Attention: les ransomwares sont à l'oeuvre!

[Pit]

Bonjour

Je reçois une information via ESET, fournisseur de solutions d'antivirus et sécurité PC, qu'une vague d’attaques du ransomware Locky touche actuellement de nombreuses entreprises dans le monde et depuis peu en France.
Pour ceux qui ne savent pas ce qu'est un ransomware :
"Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer."

Sur Grenoble, un petit cabinet d'avocats en a été victime récemment, un des associés ayant ouvert un tel fichier sans se méfier.
Les particuliers sont en principe moins ciblés que les entreprises mais le risque existe quand même.


Pour se protéger contre ce genre de menace :

CONSEIL N°1 : VIGILANCE UTILISATEUR
Ne pas ouvrir la pièce jointe d’un email envoyé par un expéditeur inconnu, ou si son contenu n'est pas typique d'un utilisateur que vous connaissez.
Soyez très vigilant notamment avec les pièces jointes .zip, .doc, .xls ou similaires : ce sont les sources de propagation de Locky et de ce genre de logiciels malveillants.
Tous ces fichiers peuvent contenir des macros, donc éventuellement pour éviter qu'elles s'activent à l'ouverture du fichier, renseignez-vous sur comment désactiver les macros dans le logiciel qui est utilisé pour ouvrir les fichiers, ou, mieux, si c'est disponible comme ça l'est dans Libre Office, paramétrez l'activation des macros en ne permettant leur exécution que si elles sont signées d'un organisme réputé fiable ou plus simplement paramétrer la sécurité du logiciel pour que le système vous demande confirmation avant d'exécuter les macros provenant de sources non fiables.
Un autre précaution possible : travailler en routine avec un compte utilisateur qui n'a pas les droits Admin sur le PC : dans le cas où le malveillant passe par l'intermédiaire de l'installation d'une application cachée sur votre PC (ce qui n'est pas obligatoire), le système vous alertera en vous demandant le mot de passe de l'administrateur pour autoriser l'installation.

CONSEIL N°2 : SAUVEGARDER VOS DONNEES REGULIEREMENT
Si vous tenez aux données stockées sur votre PC, faites régulièrement des sauvegardes sur un support uniquement connecté à votre PC au moment de la sauvegarde, car le malveillant peut très bien s'attaquer à tout ce qui connecté au PC, directement (liaison filaire) ou via l'accès à votre NAS si vous en avez un chez vous.


En tant qu'ancien informaticien, je sais que ce n'est pas très difficile d'embarquer un tel code dans un fichier MS Office ou similaire : il nous est arrivé de faire des farces (gentilles !) à certains collègues.

[majelan]

Bonjour à tous

C'est fait depuis quelques jours (professionnellement): une collègue à "récupéré" sur un site de pharmacie en ligne la photo d'un produit (fichier .jpg) ... accompagné de Ransom.teslacrypt ...
Ce troyen n'a pas touché le réseau (Linux) et est resté sur ce poste Windows ... 120 000 fichiers cryptés sur C: , 50 000 sur D:
Quelques minutes pour l'éradiquer (Malwarebytes anti-malwares), une journée pour supprimer les fichiers cryptés renommés en .mp3 ...
NB: simple poste de travail, sous Windows 7 pro ... seuls les documents (.txt, .pdf, .jpg, .mp3) étaient touchés ...

[Pit]

Pas mal de victimes dans les établissements de santé.

Mi Février, c'était le tour du Centre Médical presbytérien d'Hollywood : système informatique paralysé par un logiciel de cryptage ( CryptoLocker).
Ils se sont résignés à payer !

En France, un labo d'analyses attaqué par un ransomware n'avait pas payé, il a réussi à désactiver tous ses serveurs, mais une partie des données séquestrées (15000 dossiers de patients) ont été diffusés sur le web par les pirates.

Dans son édition du 20 Janvier dernier, le Canard Enchainé révélait que le ministère français des Transports avait subi une attaque de ce type, et il parait que d'autres ministères aurait été touché.
Et le monde de la santé français a vu plusieurs tentatives d'extorsions de fonds.
En général, les victimes préfèrent garder le silence sur leurs ennuis, sans doute pas envie d'affoler les gens.

En plus des modes de diffusion signalés dans le premier message, certains logiciels malveillants se diffusent via des fenêtres pop-up de publicité invasive : donc ne surtout pas cliquer dessus !
Plus vicieux : le virus peut être déclenché sans que l'internaute n'ouvre un fichier piégé.
Lors de la navigation sur Internet , l'affichage d'une publicité (programmée en Java ou via Flash Player ou Silverlight) permet de tester s'il y a des failles de sécurité sur le PC, ce qui permet à un logiciel malveillant d'en profiter, ce qui peut être encore plus grave si vous êtes connectés sur Internet sous le compte administrateur de votre PC.

Certains de ces logiciels ransomware sont à ce jour mal détectés par les antivirus, mais ça vient : faites bien les mises à jour de votre programme d'antivirus.
Et pareil pour les mises à jour de votre système d'exploitation.

Et surtout, si vous tenez aux données sur votre PC : sauvegardez-les régulièrement AVANT qu'elles soient cryptées.

[enecc80]

sauvegardez-les régulièrement AVANT qu'elles soient cryptées.

Et ne les sauvegardez plus APRES qu'elles soient cryptées pour ne pas écraser les bonnes.