Vous en avez entendu parler, vous le craignez, mais vous ne savez pas vraiment ce que c’est ? Laissez-nous vous l’expliquer simplement.
Un cryptolocker/ransomware (cryptoverrouilleur) est un logiciel qui s’infiltre dans votre ordinateur en verrouillant toutes vos données et/ou votre système d’opération dans son intégralité, rendant le tout inaccessible. Une fois sa tâche complétée, une rançon vous est demandée afin de décoder vos données. Le cryptolocker peut s’infiltrer non seulement dans votre ordinateur, mais aussi dans tout le réseau, contaminant du même coup l’entreprise en entier.
1. Comment peut-il contaminer mon ordinateur ?
2. Comment vous protéger?
3. Quoi faire si ça vous arrive?
4. Devez-vous payer la rançon?
– – – – – – – – – – – – – – – – – – – – – – – – – –
1. Comment peut-il contaminer mon ordinateur ?
______
Malheureusement, plusieurs méthodes sont utilisées pour mener ce type d’attaque. En voici quelques exemples :
Par courriel
Faux courriels provenant d’une source connue, par exemple Invoice from Amazon. Ces courriels sembleront légitimes, car les programmeurs de ces ransomwares étudient avec attention le fonctionnement des différents services qu’ils tentent d’imiter.
Fichier en pièce jointe
Parfois, l’extension de certains fichiers éveille nos soupçons, mais le cryptolocker peut se retrouver dans un fichier portant une extension bien connue et qui semble sûre comme les extensions des fichiers de la suite Office ou même des documents PDF. Voici à titre d’exemple une liste qui représente une partie des extensions dans lesquelles pourrait se cacher un de ces logiciels malveillants : 3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx…
Session Bureau à distance
Pour le fonctionnement de ce service, il faut ouvrir certains ports au niveau du routeur, créant ainsi une porte d’entrée que les logiciels malveillants peuvent exploiter. Normalement, cet accès est protégé au niveau de l’authentification Windows, car il faut un nom d’usager et un mot de passe. Malheureusement, ce n’est pas infaillible puisque les ransomwares peuvent avoir recours à des attaques de type brute force ou simplement à des failles dans le système d’exploitation.
Fausse représentation
Site Web
Certains sites Web ressemblent au site original à 100%, mais sont des leurres. Il devient donc difficile pour l’utilisateur de déceler l’arnaque. La majorité de ces sites vont donc enregistrer les informations que vous y entrerez : nom d’utilisateur, mot de passe, adresse courriel, date de naissance, etc. Le seul indice pour déceler un faux site Web est l’adresse dans la barre de navigation.
Pop-up
Eh non, vous ne pouvez pas gagner une croisière dans les Caraïbes simplement en naviguant sur Internet! Méfiez-vous également des fenêtres de type pop-up provenant de logiciels connus tels qu’Acrobat, Java, etc. qui vous demandent de faire une mise à jour. Assurez-vous de la légitimité de cette action et en cas de doute, ne la faites pas.
Logiciel de protection
Plusieurs faux logiciels de protection (que vous n’avez peut-être jamais installés) vous indiquent que votre ordinateur comporte des problèmes devant être corrigés, mais lorsque vous l’autorisez à faire les changements, ce logiciel fait tout le contraire en rendant votre ordinateur plus vulnérable.
Téléchargement par hyperlien
Il est important d’être vigilant lors du téléchargement de contenu provenant d’une tierce partie. Par exemple, il est plus prudent d’effectuer la mise à jour d’Acrobat directement sur leur site plutôt que sur le site de www.adresseweb.com qui vous le demande. Ce dernier site pourrait glisser du contenu malveillant dans votre ordinateur plutôt que la dernière version désirée.
– – – – – – – – – – – – – – – – – – – – – – – – – –
2. Comment vous protéger?
______
Malheureusement, même si vous respectez soigneusement les notions décrites précédemment, vous n’êtes pas totalement à l’abri des logiciels malveillants. Lors d’une infection, votre seule protection résidera en une bonne stratégie de sauvegarde. Celle-ci déterminera l’ampleur des pertes que vous subirez… ou pas!
Dans le cas où votre entreprise se retrouve affectée par un ransomware, il faut avoir la possibilité de récupérer les données. Une bonne stratégie de sauvegarde contient ces quelques éléments :
Sauvegarde complète des serveurs virtuels
Elle permet non seulement de récupérer les données, mais aussi l’intégralité du système. Une sauvegarde s’occupant uniquement des fichiers est un bon début. Par contre, si on doit faire la réinstallation complète des serveurs ainsi que des services et logiciels, le temps de récupération et le délai avant le retour à la normale seront considérablement plus longs.
Copie externe
Une sauvegarde externe de vos données est primordiale. Cette copie peut être effectuée sur un disque dur portatif ou sur un emplacement réseau qui n’est pas relié à la structure du site principal. Cet aspect n’est pas à négliger puisque dans le cas d’une attaque de grande envergure, même les fichiers de sauvegarde locaux pourraient se retrouver corrompus.
Protection antivirale/anti-malware
Il existe une multitude de produits de protection, malheureusement aucun n’est parfait. Certains créent de faux positifs, certains ralentissent le système et TOUS possèdent des failles qui laisseront passer certaines attaques. Ceci ne veut pas dire qu’il faut les laisser de côté pour autant, ils ne doivent seulement pas constituer votre seule protection. Un logiciel antivirus est le minimum et nous suggérons d’aller vers un produit réputé comme Kaspersky, Eset ou McAfee. Un logiciel anti-malware peut aussi être ajouté au besoin comme Malwarebytes.
Sensibilisation des utilisateurs
Sauvegarde de leurs données sur le réseau
Il est important que les usagers ne conservent pas de données importantes sur le bureau de leur ordinateur. Lorsqu’un emplacement réseau est disponible, il faut que ceux-ci l’emploient. Trop souvent, à la suite de ce type d’attaque, et ce, malgré une récupération réussie de l’intégralité des données des serveurs, certains utilisateurs perdent des documents importants qui se trouvaient sur le bureau de leur poste de travail.
Bonnes pratiques sécuritaires
– Ne pas ouvrir de courriels provenant d’inconnus, particulièrement les pièces jointes
– Effectuer ses mises à jour sur les sites sécurisés et non pas par l’entremise de tierces parties
– Se tenir loin des sites «18 ans et +», de jeux ou de téléchargement illégaux
– Aviser le responsable des TI lorsque des choses suspectes se produisent (ce sont souvent les utilisateurs qui voient les premiers signes d’une attaque)
– Avoir des mots de passe différents et complexes et les changer périodiquement
– – – – – – – – – – – – – – – – – – – – – – – – – –
3. Quoi faire si ça vous arrive?
______
Limiter les dégâts
Fermez et débranchez-le ou les postes infectés et appelez-nous. La première chose que nous ferons une fois sur place sera de trouver la porte d’entrée du cryptolocker, que ce soit un ou plusieurs postes ou même le serveur.
Récupération
Lorsque la source sera identifiée, nous entamerons la partie récupération. Si les serveurs ont été touchés, nous démarrerons la récupération de la sauvegarde de la veille. Pour les postes des utilisateurs, s’il ne s’agit que de certains fichiers cryptés, nous les supprimerons et le poste restera fonctionnel. Par contre, si le système est infecté ou s’il est porteur du ransomware, une réinstallation complète du système sera effectuée.
– – – – – – – – – – – – – – – – – – – – – – – – – –
4. Devez-vous payer la rançon?
______
Dans aucun cas nous ne conseillerons de payer la rançon du crytolocker. Vous n’avez aucune garantie que vos données seront décryptées, que vous n’aurez pas à débourser davantage et de plus vous contribuerez à financer cette industrie.
Source :
https://fr.wikipedia.org/wiki/CryptoLocker et http://www.2-spyware.com/remove-cryptolocker.html