+33(0) 444 052 650

[Article mis à jour le 14/05/2017 – comment éviter l’infection par WCry2.0 | Lien page CERT/ANSSI]

Une très importante vague d’attaques a été détectée et signalée depuis hier (12/05/2017) au niveau mondial.

Nouveau virus, vieilles méthodes

Il s’agit d’un nouveau rançongiciel (également ransomware ou cryptolocker) nommé « WannaCry » exploitant la vulnérabilité Microsoft MS17-10 qui a fait l’objet de correctifs de sécurité publiés par Microsoft depuis mars 2017.
Cette vulnérabilité n’est donc pas nouvelle, puisque le Bulletin d’actualité CERTFR-2017-ACT-016 la présentait déjà, ainsi que les moyens de s’en prémunir, le 18 avril 2017.

Ce rançongiciel ne peut donc fonctionner que sur des machines non mises à jour.

Qu’est-ce qu’un « Ransomware » ?

Le principe des rançongiciels (ou ransomware) est de chiffrer tout ou partie des documents et fichiers présents sur la machine infectée, les rendant inaccessibles et illisibles. Le logiciel malveillant demande alors de payer une rançon pour déverrouiller l’accès aux fichiers (par l’envoi d’une clé permettant leur déchiffrement).

Comment éviter l’infection par WCry2.0 ?

Il est relativement simple de se prémunir du ransomware WCry2.0 :

  1. Appliquez immédiatement la mise à jour Microsoft MS17-010,
  2. Retirez de la production les systèmes NT4, 2000, XP-2003,
  3. Bloquez les ports 445/139 & 3389 sur vos pare-feux.

Dois-je payer la rançon ?

Les autorités recommandent vivement aux victimes de ne JAMAIS payer de raçon, et ce pour deux raisons :

  1. il n’y a aucune certitude que le pirate, une fois l’argent reçu, enverra la clé permettant le déchiffrement des fichiers (dans de nombreux cas, l’attaquant ne dispose pas lui-même de cette clé)
  2. le fait de céder au chantage donne des moyens supplémentaires à l’industrie cybercriminelle, et les attaquants risquent de revenir piller les victimes qui ont déjà accepté de payer une première fois

Que faire en cas d’infection ?

Une fois infecté, le seul moyen crédible permettant de remédier à ce type d’attaque est de disposer d’une stratégie de sauvegarde efficace et testée régulièrement (présentant la certitude de pouvoir restaurer les sauvegardes), puisqu’on ne peut à l’évidence pas réduire à néant le risque d’infection (provoquée par l’ouverture d’e-mails piégés).

Europol a également mis en ligne un site dédié à la problématique des cryptolockers, afin d’aider les victimes lorsque cela est possible.

Si vous êtes victime d’une telle attaque :

  1. déconnectez immédiatement les machines infectées du réseau afin d’éviter la propagation du virus ;
  2. mettez les machines infectées hors-tension pour bloquer le processus de chiffrement des fichiers (débranchez directement le câble d’alimentation électrique) ;
  3. tentez une récupération de fichiers sans démarrer la machine infectée (liveCD, outils de récupération…) ;
  4. formatez la machine infectée et procédez à la réinstallation du système d’exploitation ;
  5. vérifiez les sauvegardes à la recherche de logiciels malveillants
  6. restaurez les données à partir des sauvegardes
  7. Et surtout : déposez plainte auprès des services de police ou de gendarmerie ! Chacun dispose de services spécialisés. Cette étape est indispensable à la prise en compte du préjudice que vous avez subi, mais permet également d’actualiser les statistiques nationales sur les infractions informatiques.

Nous pouvons évidemment intervenir pour vous assister dans la gestion de crise aussi bien que pour vos besoins opérationnels (état des lieux, définitivement du plan d’action et reprise d’activité…).

    Comment me prémunir de ce type de menace ?

    L’ANSSI et le CERT ont publié des communiqués reprenant l’ensemble des informations utiles concernant cette campagne.

    Voir ici : https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

    Suivez les règles élémentaires d’hygiène informatique !

    L’ANSSI édite un guide d’hygiène informatique, dont le but est d’accompagner la sécurisation des systèmes d’information.
    Vous pouvez télécharger gratuitement le guide sur le site de l’ANSSI : https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

    Nous pouvons vous aider !

    Afin de vous aider à vous prémunir de ce type d’attaque, nous proposons un diagnostic complet de votre maturité en matière de sauvegarde incluant :

    • un évaluation de votre politique de sauvegarde, et le cas échéant la rédaction de celle-ci ;
    • une évaluation de vos systèmes et procédures de sauvegarde ;
    • des tests de restauration des sauvegardes afin de vérifier qu’elles sont exploitables, à jour et non-corrompues ;
    • des conseils pour renforcer vos procédures et outils de sauvegarde.

    Anticipez ! Contactez-nous avant qu’il ne soit trop tard.