92700 Colombes
Flash Sécurité
Site internet de la société SPIREA, Société de Prestations en Informatique
Version du site en version mobile (sans images)
Flash sécurité Locky et ransomware
Nous constatons une recrudescence d'attaques de virus de type RamsomWare / CryptoLocker / Locky. Plusieurs de nos clients occasionnels ou en sommeil ont été atteints récemment.
Ces RANSOMWARE se propagent généralement par courrier électronique à l'ouverture d'une pièce jointe infectée, typiquement
.doc .docm .xls .zip contenant d'autres .doc ou .js ou même des liens internet avec du code javascript (js)
Ces emails peuvent :
- venir de vos contacts réguliers par des mécanismes d'usurpation d'adresses (assez facile à faire..)
- contenir du contenu qu'il semble légitime : factures, courrier d'avocats, etc.
- contenir des signatures et des emails émetteur inspirant confiance : cabinets d'avocats, la CAF, Pole-Emploi, Free, Chronopost, etc.
Ces virus cryptent tous types de fichiers contenant des données :
- les fichiers bureautiques (word, excel, open office, txt, csv, rtf, etc.)
- les fichiers multimédias
- les fichiers de sauvegardes (.gz, .tar.gz, .zip, .rar, etc.)
- les bases de données (mdf, ldf, sql, db, mdb, fichiers mysql, etc. )
- les fichiers de certificats .gpg, .key, etc.
Ces virus désactivent et même suppriment les sauvegardes internes windows, type VSS, se trouvant sur le poste concerné (ie. une sauvegarde interne ou avec un disque USB branché ne protège pas si le processus du virus n'est arrêté à temps).
Ces virus agissent très rapidement, à la fois sur le poste puis sur le réseau.. En fait, quasiment tous les fichiers de données peuvent être corrompus et irrécupérables en quelques minutes de traitement.
Voici un rappel des bonnes pratiques en matière de securité informatique
- Avoir son antivirus à jour et actif en permanence
- Appliquer les mises à jour Windows, office, flash, java, adobe reader, firefox/chrome, etc.
- Excel et Word ne doivent pas exécuter les macros automatiquement et s'exécuter en mode protégé si vous ouvrez un document depuis internet ou votre messagerie, l'exécution du virus est très fréquemment confirmée par l'utilisateur après un clic sur une bande jaune dans word, méfiez vous !
- Ne pas travailler avec un profil administrateur au quotidien, ni travailler avec plus de droits que nécessaires (ie. segmenter les droits sur le serveur de fichiers)
- Passer les partages et répertoires d'archives en lecture seule
- A l'ouverture de nouveaux fichiers zip venant d'internet ou des messages, ne pas cliquer directement pour exécuter, passer l'antivirus.
- Supprimer les messages suspects directement sans ouvrir les pièces jointes
- Passer Ccleaner régulièrement pour purger les fichiers temporaires et contrôler les actions de démarrages et tâches planifiées
- Nous recommandons plutôt d'éteindre les ordinateurs le soir
- Nous contacter en cas de problème antivirus/Kaspersky (licence expirée ou défaut de protection) ou si vous avez un doute
- Les postes sous XP et/ou avec Office 2003 sont plus exposés que les autres mais des postes sous Windows sans antivirus et/ou avec des licences expirées ont été aussi touchés.
- Assurer des sauvegardes régulières et hors ligne ou vers un cloud sécurisé, pour les postes de travail, il y a plusieurs solutions que nous pouvons recommander selon les contextes et volumes (Druva, Adbackup...)
Liens et documentations
Informations générales
- Page dédiée sur le site de ANSSI https://www.cert.ssi.gouv.fr/alerte/CERTFR-2016-ALE-001/, plus généralement,
- Le guide de l'hygiène informatique est un "must read" www.ssi.gouv.fr/guide/guide-dhygiene-informatique/
- Page de wikipedia sur les RansomWare https://fr.wikipedia.org/wiki/Ransomware
- La page du site Malekal : http://www.malekal.com/locky-ransomware/ ou du SensorTechForum sensorstechforum.com
- La lecture de la page http://www.cert.ssi.gouv.fr/ vous indiquera probablement quelques les failles sur vos installations..
Protection / en cas d'infection ou de doute, arrêter immédiatement la machine et déconnecter les postes du réseau
- Communiqué MacAffee : kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky_Feb22-2018.pdf
- FAQ Kaspersky sur Protection contre les rançongiciels utilisant le chiffrement dans Kaspersky Endpoint Security 10 for Windows Workstations http://support.kaspersky.com/fr/10905 , le système de Kaspersky permet de restreindre les droits d'écritures émanant de fichiers contenant des macros..
- Protection antispam/antivirus sur les serveurs de messagerie : http://www.scrolloutf1.com/ , blocages par pfsense, etc. Les filtrages par SPF et autres signatures DKIM vont probablement progresser et se renforcer à l'avenir, nous vous recommandons de mettre à jour vos serveurs et configurations MX/SPF/DKIM..
Réparation..
- Si la désinsfection du pc est possible sans avoir à le réinstaller, selon les cas, nous recommanderons fortement une sauvegarde/archivage du disque une réinstallation complète (éventuellement sur un nouveau disque)
- Si vous avez une sauvegarde des données, il faudra passer par une restauration
- Il existe des logiciels décrypteurs, à l'image de https://noransom.kaspersky.com/ mais ces logiciels fonctionnent avec certaines anciennes générations de ransomware qui n'utilisaient pas des clés de chiffrement aléatoires.. c'est à voir au cas par cas mais sans grand espoir...
- Enfin, mais ce n'est pas recommandé pour alimenter la filière, vous pouvez essayer de payer (sans garantie) et donc suivre les instructions du virus...
Le gros de la vague de virus semble maintenant passé, il faut néanmoins rester vigilant.
Par rapport aux installations de serveurs de messagerie, les antivirus et autres filtres SPF/DKIM ou sur la base des IP géographiques s'imposent plus que jamais. Pour les installations open-source (postfix, qmail..), il y a un antivirus open-source embarqué, souvent clamav, mais cet antivirus procède à une analyse classique, par signature, ce qui est assez limitée face aux nouvelles variantes qui se propagent très vite et qui font déjouer ces analyses par signature.
Face à cela, nous avons décidé d'appliquer chez nous et nos clients volontaires le blocage systématique de tous les fichiers bureautiques qui contiennent des macros avec une option de l'antivirus "OLE2BlockMacros" qui n'est pas activée par défaut.
Il devient en effet trop risqué de laisser passer ces pièces jointes car si le fichier arrive sur la boîte email de l'utilisateur, il faudra compter sur sa vigilance alors même que les messages semblent inspirer confiance.
Par ailleurs, les antivirus comme Kaspersky permettent maintenant de bloquer les extensions type .locky ou bien de forcer l'ouverture de fichiers bureautiques par certains programme, empêchant les virus se s'exécuter.
Spirea peut probablement aller au delà et renforcer la sécurité de la messagerie au cas par cas (niveau des spams et quarantaine, blocages spf, etc.) mais aussi dans d'autres contextes.. Par exemple, pour les clients chez qui nous avons un firewall/proxy type pfsense, un filtrage antivirus va pouvoir être appliqué au niveau du proxy, ou bien, pour les clients avec contrôleur de domaine, nous pouvons pousser des règles bloquantes pour l'exécution des crypto-virus sur tous les postes...
Pour conclure, la sécurité informatique pour PME/TPE fait partie de nos activités. Nous avons construit l'été dernier un cycle d'audit en 9 chapitres et 150 questions structurantes sur la sécurité informatique (intégrité, confidentialité, disponibilité, authentification, traçabilité), que nous pouvons appliquer dans le cadre d'une mission d'audit de votre informatique.
N'hésitez pas à communiquer avec vos utilisateurs sur ces nouveaux risques et de revenir vers nous pour toute question ou de doute.