Comment faire face à une attaque par un logiciel de rançonnage (ransomware) ? Il faut bloquer l’expéditeur des mails, en faisant le ménage dans les pièces jointes, déclencher la mise à jour de l’antivirus, et communiquer massivement dans l’entreprise pour que personne ne clique sur les fichiers douteux dans les messages.
Porter plainte et garder des traces
Quant aux machines déjà atteintes il faut les isoler, les reformater, restaurer les données dans la journée et conserver les fichiers cryptés comme le conseillent les enquêteurs et porter plainte auprès de la police judiciaire. C’est ce que préconise Alcino Pereira, RSSI (Responsable de la sécurité des systèmes d’information) de l’AFP, dans un billet de blog, suite à une attaque massive sur les 2000 postes de l’AFP (Agence France Presse) le 1er mars par le « ransomware Locky. »
Au passage, merci à ce RSSI pour communiquer aussi bien sur ce qui est la plaie des systèmes d’information et des entreprises, une attaque par un logiciel malveillant déclenchée par des être invisibles quelque part sur la planète.
Chiffrement de tout
Un ransomware, c’est un programme qui, lorsqu’il est activé, installe un extrait de code sur votre disque dur. Ce code se met en communication avec un serveur dit de «command and control» quelque part sur internet, qui télécharge le reste du code malveillant et une clé de chiffrement unique. Après quoi, il se met à tout crypter: votre disque dur interne, les disques durs externes et les clés USB éventuellement branchées à ce moment-là, les partages de serveur…
Tout devient illisible, inutilisable. Vous venez de perdre la totalité de vos données. Le ransomware annonce ensuite froidement que votre poste est crypté et qu’il le restera jusqu’au paiement d’une rançon. Il vous explique la procédure à suivre pour acheter la clé de déchiffrement, le seul espoir qui vous reste de récupérer vos données prises en otage.
Une heure pour bloquer l’attaque
Pour l’attaque du ransomware Locky du 1er mars, l’AFP est parvenue à la stopper en une heure environ, non sans peine, en bloquant l’expéditeur des mails, en faisant le ménage dans les pièces jointes, en déclenchant la mise à jour de l’antivirus et en communiquant massivement à travers la maison pour que personne ne clique sur les fichiers douteux dans les messages.
Mais tout cela, le RSSI insiste, ne sert à rien sans la vigilance humaine, sans la pédagogie, sans la communication. Aujourd’hui, les hackers misent beaucoup sur la crédulité et l’inattention des utilisateurs. Donc moins il y a d’utilisateurs crédules et distraits, moins on laisse de chances aux pirates. Il donne alors quelques conseils sur son blog.
Attaque massive
L’attaque est venue sous la forme de mails apparaissant être émis par un cabinet d’avocats. Cliquer la pièce jointe amenait le chiffrement de tout le PC de l’utilisateur. En appelant le cabinet d’avocats, le RSSI de l’AFP a appris que son entreprise n’était pas la seule touchée. C’était une attaque massive. Les pirates ont usurpé l’adresse mail du cabinet et s’en sont servi à son insu pour expédier leurs messages.
Sinon il faut installer IRMA, irma.quarkslab.com/