Nos recommendations pour se prémunir du ransomware CTB-Locker
Si vous suivez l’actualité des malware, vous avez sans doute remarqué qu’une nouvelle campagne de ransomware est actuellement extrêmement active sur le territoire français: Il s’agit de CTB-Locker, diffusé via Email. Il chiffre les disques locaux et les partages de fichiers accessibles en écriture par l’utilisateur dont la session est compromise.
Comment fait-il? L’utilisateur reçoit un Email en français, a priori très bien écrit, avec une pièce jointe de type ZIP ou CAB, Le fichier archive contient un malware appelé Dalexis qui télécharge et exécute CTB-Locker. Si l’utilisateur ouvre l’archive et exécute son contenu, tous les fichiers des disques locaux et des partages sont chiffrés… Dès lors, une boite de dialogue indique les instructions à suivre pour récupérer la clé de déchiffrement. Il est inutile de suivre les instructions et de payer la rançon car il y a très peu de chance que les cybercriminels fournissent en retour la clé! Tous les systèmes d’exploitation Windows sont concernés. Il n’existe pas de solution de déchiffrement, les fichiers sont définitivement perdus. De plus si vous payez la rançon via une carte de paiement, celle-ci pourrait être réutilisée à volonté par les cybercriminels ! La seule solution : restaurer les fichiers depuis une sauvegarde saine si elle existe…
Voici quelques recommendations de nos équipes pour vous en prémunir :
- Eduquez vos utilisateurs afin qu’ils n’ouvrent pas un Email envoyé par un émetteur inconnu surtout s’il contient une pièce jointe et/ou un lien actif.
- Effectuez des sauvegardes régulièrement et déconnectez-les du réseau.
- Un utilisateur ne doit pas pouvoir disposer des droits administrateurs : cela évitera des installations et des modifications du système en mode silencieux.
- Aujourd’hui le vecteur d’attaque est le Mail, demain il pourrait agir à travers une vulnérabilité applicative. Appliquez tous les patchs de sécurité critique et importante.
- Le système d’exploitation XP, les anciennes applications Microsoft et les applications tierces qui ne sont plus maintenues par leurs éditeurs sont des vecteurs d’attaques. Il ne faut plus les utiliser car ils ne sont plus mis à jour.
- Activer la fonction Applocker, disponible depuis Windows 7 et 2008 R2.(http://www.howtogeek.com/howto/6317/block-users-from-using-certain-applications-with-applocker/)
- Depuis Vista ou XP, activer les stratégies de restrictions sur les applications via les GPO.
- Activez les UAC (“contrôle du compte de l’utilisateur”) afin de prévenir l’élévation de privilèges des comptes utilisateurs.
- Activez toutes les fonctionnalités de votre antivirus et n’autorisez pas les modifications aux utilisateurs finaux.
- Mettez à jour vos Antivirus (version et bases de signatures), ainsi que vos antispams.
-
Filtrez les extensions ZIP, MSI, CAB, TAR, GZ…
- Utiliser Software Updater de façon automatique.
- Ne connectez pas de façon automatique les ressources connectés, faites-le uniquement quand nécessaire. Pensez à les déconnecter après utilisation, et restreindre les droits d’accès en écriture.
Pour aller plus loin, les recommendations du CERT : http://cert.ssi.gouv.fr/site/CERTFR-2015-ALE-003/
Catégories