21/03/2016

Sécurité informatique: un rancomware nommé "Locky"



  

    On ne le dira jamais assez, la sécurité de votre système d’information a un prix. Bon nombre d’entreprises estiment que s’attacher les services d’un « maintenancier » pour leur système d’information relève simplement du gâchis. Et pourtant, la maintenance est un service indispensable dans toute organisation qui se veut proactive. De manière permanente, l’entreprise court le risque de voir ses données compromis par des menaces de tout genre surtout dans un contexte où les entreprises fonctionnent davantage en « mode connecté ». C’est le cas depuis quelques temps du rancomware nommé « Locky ».   

           a)      Locky : qu’est-ce que c’est ?

    Locky est un ransomware qui crypte certains fichiers de votre système rendant ces données inutilisables. Une fois les fichiers cryptés, l’attaquant vous fournit des informations sur la procédure à suivre pour recouvrer vos fichiers moyennant le paiement au préalable d’une rançon. 

           b)      Le mode opératoire
L’infection par Locky se fait via les fichiers Word (avec l’extension .doc ou .docx) ou les fichiers Excel (avec l’extension .xls ou .xlsx). Ces fichiers atteignent votre système au travers des e-mails de provenance douteuse avec en pièces jointes des fichiers Word ou Excel. Une fois téléchargé, le fichier vous présente à l’ouverture un texte illisible et un message vous invitant à activer les macros.
     Une fois les macros activées, Locky s’installe dans votre système et crypte les fichiers de divers types : les images, les vidéos, les codes sources et les fichiers office. Par la suite, Locky met fin aux sauvegardes automatiques si ces dernières sont actives dans votre système, modifie l’image d’arrière-plan de votre bureau avec un fichier sur lequel vous trouverez la procédure à suivre pour payer la rançon vous donnant droit à la clé de décryptage de vos fichiers. 

            c)       Comment se prémunir de l’infection par Locky et des autres malwares ?
-        Se méfier des e-mails en provenance d’une source inconnue : si un e-mail vous semble étrange, vous devez soit l’ignorer, soit le supprimer et ne jamais ouvrir les fichiers joints à ce genre de message ni cliquer sur les liens qu’il contient ;
 -      Ne jamais cliquer sur les liens contenus dans un e-mail sans vérifier l’URL : beaucoup de logiciels de messagerie permettent l’activation de la fonction « mouse-over » du lien juste en survolant ce dernier permettant ainsi d’accéder au contenu cible même sans cliquer ;

-     Eviter d’activer les macros dans les applications office : les macros ne peuvent être activés dans les applications office que lorsque l’option des macros est configurée à « activer toutes les macros » ou si l’utilisateur a expressément activé la macro.

-     Sauvegarder en permanence les fichiers utilisateurs de votre système : chaque fois qu’un ransomware infecte votre système, vous perdrez tous les fichiers. Dans ce cas, vous ne pouvez continuer avec vos activités que lorsque vous avez des sauvegardes récentes de vos fichiers. Nous vous invitons à cliquer sur le lien suivant pour avoir une idée de notre offre de maintenance : http://smartmisconsult.com/fr/nos-services/externalisation/maintenance-des-systemes-d-information,

-       Bloquer la création des fichiers « .locky », à partir du dossier %temp%, dans les bases de registres.

-       Informer les organismes de sécurité (http://www.antic.cm par exemple) ou contacter les consultants en sécurité (http://smartmisconsult.com par exemple) en cas de menace sur votre système ou d’email suspect.
            d)      Comment faire lorsque son système est infecté par Locky ?
Lorsque votre système est infecté par Locky, vous devrez tout d’abord contacter votre service de maintenance pour la désinfection et la récupération, le cas échéant, de vos fichiers.

En effet, Locky procède à la suppression de vos fichiers sources après avoir cryptés les copies de ces derniers. 

Une procédure simple de désinfection et de récupération de vos fichiers consiste à :
  • Télécharger un outil permettant de nettoyer votre système, plusieurs outils de désinfection de Locky sont actuellement disponibles sur Internet.
  • Procéder à la récupération des fichiers supprimés avec un logiciel spécialisé avant toute réinstallation du système.
La sécurité des systèmes d’informations coûte de plus en plus cher et les barrières ne sont jamais infranchissables. Il est donc conseillé aux entreprises et organisations d’adopter une attitude préventive en pensant aux mesures de sécurité en amont de la conception de leur système d’information au lieu d’adopter une attitude réactive qui consiste à attendre que la vulnérabilité soit exploitée par les attaquants pour commencer à réfléchir sur la conduite à tenir. Pensez à faire élaborer des plans de continuité d’activité (ou Business Continuty Plans - BCP en anglais) pour vos entreprises et organisations. 

Documentation :
-          http://arstechnica.com/security
-          https://kc.mcafee.com
Publié par à
Libellés : , ,

Aucun commentaire:

Enregistrer un commentaire

Pour vos commentaires en rapport avec ce billet, Cliquez ici (Utilisateurs inscrits uniquement).

Inscription à : Publier les commentaires (Atom)