Cher client, partenaire, nous tenons à vous informer qu’il y a actuellement sur le net une recrudescence d’attaques de virus type Cryptolocker/Teslacrypt/Locky.
L’une des plus grandes banques Tunisiennes, aurait été victime, dans la soirée du 17 février 2021, d’une attaque de grande envergure ciblant ses systèmes d’information par «ransomware ».
I.Attaque, mode opératoire ?
Pour initier l’attaque, un fichier ou un lien vérolé sont envoyés sous la forme d’un email provenant d’un scanner ou d’une autre personne de votre société (même domaine). Ces mails ne contiennent aucun texte dans le corps du message en général.
A noter que les clés USB ou disque dur externe peuvent aussi véhiculer ce virus. Si le fichier vérolé est ouvert, le programme s’installe sur l’ordinateur et crypte alors toutes les données, rendant impossible l’utilisation ou la consultation de ces fichiers.
Dès lors, le cybercriminel débute son chantage en demandant de verser une rançon. Vous ne devez surtout pas payer le moindre centime.
Les différents éditeurs de solution antivirus présents sur le marché sont incapables de proposer une solution de protection 100% efficace et une machine pourtant protégée par un antivirus récent et à jour peut quand même être infectée par cette attaque.
Il en est de même pour les logiciels Adobe, le Java , même à jour , les failles utilisées n’ont pas encore été corrigées par les éditeurs…Attention ces malwares cryptent également les lecteurs réseau (et même les partages netbios sans lettres de lecteur) ainsi que, dans certain cas, les sauvegardes classiques sur disque dur externe ou NAS, rendant alors impossible la restauration.
Point important : Une fois l’attaque déclenchée seule la solution de restauration complète du système et des données reste efficace.
II.Pour prévenir les risques
- Effectuez des sauvegardes fréquentes – ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
- N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur ; vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute n’ouvrez pas les pièces jointes.
- Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER)
- N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ». Créez un compte « Utilisateur »
- Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.
III.En cas d’incident
- Réagissez au plus vite, afin de limiter la propagation (éteindre votre ordinateur électriquement immédiatement)
- Déconnecter les machines infectées de l’ensemble de votre réseau
- Changez les mots de passe, après avoir nettoyé les réseaux et les ordinateurs
- Sauvegarder ses données.
- La préconisation des experts en informatique va au-delà de la simple sauvegarde de fichiers en raison de leur vulnérabilité et préconise la mise en place de Plan de Reprise d’Activité.
Enfin, nous insistons sur le fait que seule la mise en place d’une politique préventive efficace de sécurité, incluant la mise à jour de vos systèmes, la sécurisation et la sauvegarde de vos données associées à un Plan de Reprise d’Activité éprouvé, permettent de contrer efficacement ce type de virus.
Vous remerciant pour votre vigilance et restant à votre disposition pour tout renseignement complémentaire.