Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’ANSSI CONSTATE L’APPARITION D’UN NOUVEAU RANÇONGICIEL AUX CAPACITÉS DE PROPAGATION MULTIPLES

juin 2017 par ANSSI

La brève sera actualisée régulièrement en fonction de l’évolution des analyses techniques. L’ANSSI invite à la plus grande prudence quant à la communication relative à la propagation du programme malveillant. À ce jour, il convient de rester prudent sur le nombre et l’identité de certaines victimes du présent rançongiciel.

 Mise à jour 3 : 29 juin 2017 – 12h
 Mise à jour 2 : 28 juin 2017 – 20h
 Mise à jour 1 : 28 juin 2017 – 12h
 Publication : 27 juin 2017 – 21h

Mode OPÉRATOIRE

De nouvelles recommandations ainsi qu’une mise à jour des marqueurs techniques sont intégrées dans le dernier bulletin d’alerte diffusé par le CERT-FR. Il revient par ailleurs plus précisément sur la chronologie de l’infection.

Le CERT-FR insiste également sur l’efficacité relative du killswitch « créer un fichier vide C :\Windows\perfc » qui reste néanmoins d’actualité dans des conditions restreintes, et uniquement sur certaines variantes du code malveillant.

Depuis le 27 juin, l’ANSSI constate l’installation et la propagation d’un programme malveillant de type rançongiciel.

Ce rançongiciel dispose de plusieurs capacités pour se propager sur le réseau des victimes. Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l’application de mises à jour, ne restreignent pas la propagation d’une machine à l’autre.

Qu’est-ce qu’un RANÇONGICIEL ?

Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au paiement de la rançon.

Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance.

Recommandations de sécurité

À noter : il importe de consulter la liste exhaustive actualisée des recommandations techniques de sécurité sur le dernier bulletin d’alerte du Cert-fr publié à 23h.

De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent être mises à jour.

En cas d’incident – Mesures RÉACTIVES

Si le code malveillant est découvert sur vos systèmes :
 déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés ;
 alertez le responsable sécurité ou le service informatique au plus tôt ;
 sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.

Pour plus d’informations, vous pouvez consulter :
 le bulletin d’alerte du Cert-fr régulièrement mis à jour ;
 la note d’information du Cert-fr sur la protection contre les rançongiciels ;
 la plaquette de prévention Ne soyez plus otage des rançongiciels !


Voir les articles précédents

    

Voir les articles suivants