Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’ANSSI CONSTATE L’APPARITION D’UN NOUVEAU RANÇONGICIEL AUX CAPACITÉS DE PROPAGATION MULTIPLES

juin 2017 par ANSSI

La brève sera actualisée régulièrement en fonction de l’évolution des analyses
techniques.
Note : L’ANSSI invite à la plus grande prudence quant à la communication relative à
la propagation du programme malveillant. À ce jour, il convient de rester prudent
sur le nombre et l’identité de certaines victimes du présent rançongiciel.

Mise à jour 2 : 28 juin 2017 - 20h
Mise à jour 1 : 28 juin 2017 - 12h
Publication : 27 juin 2017 - 21h

Mode OPÉRATOIRE

Depuis le 27 juin, l’ANSSI constate l’installation et la propagation d’un programme
malveillant de type rançongiciel.
Ce rançongiciel dispose de plusieurs capacités pour se propager sur le réseau des
victimes :

· en utilisant les identifiants (login, mot de passe) obtenus sur les
machines infectées ;

· en exploitant des vulnérabilités du protocole SMB (identifiées dans le
bulletin MS17-010).

Le rançongiciel cible également le partage réseau via les deux techniques
précédemment citées. Cette capacité de propagation multiple rend potentiellement
vulnérables certains réseaux qui, malgré l’application de mises à jour, ne
restreignent pas la propagation d’une machine à l’autre.
Sur chaque machine infectée, si le rançongiciel dispose des privilèges suffisants,
il force un redémarrage et modifie le secteur de démarrage de Windows afin
d’afficher le message de demande de rançon et rendre inaccessibles les données.

Lorsque le rançongiciel ne dispose pas de privilèges élevés, il chiffre les fichiers
de l’utilisateur en fonction de leur extension
En l’état actuel des connaissances, il convient de considérer que toutes les
versions de Windows sont susceptibles d’être affectées. Les serveurs ainsi que les
postes de travail font partie du périmètre d’infection possible.
De nouvelles recommandations ainsi que des marqueurs techniques sont intégrés dans
le dernier bulletin d’alerte diffusé par le CERT-FR.

Qu’est-ce qu’un RANÇONGICIEL ?

Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes
malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme
malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses
fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au
paiement de la rançon.
Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être
bloqués, mais les conséquences peuvent aussi s’étendre au reste du système
d’information. Si l’infection initiale arrive souvent (mais pas nécessairement) par
un courrier électronique piégé, le programme peut aussi chercher à se propager de
manière autonome sur le reste du système d’information et au travers de ses
interconnexions en exploitant des vulnérabilités à distance.

Recommandations de sécurité

L’ANSSI recommande :

* l’application immédiate des mises à jour de sécurité (à titre préventif, plus
particulièrement celle de Microsoft MS17-010) ;
* le respect des
recommandations<http://cert.ssi.gouv.fr/site/CERTFR...> génériques
relatives aux rançongiciels ;
* de limiter l’exposition du service de partage de fichiers sur Internet ;
* de ne pas payer la rançon. Le paiement ne garantit en rien la récupération de
vos données.
Pour limiter la propagation de ce rançongiciel, l’ANSSI recommande également les
mesures techniques suivantes :

* d’empêcher l’exécution de PSExec sur les machines ;
* d’empêcher la création de processus à distance par WMI ;
* d’empêcher l’exécution de C :\Windows\perfc.dat

À noter : la recommandation relative au killswitch « créer un fichier vide
C :\Windows\perfc » reste d’actualité mais son efficacité n’est aucunement garantie.

À noter : il importe de consulter la liste exhaustive actualisée des recommandations
techniques de sécurité sur le dernier bulletin d’alerte du
Cert-fr<http://cert.ssi.gouv.fr/site/CERTFR...> .
De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un
ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer
les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent
être mises à jour.

En cas d’incident - Mesures RÉACTIVES

Si le code malveillant est découvert sur vos systèmes :

* déconnectez immédiatement du réseau les équipements identifiés comme
compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction
des documents partagés ;
* alertez le responsable sécurité ou le service informatique au plus tôt ;
* sauvegardez les fichiers importants sur des supports amovibles isolés. Ces
fichiers peuvent être altérés ou infectés. Il convient donc de les traiter comme
tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement
par des sauvegardes plus récentes.

Pour plus d’informations, vous pouvez consulter :

* le bulletin d’alerte du
Cert-fr<http://cert.ssi.gouv.fr/site/CERTFR...> régulièrement mis à
jour ;
* la note d’information<http://cert.ssi.gouv.fr/site/CERTFR...> du
Cert-fr sur la protection contre les rançongiciels ;
* la plaquette de prévention Ne soyez plus otage des rançongiciels
 !<http://www.ssi.gouv.fr/entreprise/p...>


Voir les articles précédents

    

Voir les articles suivants