Qu’est-ce que le ransomware?
Le ransomware est un type de malware précis et très pénible utilisé par les cybercriminels pour extorquer de l’argent à des individus, des organisations et des entreprises. Une infection bloque l’accès à vos données jusqu’à ce que vous payiez la rançon, après quoi vous êtes supposé retrouver l’accès à vos données.
En réalité, près de 40 % des victimes qui paient la rançon ne récupèrent jamais leurs données, et 73 % de ceux qui paient sont de nouveau ciblés plus tard. C’est la raison pour laquelle chacun doit se protéger contre les ransomware.

Célèbres attaques par ransomware
- Sodinokibi
- GandCrab
- WannaCry
- Petya
- Ryuk
- Bad Rabbit
- Impact:ModéréÉtat:Actif
Sodinokibi Ransomware
Sodinokibi serait distribué par des attaquants associés aux personnes ayant distribué le tristement célèbre ransomware GandCrab. Sodinokibi n’attaque en général pas les ordinateurs iraniens, russes, et provenant de pays ayant fait partie de l’URSS. Sodinokibi utilise le procédé de chiffrement intégré à courbe elliptique (Elliptic Curve Integrated Encryption Scheme – ECIES) pour générer et échanger des clés (algorithme d’échange de clés Diffie-Hellman à courbe elliptique). Ce ransomware utilise les algorithmes AES et Salsa20 pour chiffrer respectivement des clés de session et les fichiers d’un utilisateur. AES sert également à chiffrer des données réseau envoyées au serveur de contrôle. Ce ransomware exige en général 0,32806964 BTC (≈ 2 500 $) pour redonner accès aux fichiers chiffrés.
Dans l’actualité- Plus de 20 gouvernements texans locaux frappés par une attaque coordonnée par ransomware"
- Un nouveau ransomware cible les entreprises américaines et européennes
- Une firme de sauvegarde de fichiers dentaires frappée par une attaque du ransomware Sodinokibi
En savoir plus sur Sodinokibi sur Acronis - Impact:ÉlevéÉtat:Inactif
GandCrab Ransomware
Le ransomware GandCrab a été découvert vers la fin du mois de janvier 2018. Il se propage dans le cadre d’un ransomware-en-tant-que-service (RaaS), et est rapidement devenu le ransomware le plus populaire et le plus répandu. GandCrab est également le premier ransomware à exiger un paiement en cryptomonnaie DASH, et utilise le domaine de premier niveau « .bit ». Ce domaine de premier niveau n’est pas sanctionné par l’ICANN, et fournit donc davantage de confidentialité aux attaquants. GandCrab utilise les chiffrements RSA-2048, AES-256 et RC4 pour chiffrer respectivement les clés AES, les données des utilisateurs et les données de trafic réseau. Les auteurs du ransomware GandCrab ont mis à jour et lancé de façon très active une version différente de GandCrab, pour se mesurer aux nouveaux défis de sécurité. Après un an d’immense succès pour les attaquants, ils ont finalement annoncé la fermeture des opérations de GandCrab au début du mois de janvier 2019. Selon une publication du forum Hack, GandCrab a engrangé un total de 2 milliards de dollars, et l’opération a personnellement rapporté plus de 150 millions de dollars à ses auteurs.
En savoir plus sur GandCrab sur Acronis - Impact:ÉlevéÉtat:Inactif
WannaCry Ransomware
Contrairement à de nombreuses attaques par ransomware, WannaCry ne s’est pas propagé par du spam. Sa diffusion a été fulgurante, touchant 300 000 ordinateurs dans plus de 150 pays. Ce virus tire parti d’une faille de sécurité de Windows via l’exploit EternalBlue, dérobé à la National Security Agency des États-Unis.
Dans l’actualité - Impact:ÉlevéÉtat:Inactif
Petya Ransomware
Pour rappel, si vous payez des cybercriminels pour récupérer l’accès à vos données, rien ne vous garantit que vous recevrez la clé de déchiffrement. Selon un rapport, parmi les victimes qui ont payé une rançon, seules 47 % ont reçu la clé de déchiffrement.
En savoir plus sur Petya sur Acronis - Impact:ModéréÉtat:Actif
Ryuk Ransomware
RYUK serait associé au groupe de piratage d’État Lazarus, et serait une variante HERMES antérieure du ransomware. Contrairement aux ransomware courants, propagés via d’importantes campagnes de spams et de kits d’exploitation, Ryuk est principalement ciblé. Les gains de Ryuk sont passés à plus de 700 000 $ en seulement quelques mois, ce qui indique la réussite de leur stratégie. Ryuk utilise des techniques d’injection de processus pour se cacher des antivirus. RYUK utilise un modèle de chiffrement à trois niveaux, dans lequel les clés de chiffrement sont chiffrées à l’aide d’un chiffrement RSA, et où les fichiers des utilisateurs sont chiffrés à l’aide d’un chiffrement AES. Par le passé, RYUK a infecté des cibles à grande notoriété, et a exigé des rançons d’un montant astronomique de l’ordre de plusieurs millions de dollars.
Dans l’actualité - Impact:ModéréÉtat:Inactif
Bad Rabbit Ransomware
Bad Rabbit est une variante de Petya (ou GoldenEye), modifiée par des hackeurs. Malheureusement, les logiciels antivirus classiques s’appuient sur des « signatures » pour identifier les ransomwares. S’il s’git d’une nouvelle souche, elle peut ne pas être détectée. Ceci est problématique, car l’apparition de nouvelles souches augmente de 400 % chaque année.
Le lien entre ransomware et cryptopiratage
Les cybercriminels infectent les machines Windows et Linux par des malware qui piratent les ressources informatiques dans le but d’extraire des cryptomonnaies sans que l’utilisateur ne le sache. Le cryptopiratage ne se contente pas de ralentir la performance des ordinateurs : il augmente également les coûts énergétiques et endommage le matériel. Par ailleurs, l’infection injecte habituellement des ransomware afin d’optimiser la rentabilité des malware.
Heureusement, Acronis détecte et stoppe automatiquement les ransomware et les cryptopirates en temps réel, en surpassant une grande partie des principales solutions de cybersécurité des terminaux du marché.

La solution de sauvegarde la plus fiable et simple à utiliser
- Pour les particuliers
True Image 2021
La solution de cyberprotection personnelle leader du marché, la plus rapide, la plus simple d’utilisation et la plus sécurisée, selon une étude indépendante.
À partir de 49.99 €
Acheter maintenant - Pour les entreprises
Cyber Backup
Il délivre une cyberprotection moderne pour plus de 20 plateformes, ce qui en fait la solution la plus sécurisée pour les entreprises de toutes tailles.
À partir de 75 €
Acheter maintenant
Protection éprouvée contre les ransomware
Trois études distinctes menées par le laboratoire de tests indépendant NioGuard Security Labs ont conclu qu’Acronis proposait la meilleure défense contre les cybermenaces modernes.

Ne soyez pas une victime
Comment les solutions Acronis sauvegardent vos données, applications et systèmes
- Elles détectent les attaques
Grâce à l’intelligence artificielle, Acronis surveille votre système en temps réel : il examine les processus afin d’identifier les activités qui présentent des modèles de comportement typiques des attaques par ransomware et cryptojacking.
- Elles stoppent le chiffrement
Si un processus essaie de chiffrer vos données ou d’injecter un code malveillant, Acronis le stoppe immédiatement et vous informe instantanément qu’un élément suspect a été découvert. Vous pouvez ensuite bloquer l’activité ou l’autoriser à se poursuivre.
- Elles restaurent les fichiers affectés
Si des fichiers ont été altérés ou chiffrés avant que l’attaque n’ait été stoppée, les solutions de cyberprotection Acronis les restaurent automatiquement depuis la sauvegarde ou le cache, ce qui inverse presque immédiatement les effets de n’importe quelle attaque.
- Elles abordent les cinq vecteurs de la cyberprotection
Une cyberprotection moderne doit garantir la sûreté, l’accessibilité, la confidentialité, l’authenticité et la sécurité de toutes vos données (SACAS). Seul Acronis peut unifier toutes les technologies nécessaires (cloud hybride, IA, chiffrement et blockchain) en une seule solution simple, efficace et sécurisée.
Sécuriser le secteur
Membre fier de l’AMTSO
En tant que membre de l’Anti-Malware Testing Standards Organization (AMTSO), Acronis aide à développer des normes correctes de test des solutions de sécurité, et nous participons à des tests visant à nous conformer aux normes de l’AMTSO.
Contributeur ML à VirusTotal
Être membre de l’AMTSO a permis à Acronis d’intégrer son moteur d’apprentissage machine à VirusTotal, ce qui permet aux utilisateurs du monde entier de bénéficier de la capacité de notre technologie à détecter diverses menaces aux données en ligne.
Joel S.
Administrateur réseau

“Grâce aux caractéristiques innovantes telles qu’Acronis Active Protection contre les ransomware, nous mettons en place la meilleure cyberprotection du marché.”
Besoin d’aide ?
Foire aux questions
- Qu’est-ce qu’un ransomware ?
Un ransomware est un type de malware utilisé par les cybercriminels pour extorquer de l’argent à des particuliers, des organisations et des entreprises. Bien qu’il existe de nombreux types de ransomwares, une attaque typique chiffre les données de la victime et lui envoie dans la foulée un message exigeant une rançon, à payer généralement sous la forme de monnaie numérique telle que le Bitcoin ou le Monero.
En échange, les cybercriminels sont censés fournir une clé de déchiffrement. Soulignons toutefois que près de 40 % des victimes qui cèdent à ce chantage ne récupèrent jamais l’accès à leurs données.
- Comment éviter les attaques par ransomware ?
Les ransomwares sont généralement transmis par l’intermédiaire du courrier électronique et de sites Web infectés. La plupart recourent au phishing pour se propager, c’est-à-dire à des e-mails frauduleux qui semblent provenir d’une personne que vous connaissez ou à qui vous faites confiance. L’idée est de vous piéger en vous amenant à ouvrir une pièce jointe ou à cliquer sur un lien figurant dans le corps du message : c’est à ce moment que le ransomware est injecté dans votre système.
Redoubler de vigilance et identifier les pièces jointes et liens suspects constitue certes la première des défenses. Mais sachez que les cybercriminels sont capables de piéger les utilisateurs les plus méfiants. Se doter d’un logiciel de protection contre les ransomwares capable de protéger efficacement votre système sera donc essentiel.
Malheureusement, les antivirus classiques recherchent uniquement les souches connues de ransomwares, et se révèlent donc incapables de suivre le rythme effréné de l’évolution des menaces. Que vous cherchiez à protéger des équipements Windows 10 ou Mac, assurez-vous de choisir une technologie anti-ransomware capable de détecter les attaques en identifiant les activités suspectes. En effet, il n’y a pas de technologie plus efficace pour identifier et bloquer les attaques jour zéro que l’analyse comportementale.
- Comment éliminer un ransomware ?
Si vous êtes victime d’un ransomware, l’éliminer sera difficile. Trois options s’offrent à vous.
Tout d’abord, vous pouvez restaurer votre système à partir d’une sauvegarde. Vous devrez toutefois vous assurer que votre sauvegarde n’a pas été altérée. En effet, les nouvelles souches de ransomware vont jusqu’à s’attaquer aux fichiers et logiciels de sauvegarde.
La deuxième option consiste à reformater le disque dur, à effacer toutes les données (y compris l’infection), puis à réinstaller le système d’exploitation et les applications. Cependant, si vous ne possédez pas de sauvegarde, vous perdrez toutes vos données personnelles et vous n’en resterez pas moins confronté à la menace de nouvelles attaques par ransomware.
Enfin, vous pouvez payer la rançon, puis espérer que la clé de déchiffrement fonctionne et que vos données seront restaurées. Rappelez-vous cependant que 40 % des victimes qui acceptent de payer les criminels ne récupèrent jamais leurs données... Par conséquent, l’approche à privilégier reste la prévention.
- Quels acteurs se dissimulent derrière les ransomwares ?
En général, l’élaboration et la diffusion des ransomwares sont l’œuvre soit de groupes criminels organisés, soit d’États.
Les criminels organisés sont motivés par l’extorsion à grande échelle. Certains d’entre eux vendent d’ailleurs des kits de ransomware « prêts à l’emploi », qui ne nécessitent que très peu d’expertise technique. Ce modèle RaaS (Ransomware as a Service) favorise la propagation rapide de ces malwares redoutables. Les criminels servent d’intermédiaire pour le paiement, le déchiffrement et les autres étapes opérationnelles, et prennent une commission sur la rançon perçue.
Les États qui exploitent les ransomwares sont pour la plupart des États voyous, souvent soumis à des sanctions strictes de la part de la communauté internationale. Ils exploitent les ransomwares à la fois pour soutirer de l’argent aux victimes et pour ébranler la santé économique, communautaire et gouvernementale de leurs rivaux.
- Comment déchiffrer les fichiers ?
Étant donné le large éventail de familles de ransomware ainsi que les souches individuelles de certaines familles, le déchiffrement des données à la suite d’une attaque varie.
Dans certains cas, il existe des packages logiciels de déchiffrement disponibles en ligne pour certains types de ransomware. Ils peuvent être créés, car la souche a été minutieusement étudiée depuis son apparition, ou parce qu’un chercheur a trouvé un défaut dans le chiffrement utilisé par les criminels. Si vous pouvez déterminer le type de ransomware qui a chiffré vos fichiers, vous pouvez voir si un déchiffreur est disponible.
Cependant, dans la plupart des cas, la souche de chiffrement des ransomware populaires est si efficace qu’il est impossible de déchiffrer les fichiers, et, dans l’ensemble, il n’existe aucune option de déchiffrement pour les familles de ransomware modernes.
La meilleure option est de restaurer votre système depuis une sauvegarde sécurisée, qui restaure vos fichiers, et dans la majorité des cas, supprime le malware et donc le risque de réinfection.
Si vous possédez bien un bloqueur de ransomware basé sur le comportement, vous éviterez également de futures infections.