Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’ANSSI CONSTATE L’APPARITION D’UN NOUVEAU RANÇONGICIEL AUX CAPACITÉS DE PROPAGATION MULTIPLES

juin 2017 par ANSSI

La brève sera actualisée régulièrement en fonction de l’évolution des analyses techniques. Note : L’ANSSI invite à la plus grande prudence quant à la communication relative à la propagation du programme malveillant. À ce jour, il convient de rester prudent sur le nombre et l’identité de certaines victimes du présent rançongiciel.

Mise à jour 2 : 28 juin 2017 - 20h
Mise à jour 1 : 28 juin 2017 - 12h
Publication : 27 juin 2017 - 21h

Mode OPÉRATOIRE

Depuis le 27 juin, l’ANSSI constate l’installation et la propagation d’un programme malveillant de type rançongiciel. Ce rançongiciel dispose de plusieurs capacités pour se propager sur le réseau des victimes :

· en utilisant les identifiants (login, mot de passe) obtenus sur les machines infectées ;

· en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Le rançongiciel cible également le partage réseau via les deux techniques précédemment citées. Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l’application de mises à jour, ne restreignent pas la propagation d’une machine à l’autre. Sur chaque machine infectée, si le rançongiciel dispose des privilèges suffisants, il force un redémarrage et modifie le secteur de démarrage de Windows afin d’afficher le message de demande de rançon et rendre inaccessibles les données.

Lorsque le rançongiciel ne dispose pas de privilèges élevés, il chiffre les fichiers de l’utilisateur en fonction de leur extension En l’état actuel des connaissances, il convient de considérer que toutes les versions de Windows sont susceptibles d’être affectées. Les serveurs ainsi que les postes de travail font partie du périmètre d’infection possible. De nouvelles recommandations ainsi que des marqueurs techniques sont intégrés dans le dernier bulletin d’alerte diffusé par le CERT-FR.

Qu’est-ce qu’un RANÇONGICIEL ?

Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au paiement de la rançon. Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance.

Recommandations de sécurité

L’ANSSI recommande :

* l’application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010) ;
* le respect des recommandations génériques relatives aux rançongiciels ;
* de limiter l’exposition du service de partage de fichiers sur Internet ;
* de ne pas payer la rançon. Le paiement ne garantit en rien la récupération de vos données. Pour limiter la propagation de ce rançongiciel, l’ANSSI recommande également les mesures techniques suivantes :

* d’empêcher l’exécution de PSExec sur les machines ;
* d’empêcher la création de processus à distance par WMI ;
* d’empêcher l’exécution de C :\Windows\perfc.dat

À noter : la recommandation relative au killswitch « créer un fichier vide C :\Windows\perfc » reste d’actualité mais son efficacité n’est aucunement garantie.

À noter : il importe de consulter la liste exhaustive actualisée des recommandations techniques de sécurité sur le dernier bulletin d’alerte du Cert-fr. De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent être mises à jour.

En cas d’incident - Mesures RÉACTIVES

Si le code malveillant est découvert sur vos systèmes :

* déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés ;
* alertez le responsable sécurité ou le service informatique au plus tôt ;
* sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Pour plus d’informations, vous pouvez consulter :

* le bulletin d’alerte du Cert-fr régulièrement mis à jour ;
* la note d’information du Cert-fr sur la protection contre les rançongiciels ;
* la plaquette de prévention Ne soyez plus otage des rançongiciels  !




Voir les articles précédents

    

Voir les articles suivants