Nouvelle vague de contamination Crypto Locker

Cette cyberattaque entraîne des lourdes pertes financières pour les entreprises et les administrations touchées. Elle cause de nombreux troubles dans les hôpitaux et donc, met en péril la vie des patients concernés.

Elle se propage depuis les postes de travail (notamment ceux qui ne disposent pas des dernières mises à jour de sécurité), par l'ouverture d'un mail, d'une pièce jointe au format zip, ou « .exe », voire via d'autres moyens, et affecte également les données sur les serveurs auxquels vous avez accès.

Le « rançongiciel » en question chiffre les données de l’ordinateur en local, ou sur le réseau informatique de la structure, pour les rendre inexploitables. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur. Une rançon est alors demandée afin de débloquer vos données. Beaucoup de structures ont répondu à la demande de rançon sans obtenir le résultat escompté.

Mesures Préventives

Il est recommandé aux utilisateurs de bien faire attention avant l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. En cas de doute, passez votre souris au-dessus de ces liens, vous pouvez ainsi repérer, dans la barre de tâches de votre navigateur, s’ils pointent bien vers l’adresse du site annoncée dans le message. Faites attention aux caractères accentués, ainsi qu’à la qualité du français pratiqué dans le texte...

En outre, les utilisateurs ne doivent pas ouvrir de messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. il faut donc être attentif à tout indice mettant en doute l’origine réelle du courriel, notamment si le message comporte une pièce jointe ou des liens. Efforcez-vous de débusquer les incohérences de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie d’habitude. En cas de doute, contactez l'interlocuteur pour vérifier qu’il est à l’origine du message. Attention : même si l’expéditeur est le bon, le malware a pu, à son insu, envoyer un message infecté.

Ne répondez pas aux demandes d’informations confidentielles (mots de passe, code PIN, coordonnées bancaires, etc.) : celles-ci ne sont jamais faites par courriel. En cas de doute, là encore, demandez à votre correspondant légitime de confirmer sa demande.

Il convient de porter attention à l'usage général du poste de travail. Si votre poste a un comportement anormal (lenteur, écran blanc sporadique, etc.), faites-le contrôler. De plus, veillez à ne pas télécharger consulter ou copier n'importe quoi, n'importe où et n'importe comment. En cas de doute, il est impératif de contrôler, grâce à un antivirus, les médias amovibles (Clés USB, Disques USB etc...).

Par ailleurs, il convient de veiller à bien réaliser les mises à jour logicielles (Antivirus, Java, Adobe Reader, Windows).

Enfin, il est recommandé d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu’elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de la structure.

Ne laissez pas votre disque dur externe branché sur votre ordinateur, celui-ci serait infecté par le malware.

Nota: notre service de sauvegarde AVAMAR peut permettre de récupérer vos données, le cas échéant.

Mesures correctives

En cas d’attaque constatée sur son ordinateur ou sur son réseau, il faut très vite débrancher le câble reliant l’ordinateur infecté à votre « box-internet » ou au réseau interne.

Fermer les logiciels et applications en cours, et prévenir rapidement votre mainteneur informatique.