Par cette alerte, nous tenons à vous mettre en vigilance face à une attaque massive de type ransonware qui se propage à grande vitesse.

Ransomware – Définition.

Un ransomware est une infection par code malicieux visant à vous demander de l’argent en échange d’un rétablissement de service. Plusieurs attaques de ce type sont actuellement présentent, et notamment « Cryptolocker ».

Cryptlocker – que faire ?

Ce ransonware chiffre vos données locales et réseaux, et vous demande de payer pour obtenir la clé de déchiffrement de vos données.

Voici plusieurs points à prendre en compte :

  • NE PAYEZ PAS. En effet, il s’agit d’une arnaque, et dans la majorité des cas, même en payant, vous ne pourrez pas déchiffrer vos données.
  • VERIFIEZ L’ETAT DE VOS SAUVEGARDES. La seule solution de récupérer vos données passera par une restauration de ces dernières.
  • PREVENEZ ET SENSIBILISEZ VOS UTILISATEURS. Les ransomwares sont généralement adressés par un mail incluant un lien Web. En cliquant sur ce lien, c’est à cet instant que le malware est téléchargé et exécuté sur votre réseau.

Que faire en cas d’infection :

  • Isolez le ou les postes infectés.
  • Arrêtez les sauvegardes afin de ne pas écraser les données saines par des données chiffrées.
  • Déconnectez du réseau les serveurs de fichiers.
  • Restaurez les données à partir de vos sauvegardes.
  • Surveillez l’activité sur vos pare-feux afin de détecter un éventuel trafic malicieux sur des postes infectés que vous n’auriez pas encore détectés.
  • Sur les postes infectés, si les comptes des utilisateurs concernés sont à privilèges, changez leur mot de passe par précaution.
  • FireEye, un acteur de la sécurité IT, a développé un outil permettant d’essayer de trouver la clé permettant le déchiffrement de vos données https://decryptcryptolocker.com/

Comment s’en protéger :

Etant donné que ce type de malwares sont dit polymorphiques, c’est-à-dire capable de changer leur signature plusieurs fois par jour afin qu’ils soient indétectables par les solutions anti virale, prenez les items suivants en considération :

  • La première action consiste dans la sensibilisation de vos utilisateurs. Ils sont le meilleur rempart face aux problématiques de sécurité. La technologie n’est pas suffisante. Les éléments qui peuvent les alerter :
    • Ces malwares sont généralement encapsulés dans un fichier zip protégé par mot de passe, afin que les passerelles ne puissent pas le détecter. Indiquez à vos utilisateurs de ne pas ouvrir de tels fichiers.
    • Certaines variantes de ce malware sont propagées dans un fichier PDF ou exécutable. Indiquez à vos utilisateurs d’être vigilants dans l’ouverture de PDF, surtout si la source n’est pas connue, et en aucun cas ils ne doivent cliquer sur un exécutable.
  • Assurez-vous d’avoir des systèmes mis à jour en termes de correctif de sécurité (Windows mais aussi applications telles que Office, Abode, Java etc.)
  • Disposez d’un relai de messagerie capable de lire le contenu des mails afin de détecter des URLs malicieuses.
  • Disposez d’un proxy capable d’analyser le contenu des URLs afin de bloquer le téléchargement du malware. Bloquez le téléchargement de fichiers compressés avec mot de passe ainsi que les exécutables.
  • Malgré le caractère polymorphique de l’attaque, veillez à ce que vos antivirus soient à jour en termes de moteur et de signature.

Voici pour nos principales recommandations. Nous restons à votre disposition pour échanger sur cette thématique. Contactez-nous à l’adresse suivante contact@tibco.fr ou au 0820 201 179.

philippe-maton
Ou réagissez à cet article !

Article rédigé par Philippe MATHON, directeur technique sécurité.