Recrudescence du virus cryptolocker

Backup : Recrudescence du virus cryptolocker

En 2015 les ransomwares ont beaucoup fait parler d’eux dans le domaine de la cybersécurité et pour cause, ils sont très rentables. Le rapport annuel 2016 sur la sécurité mené par Cisco a notamment révélé qu’une seule campagne pouvait rapporter environ 34 millions de dollars brut annuel pour le rançonneur.

Pour rappel, Cryptolocker est une forme de logiciel malveillant qui rend inutilisables toutes les données stockées sur le disque dur infecté. Pour ce faire, une fois installé sur le poste, le plus souvent par le biais d’un faux email  visant à imiter l’apparence d’une entreprise existante et légitime (une banque par exemple), il chiffre toutes les données grâce à une clef de chiffrement générée aléatoirement.

Depuis début 2016 Beemo Technologie a comptabilisé environ 90 cas de Cryptolocker chez ses clients. Ce ransomware est une véritable menace en recrudescence.

Pour prévenir vos clients d’une éventuelle attaque de Cryptolocker, nous vous conseillons de leur adresser les recommandations suivantes :

Avoir un parc informatique sécurisé :

  • Mettre à jour régulièrement les logiciels installés : système d’exploitation, logiciels de messagerie, navigateurs internet etc.. ,
  • Sécuriser le parc informatique en l’équipant d’un logiciel antivirus et de pare-feu,
  • Faire attention aux droits d’accès des fichiers et à la gestion des partages. Le ransomware va s’attaquer aux volumes locaux mais également à tous les partages ouverts qu’il pourra trouver et crypter les fichiers s’il en possède les droits en écriture.
  • Désactiver les macro dans word, sécuriser la navigation internet. Il s’agit des deux vecteurs d’entrée privilégiés du virus Cryptolocker.

Être vigilant :

  • Eviter de naviguer sur des sites internet non sécurisés ou inconnus,
  • Faire très attention aux pièces jointes et aux fichiers qui peuvent être téléchargés, surtout les .doc ou .zip qui sont d’origine inconnue ou non vérifiée de l’utilisateur. Depuis le 16 février 2016 une campagne d’emails malicieux circule contenant des pièces jointes sous les formats suivants :

    contract_final.doc
    COPY_INVOICE_<8 chiffres>-<8 chiffres>.doc
    document_Invoice_<6 chiffres>.zip
    final_invoice.doc
    Invoice_copy_<8 chiffres>.zip
    Invoice_feb-<8 chiffres>.doc
    Invoice_J-<8 chiffres>.doc
    Invoice_ref-<8 chiffres>.zip
    scan_<6 chiffres>.doc
    SCAN_Invoice_.doc
    walmart_code.doc

Disposer d’une sauvegarde sécurisée et externalisée de ses données. Il s’agit encore de la meilleure façon de se prémunir contre ce genre d’attaque en plus des risques liés aux incidents techniques et aux erreurs de manipulation. Sauvegarder régulièrement les données évitera d’avoir à payer la rançon, il suffira alors de restaurer les données sauvegardées préalablement à l’attaque Cryptolocker.
En effet, en dehors du fait de payer la rançon, il est impossible  de retrouver ses données. Cette solution n’est toutefois pas recommandée car le client n’aura aucune garantie que les données seront ensuite dechiffrées ni même qu’une attaque ultérieure n’aura pas lieu. De plus cela ne fait que contribuer à soutenir financièrement les développeurs du malware et à rendre possibles de futures attaques.

Une question ? Un projet ?

N’hésitez pas à nous contacter !