Retour

Tout comprendre des ransomwares : les Cryptolockers

Applications de nouvelle générationL'exploitation des données 13/04/2016 Scala Dream Team

Depuis plusieurs semaines, nous constatons une recrudescence d’attaques via des malveillances de type “demandeur de rançon”, basées sur des systèmes type “CryptoLocker”.

Cryptolocker1
Figure 1-Etude du CNET

La France et l’Allemagne sont les cibles privilégiées de ces attaques qui touchent aussi bien l’internaute que les entreprises, les hôpitaux ou les administrations :

Cryptolocker2
Figure 2-Répartition des attaques - source CNET

Les entreprises victimes de cette attaque sont impactées à plusieurs niveaux :

  • Perte de temps : les données modifiées entre la dernière sauvegarde et la restauration sont perdues
  • Perte économique
  • Atteinte à l’image et à la réputation de l’entreprise

Qu’est-ce qu’un CryptoLocker

Un CryptoLocker est un logiciel malveillant qui se propage en majorité par la messagerie. L’utilisateur reçoit un message de demande de paiement de facture (en anglais ou en français), contenant une pièce jointe représentant la facture.

Lorsque l’utilisateur ouvre le fichier joint, le code malveillant se lance et crypte tous les fichiers pouvant être accédés par l’utilisateur se trouvant sur le poste lui-même ou sur le réseau. A la racine de chaque dossier contenant des fichiers cryptés, le logiciel malveillant crée un fichier TXT, JPEG ou PNG contenant les instructions pour décrypter les fichiers.

Cryptolocker3

Il s’agit en général d’accéder à un site Web et de payer une rançon en Bitcoins afin que le malfrat fournisse la clé de décryptage. Les utilisateurs ne sont pas assurés de récupérer les fichiers infectés.

Depuis mi-février 2016, un nouveau logiciel de rançon est apparu sous le nom de Locky Ransomware. Il est distribué par message, ayant pour objet Invoice X-XXXXXX et contenant un fichier Word.

Que faire une fois infecté ?

Lorsque l’infection est détectée, il y a plusieurs actions à réaliser immédiatement :

  • Déconnecter tous les serveurs offrant des services de partage de fichiers du réseau. Ceci évitera que le logiciel malveillant continue l’encryption des fichiers et donc limitera la surface de l’infection.
  • Déconnecter le poste infecté du réseau, s’il est identifié. Il y a plusieurs solutions pour identifier la source de l’infection :
    • Un fichier s’ouvre sur le bureau de l’utilisateur contenant la procédure de paiement
    • Dans les répertoires contenant des fichiers cryptés, ouvrir les propriétés d’un fichier _recovery…..PNG ou TXT et regarder le propriétaire du fichier. Ceci permettra d’identifier l’utilisateur infecté et par conséquent son poste de travail.
    • Identifier les fichiers à restaurer via script ou l’outil de recherche Windows. En général, il suffit d’identifier tous les répertoires contenant le fichier de procédure de paiement.
    • Supprimer les fichiers cryptés et les restaurer
    • Réinstaller le poste de l’utilisateur après formatage (ne pas prendre de risque) et supprimer le message dans la boîte aux lettres de l’utilisateur
    • Porter plainte : en France, les logiciels de rançon sont punis par la loi

Comment se prémunir ?

Les mesures de prévention contre ce type de menace restent standard, et le risque zéro n’existe pas. Néanmoins, quelques précautions sont à prendre :

  • Maintenir les systèmes d’exploitation à jour. Les administrateurs doivent connaitre l’état de leur parc et agir sur les postes ne répondant pas aux critères.
  • Maintenir les logiciels à jour (Java, Acrobat,…)
  • Durcir la sécurité des postes de travail et des applicatifs via GPO
  • Bloquer les pièces jointes contenant des EXE dans la messagerie
  • Maintenir les antivirus à jour. Les administrateurs doivent surveiller l’état de leur parc informatique afin de pouvoir identifier les postes/serveurs qui ne disposeraient plus de protection antivirus ou qui n’auraient plus une protection disposant des dernières signatures
  • Analyser les périphériques amovibles et bloquer les exécutions automatiques
  • Mettre en place une passerelle SMTP analysant les SPAMs, les virus et disposant d’une solution de Sandbox afin de faire de l’analyse comportementale (Détecte les logiciels malveillants par rapport aux actions qu’ils réalisent dans le système).
  • Mettre en place du filtrage d’URL
  • Mettre en place une politique/solution de sauvegarde répondant aux besoins de l’entreprise
  • Sensibiliser les utilisateurs afin qu’ils analysent la source des messages qu’ils reçoivent. (Ne pas cliquer sur une pièce jointe d’un expéditeur non reconnu par l’entreprise)

Comment SCALA peut vous aider ?

SCALA sait mettre en place les briques de sécurité nécessaires pour sécuriser votre système d’informations :

  • Sensibilisation des administrateurs à la sécurité
  • Mise en place de solution permettant de maintenir le parc informatique à jour
  • Mise en place de solution Antivirus (Trend Micro)
  • Durcissement de la sécurité des postes de travail
  • Mise en place de solution de filtrage d’URL (Fortigate, Olfeo, Trend Micro IWS)
  • Mise en place de passerelle SMTP en mode Cloud ou On-Premise (Trend Micro IMS)

Contactez-nous avant qu’on vous demande la Bourse ou la Vie 😉

Avatar auteur
Écrit par ,
Consultants Scala
Ça vous a plu ? Faites tourner !

À lire aussi

Enjeux transformation Intranet

Le Digital Workplace ou l’Intranet qui se réinvente : plus collaboratif et plus social – PART 2

5/09/2018

Dans un environnement en transformation digitale, la collaboration et la communication sont des vecteurs de choix pour relever le défi du numérique et générer de la valeur en favorisant l’innovation collective. Dans le second article de notre série sur le Digital Workplace nous vous exposons les enjeux de la transformation de votre Intranet.

Je veux lire la suite

say hello !

un projet ? des infos ? un devis ?

on est partout.

Amiens
Scala Amiens

7 rue de l’Ile Mystérieuse

80440 Boves Amiens
Lyon
Scala Lyon

Parc du Crecy, 12 rue Claude Chappe

69370 Saint Didier au Mont d’Or Lyon
Marseille - Siège social
Scala Marseille

11 avenue André Roussin
Immeuble Grand Ecran

13 016 Marseille
+33 (0)4 91 46 84 60
Paris
Scala Paris

8 Rue Euler

75 008 Paris
+33 (0)1 56 68 77 80
Tunis – Tunisie
Scala Tunisie

Rue du Lac Biwa, Immeuble Fraj
3ème étage, Lac 1,
Les Berges du Lac

1053 Tunis – Tunisie
+216 71 657 451
Et même Londres, Bruxelles, NY, Montréal et Casablanca.Voir carte.

on recrute !

Venez voir toutes nos offres ici.

contact
le blog