Il y a quelques jours nos collègues de Computerland ont transmis un petit message pour nous mettre en garde par rapport au ransomware CryptoLocker, qui circule de plus en plus sur internet. Celui-ci peut être transmis par e-mail via une pièce jointe infectée : l’utilisateur qui la télécharge va alors déclencher l’installation du logiciel malveillant.
Les données sur l’ordinateur sont alors chiffrées et un message s’affiche demandant à l’utilisateur de payer une certaine somme, généralement en bitcoin (nouvelle monnaie virtuelle), afin d’obtenir la clé de décryptage. Attention que CryptoLocker chiffre également les sauvegardes et les lecteurs réseau auxquels l’utilisateur a accès.
Les antivirus sont régulièrement mis à jour mais de nombreuses variantes de Cryptolocker existent. C’est pourquoi malgré la protection logicielle il est important d’être très vigilent. En entreprise les conséquences peuvent vite être désastreuses. Pour éviter au maximum une infection de ce type, voici les recommandations qui nous ont été transmises :
- Sensibiliser les utilisateurs aux risques en rappelant les bonnes pratiques de prévention concernant l’utilisation de son pc et plus particulièrement de la messagerie.
- Vérifier et externaliser les backups. En effet, en cas d’infection, la seule manière d’éviter le paiement aux pirates d’une rançon est la restauration des fichiers non cryptés en remplaçant les fichiers cryptés. En effet, sans la clé de cryptage privée générée par le ransomware, il est impossible d’effectuer le décryptage.
- Vérifier et s’assurer que toutes les machines et serveurs ont un anti-virus à jour.
- Appliquer régulièrement les mises à jours de sécurité Windows et Office (surtout Outlook).
- Configurer Windows pour toujours afficher les extensions. Cela permet de plus facilement identifier des pièces jointes suspectes (exécutables, zip, fichiers Word et Excel).
- Éviter, au maximum, de donner les droits d’administration de la machine locale aux comptes utilisateurs.
Que peut-on faire en cas d’infection ?
- Éteindre immédiatement la ou les machines soupçonnées d’infection et les déconnecter du réseau. En cas de doute sur la source d’infection, éteindre toutes les machines.
- Ouvrir à partir d’un serveur ou d’une machine non infectée les fichiers qui ne peuvent plus être lus et vérifier l’appartenance de ceux-ci. Cela donnera le nom d’utilisateur source de l’infection.
- Garder éteinte(s) la ou les machine(s) utilisée(s) par le(s) utilisateur(s) infectés.
