêche complètement l’ordinateur de démarrer normalement. Dans les cas les plus graves, le disque entier est chiffré, rendant l’accès impossible même depuis un autre système.
Ce que cela implique
• Les solutions simples ne suffisent pas.
• Il faut souvent recourir à des spécialistes pour tenter une récupération.
• Si le disque est intégralement chiffré sans sauvegarde, la perte de données peut devenir définitive.
Avant de bloquer vos fichiers, le logiciel doit s’installer. Les vecteurs classiques restent :
• Pièces jointes ou liens dans des courriels trompeurs.
• Applications téléchargées depuis des sources non officielles.
• Failles non corrigées dans des logiciels installés sur la machine.
• Accès à distance obtenu par l’exploitation d’un identifiant faible ou volé.
Comprendre le vecteur permet souvent de stopper la propagation et d’empêcher d’autres machines d’être atteintes.
Une fois présent, le logiciel cherche à rester actif. Il installe des mécanismes de persistance qui lui permettent de survivre à un redémarrage ou à des tentatives de nettoyage. Il peut aussi communiquer avec un serveur de commande pour recevoir nouvelles instructions ou nouvelles clefs.
Techniques fréquentes de persistance
• Ajout dans la liste des programmes lancés au démarrage.
• Modification de services système.
• Masquage en tant que processus légitime.