Attention à la recrudescence des cryptovirus !

Cryptovirus

D’après le dernier rapport de l’éditeur Trend Micro, 2016 sera l’année de l’extorsion en ligne. De nouveaux cryptovirus, comme Locky le rançongiciel du moment, ont été récemment découverts. Une vague massive d’attaques se propage à la vitesse éclair de 4 000 nouvelles infections par heure, ce qui signifie environ 100 000 nouvelles infections par jour, avec des répercussions pouvant causer la perte de votre entreprise. Savez-vous vous protéger contre les cryptovirus ?

Qu’est-ce qu’un cryptovirus ?

Un cryptovirus ou rançongiciel est un logiciel malveillant qui vise à extorquer de l’argent. Une fois ouvert sur votre poste de travail, il crypte tout ou partie de vos fichiers. Il s’attaque également aux fichiers accessibles par vos lecteurs réseau. Il devient alors impossible d’accéder à vos données sans la clé de cryptage. Cisco estime à 34 millions de dollars par an le montant total des rançons versées. Malheureusement, le versement de la rançon ne garantit pas l’obtention de la clé de cryptage.

Le cas le plus médiatisé est celui du centre médical presbytérien d’Hollywood qui s’est finalement résigné à payer une rançon d’un peu plus de 15 000 euros (l’équivalent de 40 bitcoins). Au départ, c’est un montant record de 3,2 millions d’euros (soit 9 000 bitcoins) qui était exigé. Son serveur central a été victime du cryptovirus Locky qui chiffre les données et les rend illisibles. L’établissement a été contraint de revenir aux procédures de communication manuscrites, par fax ou par téléphone. Les patients du service d’urgence ainsi que ceux sur qui devait être pratiqué un examen d’imagerie médicale ont dû être transférés dans d’autres établissements.

La France n’est pas en reste. Le Canard Enchaîné révélait, dans son édition du 20 janvier, que le Ministère français des Transports venait de subir, lui aussi, une infection de type « CryptoWall ». Selon l’enquête menée par Bitdefender, en 2015, un peu plus de la moitié (55.8%) de tous les fichiers malveillants diffusés via e-mail contenaient une forme de rançongiciel.

Quels sont les vecteurs d’infections des cryptovirus ?

Bien souvent, une attaque de cryptovirus commence par l’envoi d’un e-mail contenant une pièce jointe (notamment ZIP compressé contenant un document Word ou PDF). Une fois la pièce jointe ouverte, le logiciel malveillant se déploie dans le système de l’utilisateur.

A l’heure actuelle, méfiez-vous de Locky qui depuis mi-février se répand comme une trainée de poudre dans toute l’Europe (notamment en France et en Allemagne). Celui-ci évolue chaque semaine en utilisant de nouvelles méthodes de propagation. Le CERT-FR a observé que la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve une pièce jointe au format doc. Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du logiciel malveillant. L’exécution de ce dernier entraine le chiffrement des données et les fichiers sont renommés avec l’extension « .locky ». Le message électronique a pour sujet « ATTN: Invoice J- » et la pièce jointe pour nom « invoice_J- » ou peut provenir de l’opérateur Free Mobile.

En outre, si vous naviguez sur un site Web contenant un rançongiciel, vous risquez de voir votre poste de travail infecté. En effet, vous exécutez alors sans le savoir un script non sécurisé (parfois, en cliquant sur un lien ou en téléchargeant un fichier), ce qui permet au cryptovirus de se déployer dans le système. Certaines variantes diffusées, en fin d’année 2015, s’attaquaient également aux espaces de stockage dématérialisés. Le cas d’une infection sur l’ensemble des données d’une entreprise conservant tous ses fichiers sur le service Google Drive a depuis fait école.

Enfin, une boîte de dialogue apparaît vous informant que vos données sont bloquées et que vous devez verser une rançon pour pouvoir les récupérer. Actuellement, il n’y a aucun moyen connu de décrypter un fichier infecté.

Les postes qui seront infectés, s’ils n’ont pas été sauvegardés, perdront toutes les informations enregistrées sur les disques locaux. Si le cryptovirus atteint les serveurs, tous les postes liés aux serveurs seront infectés. Il faudra alors reconfigurer tous les postes et restaurer une sauvegarde afin de retrouver les données.

Les principaux vecteurs d’infection connus sont :
– L’e-mail avec une pièce jointe malveillante
– L’ingénierie sociale qui a pour vocation d’extirper frauduleusement de l’information à l’insu de son interlocuteur en incitant à installer délibérément un programme
– Le Drive-By-Download qui enclenche le téléchargement et l’installation automatique d’un logiciel malveillant suite à la consultation d’un mail ou d’un site piégé
– L’installation via un autre logiciel malveillant et les réseaux zombie utilisés pour la diffusion de pourriels.

Comment se prémunir d’une attaque ?

Pour prévenir les attaques de rançongiciels, il faut d’abord redoubler de vigilance en sensibilisant vos collaborateurs à ce type de menaces en leur expliquant comment déceler les pièces jointes douteuses, comment vérifier l’email de l’expéditeur et en lui demandant une confirmation de l’envoi d’une pièce jointe.

En savoir plus sur le plan de continuité d’activité.

Une seconde mesure de base consiste à maintenir le système d’exploitation et l’anti-virus du poste de travail à jour. Il est important de procéder à la mise à jour de vos logiciels (Adobe Reader, Adobe Flash Player, Java, Windows).

Enfin, pensez à réaliser régulièrement des sauvegardes de vos données, idéalement sur différents supports (Bande, Disque dur externe, sauvegarde externalisée…) et vérifiez régulièrement la bonne exécution des sauvegardes pour pouvoir récupérer vos données en cas de cryptage.

Si malgré tout, vous veniez à être infecté : débranchez le câble réseau le plus rapidement possible afin de limiter la propagation du cryptovirus.

(Lire aussi l’article sur la cybersécurité)

SERIANS IT Services de Konica Minolta accompagne les entreprises dans leur stratégie de sécurité IT et de continuité d’activité en s’appuyant sur des solutions et partenariats reconnus sur le marché.

10 mars 2016