Ransomware: prévention & traitement

janvier 30, 2017

Qu’est-ce qu’un ransomware?

Aussi appelé Cryptolocker, c’est un logiciel malveillant qui s’attaque aux documents accessibles depuis l’ordinateur infecté, qu’ils se trouvent en local, sur un stockage externe branché ou un espace partagé sur votre réseau. 

Le ransomware crypte vos données et vous demande de payer une rançon pour les récupérer.  Payer la rançon ne garanti pas de récupérer ses données. 

 

Quelques statistiques

Une étude réalisée par Bitdefender (disponible ici en anglais) aux Etats-Unis et dans certains pays européens estime le nombre de victimes à 3,1 millions en Allemagne, 2,2 millions en France et 1,7 millions au Royaume-Uni.

La rançon a été payée dans environ 33% des attaques en Allemagne et 44% au Royaume-Uni, la statistique n’est pas disponible pour la France.

 

Propagation de la menace

Les concepteurs de ransomware sont créatifs, il est probablement impossible de faire une liste exhaustive des moyens de propagation aujourd’hui et cette liste ne serait déjà plus complète demain.

Il est nécessaire d’être vigilant en permanence, les concepteurs de ces logiciels malveillants analysent les comportements et essayent de nous attaquer quand nous pensons être en sécurité, quand nous adoptons des comportements plus laxistes par rapport à notre sécurité informatique. 

Une erreur largement répandue est de penser “nous ne sommes pas leur cible, ils s’attaquent à de grandes entreprises”. C’est faux. 

Pour donner un exemple, une personne malveillante a envoyé un mail à de nombreux indépendants, TPE et PME contenant un lien vers un ransomware. Ce mail a été envoyé en usurpant l’identité d’un acteur connu et de confiance en Wallonie et à Bruxelles, partenaire de nombreux professionnels. La Belgique francophone a clairement été ciblée dans ce cas. 

 

Prévention

Les bonnes pratiques quant à votre sécurité informatique est la meilleure arme contre les ransomwares. Il faut toutefois garder à l’esprit que le risque 0 n’existe pas et que plus on tente de s’approcher des 100% de protection, plus cela coûte cher et plus cela impacte négativement le confort d’utilisation des outils informatiques. Il est important de trouver le bon équilibre entre sécurité, coût et confort d’utilisation. 

 

Les indispensables: 

» Installer une solution anti-malware efficace comprenant une protection contre les ransomwares.

» Disposer d’une sauvegarde quotidienne et automatisée avec notification par mail du résultat (la sauvegarde doit être externalisée afin de ne pas être cryptée lors de l’attaque). 

» Garder Windows ou MacOS à jour ainsi que toutes leurs applications (Java, Adobe Reader…) ou passer sur Chromebook.

» Rester vigilant concernant les mails avec une pièce jointe ou avec un lien. Se poser les bonnes question: est-ce que j’attendais ce mail? Cette personne m’envoie-t-elle régulièrement ce type de mails? 

» Désactiver l’exécution des Macros dans les documents Microsoft Office. La procédure de Microsoft se trouve ici

» Eviter de travailler en permanence avec les droits d’administration. Créer un utilisateur qui n’est pas administrateur pour travailler au quotidien et n’utiliser l’administrateur que quand c’est réellement nécessaire (par exemple pour installer un logiciel). Ainsi, le logiciel malveillant évoluera dans un environnement avec des droits restreints. 

 

Vous êtes victime d’un ransomware

Si vous êtes victime d’un ransomware, la première chose à faire est surtout de ne pas se précipiter. Respirez, calmez-vous et réfléchissez au plan d’actions avant d’entreprendre quoi que ce soit. Il serait inopportun de brancher votre seule sauvegarde sur votre réseau encore infecté, elle risquerait de se faire attaquer également.

 

La démarche à suivre en cas d’infection:

» Cibler l’ordinateur infecté et le déconnecter du réseau.

» S’assurer que les protections anti-malware sont à jour sur tous les postes et lancer une analyse complète. Par sécurité, lancer une analyse avec une autre solution sur les postes afin de bénéficier d’une autre base de données virales. 

» Identifier le ransomware utilisé et chercher si une solution curative existe en utilisant Google ou le site internet No More Ransom.

» Restaurer les données de la sauvegarde s’il n’existe pas de solutions curatives. 

» Contacter la Police Fédérale. 

 

Comment peut-on vous aider? 

Nous pouvons naturellement vous aider tant dans la prévention qu’au niveau du traitement de l’infection. Voici ce que nous pouvons faire pour vous: 

» Déploiement de Bitdefender GravityZone, une solution de sécurité professionnelle comprenant une protection efficace contre les ransomwares. Nous avons opté pour ce produit grâce à ses très bons résultats dans la durée sur le site indépendant de test de logiciels anti-virus AV-Comparatives.

» Mise en place d’une sauvegarde quotidienne et externalisée en ligne. 

» Audit de votre parc informatique et de votre politique de sécurité.

» Mise en place d’une politique de sécurité adaptée à vos besoins. 

» Traitement de l’infection en cas d’attaque. 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *