En 2015 les ransomwares ont beaucoup fait parler d’eux dans le domaine de la cybersécurité et pour cause, ils sont très rentables. Le rapport annuel 2016 sur la sécurité mené par Cisco a notamment révélé qu’une seule campagne pouvait rapporter environ 34 millions de dollars brut annuel pour le rançonneur.
Pour rappel, Cryptolocker est une forme de logiciel malveillant qui rend inutilisables toutes les données stockées sur le disque dur infecté. Pour ce faire, une fois installé sur le poste, le plus souvent par le biais d’un faux email visant à imiter l’apparence d’une entreprise existante et légitime (une banque par exemple), il chiffre toutes les données grâce à une clef de chiffrement générée aléatoirement.
Depuis début 2016 Beemo Technologie a comptabilisé environ 90 cas de Cryptolocker chez ses clients. Ce ransomware est une véritable menace en recrudescence.
Pour prévenir vos clients d’une éventuelle attaque de Cryptolocker, nous vous conseillons de leur adresser les recommandations suivantes :
Avoir un parc informatique sécurisé :
- Mettre à jour régulièrement les logiciels installés : système d’exploitation, logiciels de messagerie, navigateurs internet etc.. ,
- Sécuriser le parc informatique en l’équipant d’un logiciel antivirus et de pare-feu,
- Faire attention aux droits d’accès des fichiers et à la gestion des partages. Le ransomware va s’attaquer aux volumes locaux mais également à tous les partages ouverts qu’il pourra trouver et crypter les fichiers s’il en possède les droits en écriture.
- Désactiver les macro dans word, sécuriser la navigation internet. Il s’agit des deux vecteurs d’entrée privilégiés du virus Cryptolocker.
Être vigilant :
- Eviter de naviguer sur des sites internet non sécurisés ou inconnus,
- Faire très attention aux pièces jointes et aux fichiers qui peuvent être téléchargés, surtout les .doc ou .zip qui sont d’origine inconnue ou non vérifiée de l’utilisateur. Depuis le 16 février 2016 une campagne d’emails malicieux circule contenant des pièces jointes sous les formats suivants :
contract_final.doc
COPY_INVOICE_<8 chiffres>-<8 chiffres>.doc
document_Invoice_<6 chiffres>.zip
final_invoice.doc
Invoice_copy_<8 chiffres>.zip
Invoice_feb-<8 chiffres>.doc
Invoice_J-<8 chiffres>.doc
Invoice_ref-<8 chiffres>.zip
scan_<6 chiffres>.doc
SCAN_Invoice_.doc
walmart_code.doc
Disposer d’une sauvegarde sécurisée et externalisée de ses données. Il s’agit encore de la meilleure façon de se prémunir contre ce genre d’attaque en plus des risques liés aux incidents techniques et aux erreurs de manipulation. Sauvegarder régulièrement les données évitera d’avoir à payer la rançon, il suffira alors de restaurer les données sauvegardées préalablement à l’attaque Cryptolocker.
En effet, en dehors du fait de payer la rançon, il est impossible de retrouver ses données. Cette solution n’est toutefois pas recommandée car le client n’aura aucune garantie que les données seront ensuite dechiffrées ni même qu’une attaque ultérieure n’aura pas lieu. De plus cela ne fait que contribuer à soutenir financièrement les développeurs du malware et à rendre possibles de futures attaques.