Actualité 15/05/17 : Cryptomalware Wannacry

lundi 15 mai 2017

Suite à la récente attaque du logiciel de racket WannaCry qui a fait plus de 200 000 victimes dans 150 pays (cf. info Le Monde du 14/05) :

RECOMMANDATIONS de KASPERSKY :

Kaspersky Lab

-  Il est recommandé d’installer le PATCH OFFICIEL MICROSOFT Security Bulletin MS17-010 – Critical :

o Vous trouverez le patch correspondant à vos système Windows à cette adresse : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

o Pour les systèmes Windows qui ne sont plus maintenus, voir cet article sur le blog de Microsoft : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

-  Au niveau de KASPERSKY Endpoint, il faut vous assurer que la fonction System Watcher (Surveillance du système) est bien activée :
Kaspersky System Watcher
o Pour ce faire, vous pouvez suivre les informations données à cette adresse : http://support.kaspersky.com/fr/9101#block3

o Attention : Pour la procédure indiquée « Configuration locale » à l’adresse http://support.kaspersky.com/fr/10905 , la manipulation doit être faite uniquement avec prudence et pour les cas spécifiques (vous connaissez exactement les logiciels installés, les documents traités etc…).

o Si « System Watcher » est activé, vous pouvez le laisser gérer : lorsqu’un processus suspect tente de chiffrer un fichier, KASPERSKY Endpoint Security crée automatiquement une copie de sauvegarde du fichier avant qu’il ne soit affecté. Ces copies de sauvegarde sont stockées dans le répertoire temporaire du système et seront utilisées pour la restauration du fichier d’origine en cas de détection d’une activité de ce cryptomalware. Cette fonction se limite aux fichiers présents sur les disques locaux, System Watcher doit absolument être activé avant que l’activité de chiffrement n’est eue lieu pour que la restauration soit possible. Kaspersky Anti-Ransomware

Vous trouverez ci-dessous un guide de protection contre les cryptomalwares.

Un outil dédié Anti-Rançonlogiciel et gratuit pour les postes non protégés par Kaspersky Endpoint : Kaspersky Anti-Ransomware Tool for Business

RECOMMANDATIONS de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

ANSSI
Le CERT-FR constate l’apparition d’un nouveau rançongiciel, "WannaCrypt", qui exploite les vulnérabilités MS17-010 pour se propager. Il provoque le chiffrement de tous les fichiers d’un ordinateur ou d’un réseau. Des moyens existent pour y remédier.

A noter (mise à jour du 15 mai 2017, 10h00) : ne confondez pas cette attaque de rançongiciel avec la campagne de spam « Jaff » dont le mode opératoire, les recommandations de sécurité et les mesures réactives sont différents. Voir l’alerte du CERT-FR 2017-ALE-011

MODE OPERATOIRE

Le programme malveillant, qui pourrait être diffusé par courriel, exploite des vulnérabilités pour se propager. Ces dernières sont celles décrites dans le bulletin de sécurité MS17-010.

Le programme malveillant serait constitué :

  • d’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichiers ;
  • d’un rançongiciel.

QU’EST-CE QU’UN RANÇONGICIEL ?

Un rançongiciel est un programme malveillant qui provoque le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique). Il existe des moyens de prévenir et de remédier à ce rançongiciel (voir notre article "Définition RANÇONGICIEL et Recommandations de Sécurité").

RECOMMANDATIONS DE SECURITE

Le CERT-FR recommande :

  • l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur).
  • de limiter l’exposition du service de partage de fichiers sur Internet.

De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.

EN CAS D’INCIDENTS, MESURES RÉACTIVES

Si le code malveillant est découvert sur vos systèmes :

  • déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • alertez le responsable sécurité ou le service informatique au plus tôt.
  • sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
  • ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

Pour plus d’informations, vous pouvez consulter :