Un ransomware ou rançongiciel en français

Reading Time: 3 minutes
Rate this post

Vous avez sans-doute reçu par email une facture en fichier ZIP. Sans trop vous méfie, vous ouvrez le document et c’est l’attaque par Locky.

Locky n’est pas votre nouvel ami, ni lui, ni aucun ransomware !

Actuellement, la campagne de phishing la plus active concerne des messages pour de fausses factures de l’opérateur Free Mobile.

Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait à payer et la marche à suivre pour payer sa rançon, généralement en bitcoin, et ainsi récupérer ses données.

Vous avez peut-être reçu une facture en pièce jointe, format ZIP, dans votre email. Vous cliquez dessus et voilà, Locky vous attaque.

Locky n’est pas un ami, et encore moins les ransomwares !

Actuellement, une campagne de phishing active vise les clients de Free Mobile avec de fausses factures.

Si Locky infecte votre ordinateur, il affiche une demande de rançon, souvent en bitcoin, pour libérer vos données

Attaque de votre réseau d’entreprise

Un ransomware comme Locky ne se limite pas à une seule machine. Il verrouille tous les fichiers auxquels le serveur accède, y compris sur les serveurs de fichiers, les disques amovibles et d’autres machines, qu’ils soient sous Windows, Linux ou OS X. L’attaque est plus dangereuse si le poste infecté a des droits d’administrateur. Ce virus peut venir d’une clé USB ou d’un site web non sécurisé.

Et quid du Cloud ?

Netskope, expert en sécurité Cloud, a observé que les ransomwares se propagent via les fonctions de synchronisation de fichiers Cloud. Kaspersky Lab a repéré plus de 60 variantes de Locky, ciblant particulièrement les utilisateurs en Allemagne et en France.

Précautions à prendre

Conseillez à vos collègues de ne jamais ouvrir de fichiers ZIP, même s’ils proviennent de sources fiables. Encouragez-les à utiliser des plateformes de partage sécurisées comme Pydio ou Oodrive au lieu de télécharger des fichiers ZIP par email.

Le CERT-FR conseille, en cas d’infection, de déconnecter rapidement les machines compromises et de protéger les dossiers partagés.

Comment Kabia gère-t-elle cette menace ?

Les antivirus classiques ne détectent pas ces virus, car ils sont polymorphes. Grâce à notre partenariat avec Stormshield, nous utilisons leur solution SES (Stormshield Endpoint Security) qui bloque activement ce malware. Nous recommandons aussi leurs firewalls, Stormshield Network Security, pour bloquer l’accès aux sites malintentionnés.

Attaque du réseau de votre entreprise

Un ransomware ne se contente pas d’attaquer la machine de l’utilisateur. Il bloque tous les fichiers des disques auquel le serveur a accès, disques amovibles et serveurs de fichiers du réseau ou les machines de tiers quelque soit son système d’exploitation (Windows, Linux ou OS X).
La plus grande vulnérabilité est lorsque le poste attaqué est connecté en tant qu’administrateur.
Ce type de virus peut être transmis via une clé USB ou un site web douteux.

Et le Cloud dans tout ça ?

Netskope, éditeur spécialisé dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.
Kaspersky Lab a identifié plus de 60 variantes du ransomware Locky avec les utilisateurs allemands et français qui sont les plus exposés.

Quelles précautions prendre ?

  • Informer vos collaborateurs de ne pas ouvrir de fichiers en .zip y compris de fournisseurs connus.
  • Inciter vos collaborateurs à partager leurs dossiers sur des solutions de stockage et de partage de données uniquement accessibles par vos collaborateurs, type Pydio ou Oodrive pour éviter le téléchargement par mail de fichiers Zip.

Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ». Source : http://www.cert.ssi.gouv.fr/

Comment cette menace est gérée par Kabia ?

Les antivirus ne peuvent pas détecter ce type de virus car ils n’ont pas de signatures spécifiques et sont polymorphes.

En sélectionnant comme partenaire Stormshield, nous bénéficions de l’avancée des recherches réalisées par les équipes R&D qui confirment que leur solution SES (Stormshield Endpoint Security) installée sur les PC et serveurs bloque ce malware sans mise à jour ni aucune configuration spécifique.

En complément de la protection Stormshield SES nous proposons également la gamme de firewalls Stomshield Network Security qui permet notamment de filtrer les accès vers les sites malveillants.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.