Dans cette première partie de ma veille technologique, de par mon intérêt pour la sécurité des systèmes et du réseau, je me suis tourné vers les attaques que peuvent subir les entreprise et les particuliers, en ciblant un problème d’actualité : les ransomwares.

 
Dire que les ransomwares sont un problème d’actualité est un euphémisme tant l’année écoulée a connu une explosion du nombre de créations. D’après un rapport de TrendMicro l’augmentation atteint même les 752%.

 

A noter que la France est dans le peloton de tête des pays dont les entreprises sont ciblées par les attaques.

Source : TrendLabs 2016 Security Roundup

 

La réaction face à l’ampleur de cette menace diffuse passe par trois phases : la prévention, la prévention… et la prévention. Trêves de plaisanteries, la prévention est le point central de la protection, car un utilisateur non prévenu est toujours la cible la plus aisée pour les tentatives de compromission.

Comme le souligne le CERT-FR (Centre gouvernement de veille, d’alertes et de réponses aux attaques informatiques) dans son alerte relevant de la campagne de messages électroniques non sollicités de type Locky

Mesures préventives :

Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.

Et en terme de réaction à la compromission,

Mesures réactives :

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d’alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d’empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Le CERT-FR recommande également de bloquer sur le serveur mandataire l’accès aux domaines ou URLs identifiés dans le message malveillant. L’objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d’une sauvegarde réputée saine des données de l’utilisateur. De plus, dans le cadre de l’utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

A ce propos, et comme vous le verrez ci-dessous, a été mis en ligne récemment une initiative veillant à recouper et rassembler les solutions de recouvrement, pour décrypter les données, qui risque de devenir un outil indispensable pour les administrateurs systèmes et réseaux : The No More Ransom Project

 

Fil d’actualité

27 mai 2017 / Ransomware

Un début de remède à Wannacry

Adrien Guinet vient de trouver une solution pour les utilisateurs d'ordinateurs sous Windows XP dont les données sont bloquées par...
En savoir plus
15 mai 2017 / Ransomware

WannaCry : Le bilan

Si la propagation du ransomware WannaCry a pu être mitigée in extremis ce week-end, de nombreuses variantes sont en préparation...
En savoir plus
10 avril 2017 / Ransomware

Un virus informatique d’un nouveau genre oblige les victimes à jouer à un jeu vidéo

Un nouveau logiciel de rançon, créé par un jeune programmeur coréen, prend en otage l’ensemble des données de votre ordinateur....
En savoir plus
7 avril 2017 / Ransomware

Apache Struts 2 victime du ransomware Cerber

Des attaquants ont exploité une vulnérabilité dans la version 2 du framework open source Apache Struts pourtant corrigée en mars...
En savoir plus
5 avril 2017 / Ransomware

Cerber, un ransomware capable de détecter les machines virtuelles

Cerber, l’une des familles de ransomwares les plus actives, a reçu dernièrement une évolution qui lui permet d’échapper à certaines...
En savoir plus
4 avril 2017 / Ransomware

Android : un ransomware nouvelle génération indétectable par les protections antivirales

Des chercheurs en sécurité ont récemment annoncé avoir mis la main sur un nouveau Ransomware qui aurait la particularité d'officier...
En savoir plus
30 mars 2017 / Ransomware

Ransonware : un échappatoire pour Bart

Un nouvel outil gratuit de déchiffrement pour récupérer des fichiers verrouillés par le ransomware Bart est disponible... https://www.generation-nt.com/ransomware-bart-outil-gratuit-dechiffrement-actualite-1941245.html  
En savoir plus
5 mars 2017 / Ransomware

PetrWrap : un nouveau malware qui exploite le module de base du ransomware Petya

Les chercheurs en sécurité de Kaspersky Lab viennent d'annoncer l'existence d'une nouvelle famille de ransomwares écrits en C, compilés en...
En savoir plus

Timeline


GUTE-URLS

Wordpress is loading infos from nomoreransom

Please wait for API server guteurls.de to collect data from
www.nomoreransom.org/

Timeline

2016
2016

LE PROJET NO MORE RANSOM

2016

APPARITION DE LISTES DE TRACES DES RANSOMWARES

List of ransomware extensions and known ransom files created by Crypto malware from sysadmin
2014
2014

LES IDENTIFIER : ID RANSOMWARE

2013
2013

CRYPTO-LOCKER

2006
2006

LES RANSOMWARES PASSENT A RSA

En juin 2006, des ransomware comme GPcode, TROJ.RANSOM.A, Archiveus, Krotten , Cryzip ou MayArchive commencèrent à utiliser des schémas de chiffrement RSA plus sophistiqués, notamment en augmentant la taille des clefs de chiffrement. GPcode.AG, détecté en juin 2006, utilisait un schéma de chiffrement RSA à 660 bits.
1989
1989

LE PREMIER RANSOMWARE, AIDS AKA PC CYBORG TROJAN

En 1989, apparition du premier ransomware AIDS, aussi connu sous le nom de PC Cyborg Trojan.