Nous constatons une recrudescence d'attaques de virus de type RamsomWare / CryptoLocker / Locky. Plusieurs de nos clients occasionnels ou en sommeil ont été atteints récemment.
Ces RANSOMWARE se propagent généralement par courrier électronique à l'ouverture d'une pièce jointe infectée, typiquement
.doc .docm .xls .zip contenant d'autres .doc ou .js ou même des liens internet avec du code javascript (js)
Ces emails peuvent :
Ces virus cryptent tous types de fichiers contenant des données :
Ces virus désactivent et même suppriment les sauvegardes internes windows, type VSS, se trouvant sur le poste concerné (ie. une sauvegarde interne ou avec un disque USB branché ne protège pas si le processus du virus n'est arrêté à temps).
Ces virus agissent très rapidement, à la fois sur le poste puis sur le réseau.. En fait, quasiment tous les fichiers de données peuvent être corrompus et irrécupérables en quelques minutes de traitement.
Informations générales
Protection / en cas d'infection ou de doute, arrêter immédiatement la machine et déconnecter les postes du réseau
Réparation..
Le gros de la vague de virus semble maintenant passé, il faut néanmoins rester vigilant.
Par rapport aux installations de serveurs de messagerie, les antivirus et autres filtres SPF/DKIM ou sur la base des IP géographiques s'imposent plus que jamais. Pour les installations open-source (postfix, qmail..), il y a un antivirus open-source embarqué, souvent clamav, mais cet antivirus procède à une analyse classique, par signature, ce qui est assez limitée face aux nouvelles variantes qui se propagent très vite et qui font déjouer ces analyses par signature.
Face à cela, nous avons décidé d'appliquer chez nous et nos clients volontaires le blocage systématique de tous les fichiers bureautiques qui contiennent des macros avec une option de l'antivirus "OLE2BlockMacros" qui n'est pas activée par défaut.
Il devient en effet trop risqué de laisser passer ces pièces jointes car si le fichier arrive sur la boîte email de l'utilisateur, il faudra compter sur sa vigilance alors même que les messages semblent inspirer confiance.
Par ailleurs, les antivirus comme Kaspersky permettent maintenant de bloquer les extensions type .locky ou bien de forcer l'ouverture de fichiers bureautiques par certains programme, empêchant les virus se s'exécuter.
Spirea peut probablement aller au delà et renforcer la sécurité de la messagerie au cas par cas (niveau des spams et quarantaine, blocages spf, etc.) mais aussi dans d'autres contextes.. Par exemple, pour les clients chez qui nous avons un firewall/proxy type pfsense, un filtrage antivirus va pouvoir être appliqué au niveau du proxy, ou bien, pour les clients avec contrôleur de domaine, nous pouvons pousser des règles bloquantes pour l'exécution des crypto-virus sur tous les postes...
Pour conclure, la sécurité informatique pour PME/TPE fait partie de nos activités. Nous avons construit l'été dernier un cycle d'audit en 9 chapitres et 150 questions structurantes sur la sécurité informatique (intégrité, confidentialité, disponibilité, authentification, traçabilité), que nous pouvons appliquer dans le cadre d'une mission d'audit de votre informatique.
N'hésitez pas à communiquer avec vos utilisateurs sur ces nouveaux risques et de revenir vers nous pour toute question ou de doute.