Au moment où vous voyez l’alerte, il est déjà trop tard …
Nous avons vu une hausse dans l’activité malveillant au cours des dernières semaines, attribuable en partie à la découverte du bug Heartbleed et la fin de support pour Windows XP. Une de ces nouvelles attaques proviennent de CryptoLocker, un genre de ransomware détecté par Sophos. Au moment où il vous permet de savoir que votre ordianteur est affecté, le mal est déjà fait. Et croyez-nous, c’est beaucoup de mal.
Qu’est-ce que c’est ransomware?
[blockquote]”Un virus informatique est un automate auto réplicatif à la base non malveillant, mais aujourd’hui souvent additionné de code malveillant (donc classifié comme logiciel malveillant), conçu pour se propager à d’autres ordinateurs” (source: wikipedia)[/blockquote]
Ransomware se diffère du virus typique. Les virus, par définition, sont auto réplicatif, ce qui n’est pas le cas de CryptoLocker. Il a d’abord été rapporté par la Royal Mail au Royaume-Uni comme originant de spam contenant un lien vers le paquet malveillant, qui doit être exécuté par l’utilisateur. C’est la bonne nouvelle – il ne peut pas se propager sur votre réseau.
[blockquote] “Ransomware, ou rancongicirl, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.” (source: wikipedia) [/blockquote]
Les mauvaises nouvelles sont que, comme son nom l’indique, ransomware prend en otage votre système. La première chose que ce paquet fait c’est qu’il corrompre vos fichiers- tous vos fichiers. Photos, vidéos, documents; Les fichiers locaux, les fichiers du réseau, les fichiers partagés … Puis un écran d’avertissement de la part des criminels vous avertit que vos fichiers sont “cryptés,” exigeant que vous payer une rançon par virement électronique de fonds – dans les 72 heures – ou vos fichiers seront perdu à jamais.
Que dois-je faire?
Supprimez le programme?
CryptoLocker n’est pas particulièrement difficile à enlever. Il peut être nettoyé assez facilement par un certain nombre d’anti-virus, ou par l’un de nos techniciens. N’oubliez pas, cependant, vos fichiers sont déjà corrompus, et la suppression du programme ne résoudra pas le problème.
Payer la rançon?
Vos fichiers sont cryptés. Enlever CryptoLocker ne va pas aider – en fait, il garantira que vos fichiers ne pourront jamais être fixés. Selon des rapports, après vérification de votre paiement, les pirates se rendront à décrypter vos fichiers, même si le processus peut prendre plusieurs heures et ne réussit pas toujours.
Donc, payez-vous? Cela se dépend sur quelques questions personnels:
- Quelle est votre politique sur la négociation avec les terroristes?
- Avez-vous une bonne sauvegarde?
- Avez-vous confiance au criminels de suivre réellement à travers et à décrypter vos fichiers?
Espérons que vous avez une bonne sauvegarde …
La partie la plus importante de toute l’infrastructure informatique n’est pas la puissance du serveur, ni la vitesse du réseau, ni la santé des ordinateurs. De loin, une sauvegarde efficace est l’élément le plus crucial. CryptoLocker n’est qu’un exemple pourquoi.
Si vous avez une sauvegarde récente de vos fichiers, la solution à CryptoLocker est simple: Nettoyez le système, restaurer la sauvegarde, retourner au travail. Malheureusement, si votre sauvegarde est ancienne, peu fiable, pas mise à jour ou pour le pire – vous n’avez pas de sauvegarde – la solution n’est pas aussi clair.
Si vous ne pouvez pas dire avec certitude absolue que vous avez un système de sauvegare à jour et efficace, vous êtes à risque. Vous pouvez mettre des dizaines de milliers de dollars en ERP, CRM, mises à niveau des matérielles, et la maintenance du système, mais si vous n’investissez pas quelques centaines de dollars (et oui, il peut être si abordable!) dans un plan de sauvegarde fiable, vous risquez jeter tout cet argent.
Comment pouvez-vous vous protéger?
Parce que CryptoLocker n’est pas un virus et qu’il est activé par l’utilisateur, même la meilleure protection anti-virus est limité à la protection qu’il peut vous offrir. La seule façon de vous protéger vraiment est d’être conscient. Examinez les emails avant d’agir sur eux. Ne cliquez jamais sur les liens si vous avez un doute sur leur origine ou leur légitimité.
E-mails de spam connues
Pour vous aider à vous protéger contre cette attaque, voici une liste partielle des sujets connus email CryptoLocker:
USPS – Votre colis est disponible pour le ramassage ( Parcel 173145820507 ) | USPS – Livraison de colis manqué (“USPS Express Services” <service-notification@usps.com>) |
USPS – Missed package delivery | FW: facture |
ADP masse salariale: Alerte charge compte | ACH Notification (“ADP Payroll” <*@adp.com>) |
ADP Reference #09903824430 | Paie Reçus par Intuit |
Important – formulaire ci-joint | FW: Last Month Remit |
McAfee Always Sur activation de la protection | L’image numérisée de a Xerox WorkCentre |
Numérisation à partira Xerox WorkCentre | scanné à partir de Xerox |
Notice annuelle – l’autorisation d’utiliser un véhicule particulier appartenant à l’État d’affaires | Fwd: IMG01041_6706015_m.zip |
mon CV | Nouveau message vocal |
Message inconnu vocale (675-685-3476) | Message vocal de appelant inconnu (344-846-4458) |
Nouveaux paramètres Outlook – Important | Analysez les données |
FW: Avis de paiement – Conseils Ref: crédits [GB293037313703] / ACH / client Réf: [salaire course 14/11/13] | Avis de paiement – Conseils Ref: [GB2198767] |
Nouvel accord de contrat. | Avis important – transfert d’argent entrant |
Avis de revenu sous-déclaration | Avis de revenus non déclarés – derniers mois des rapports |
Retard de paiement – S’il vous plaît répondre | FW: Vérifiez copie |
paie la facture | USBANK |
Message d’eFax entreprise de “random phone #” – 8 pages (random phone # & number of pages) | factures échues |
FW: Case FH74D23GST58NQS | Symantec Endpoint Protection: Mise à jour importante du système – nécessite une action immédiate |
(source)