Actualité du 25-02-2016

Actualité du 25-02-2016

Alerte aux ransomwares !

Locky, CryptoWall, CryptoLocker, SynoLocker… Impossible d’échapper à l’épineuse problématique des ransomwares qui sèment la panique dans les systèmes informatiques du monde entier, en ce début d'année. Nous recevons actuellement beaucoup de demandes de nos partenaires sollicités par leurs clients pour résoudre des attaques de ce type. Explications, conseils, bonnes pratiques… Faisons donc le point sur les rançongiciels (=ransomwares en anglais).
 

Qu’est-ce qu’un Ransomware ?

C’est un logiciel malveillant de type cheval de Troie ou virus dont le principe est de crypter les données de l’installation informatique qu’il infecte (ordinateurs, serveurs ou même smartphones) avant qu’une demande de rançon ne soit effectuée en échange d’une clé de déchiffrement. En témoigne le cas de cet hôpital américain contraint de payer 17000 dollars pour récupérer ses données.

Les ransomwares infectent, le plus souvent, les ordinateurs via des extensions de fichiers (.doc, .xls, .zip…) contenues dans des pièces jointes d’emails. Cryptowall est, par exemple, installé via l’activation des macros sur un fichier Word joint à un email en anglais. Mais attention ! Le mail peut également venir d'un expéditeur à priori légitime, comme un opérateur de téléphonie connu, avec un texte en français bien écrit et très professionnel (la pièce jointe est souvent en .zip). C'est le cas actuellement de Locky transmis par de faux mails et factures Free Mobile.

Certains d'entre eux peuvent d'ailleurs être implantés sur des sites web légitimes. Ils peuvent enfin être transmis en téléchargeant un fichier infecté sur les réseaux P2P.

Les ransomwares font de très gros dégâts sur les machines. Selon la configuration du réseau, ils peuvent infecter tout un parc informatique même si ils n’ont été envoyés qu’à une seule personne de l’entreprise. Ils contaminent également les systèmes de partage/sauvegarde (clouds), Dropbox, Onedrive business…

A noter qu’il existe aussi des ransomwares sur smartphone tel que LockerPin, actif sur Android, qui prend le contrôle des paramètres de sécurité afin de modifier le code pin du téléphone et en interdire totalement l’accès.
 

Que faire en cas de piratage par ransomwares ?

La première chose à savoir est que le cryptage provoqué par un ransomware est extrêmement fort. Les données infectées sont irrécupérables sans la clé de déchiffrement. A notre connaissance, aucun laboratoire informatique, y compris Recoveo, ne peut casser le cryptage simplement et à moindre coût sous un délai acceptable.

  • Pensez d’abord à isoler les machines infectées du reste de votre SI pour éviter la propagation du ransomware.
  • L’idéal est évidemment de restaurer vos sauvegardes (si vous en avez et qu’elles ne sont pas infectées par le virus).
  • Vous pouvez essayer un logiciel de récupération comme Recoveo Récupérateur de données afin d’effectuer des scans de vos fichiers et de récupérer les fichiers non cryptés donc seulement une partie des données. L’efficacité est loin d’être garantie étant donné que plus on utilise son système une fois le cryptage effectué, plus on a de fichiers contaminés et moins on a de chance de récupérer des données saines.
  • Utilisez Shadow Copy pour retrouver des copies de fichiers d’une restauration Windows.

  

Comment se prémunir des ransomwares ?

  • Ne pas ouvrir les fichiers (.doc, .xls, .zip…) des pièces jointes contenues dans les emails venant d’expéditeurs inconnus ou d’un contact identifié mais présentant un aspect bizarre (exemple : mail tout en anglais, la pièce jointe est un .doc...)
  • Ne pas activer les macros d’un fichier sans être absolument sûr du fichier concerné
  • Réaliser des sauvegardes régulières et veillez à ne pas les stocker sur vos propres disques durs ou sur vos réseaux mappés.
  • Mettre à jour régulièrement vos logiciels pour corriger les failles éventuelles.
  • Pour éviter les ransomwares sur les smartphones, téléchargez vos applications via les plateformes officielles (type Google Play ou Itunes)

Faut-il payer la rançon ?

Il n’existe pas de bonne réponse à cette question. Comme dans toute histoire de kidnapping/rançon, la récupération de la clé de déchiffrement dépend de la bonne volonté d’un hacker. Le processus est donc parfaitement aléatoire et plutôt (trés) risqué.

Quelque soit votre décision, ne cédez pas au chantage immédiatement ! Avant de décider de payer ou non la rançon, pensez à consulter les autorités comme l'ANSSI ou à effectuer des recherches poussées pour étudier plus précisemment votre cas de figure et évaluer les risques potentiels et les solutions qui s'offrent à vous.

Certaines victimes, comme l’hôpital américain cité plus haut, ont pu négocier le montant de la rançon et décrypter leur système infecté par Locky. Dans le cas de Lockerpin, le paiement de la rançon semble n’être d’aucune utilité puisque le nouveau code PIN instauré sur le téléphone est généré de manière aléatoire et que même les hackers n’y ont pas accès.
 

Un peu de lecture  ?

Article de Global Security Mag : http://www.globalsecuritymag.fr/Kaspersky-Lab-a-identifie-a-ce,20160303,60214.html
Billet sur Zataz Magazine : http://www.zataz.com/ransomware-centre-hospitalier/
Article dans Le Monde Informatique : http://www.lemondeinformatique.fr/actualites/lire-ransomware-ctb-locker-s-en-prend-aux-sites-web-64073.html
ANSSI : http://www.ssi.gouv.fr/en-cas-dincident/
CERT : http://www.cert.ssi.gouv.fr/site/index_ale.html

Retour aux actualités