Chers clients,

Nous vous avons alertés à plusieurs reprises concernant une recrudescence d’infections dues à des virus de type « ransomware », c’est-à-dire des virus qui cryptent les données sur les PC et les serveurs et vous demandent ensuite de payer une rançon sous 24 ou 48h pour vous permettre de les décrypter.

Ce weekend, une attaque d’une ampleur inédite a touché plus de 200.000 organisations, dans 150 pays, avec des conséquences graves : hôpitaux ou usines bloqués, etc.

Ces virus s’attaquent majoritairement aux fichiers bureautiques et multimédias, notamment les fichiers Office, PDF, vidéo, les fichiers .ISO, .ZIP, .RAR, etc. Attention, si l’utilisateur dont le poste est infecté dispose de droits d'écriture sur un répertoire réseau, les fichiers localisés sur le serveur seront eux aussi cryptés. Certaines variantes cryptent aussi les fichiers système, entraînant irrémédiablement le « plantage » définitif de Windows, ce qui nécessite une réinstallation complète du système.

Ces virus ont pour noms : CryptoLocker, CryptoWall, Locky ou WanaCrypt0r 2.0 pour celui de ce weekend. Le problème est qu’il en apparaît de nouvelles variantes tous les jours, ce qui génère des « fenêtres de vulnérabilité », puisque les éditeurs d’antivirus ont besoin de plusieurs heures pour pouvoir les détecter et intégrer la signature dans leurs bases et qu’il faut ensuite que les antivirus installés dans votre organisation se mettent à jour (ce qui se fait automatiquement). Malgré plusieurs barrières de protection antivirale, au niveau des firewalls, des antispams et des postes de travail, il arrive ainsi que les réseaux soient infectés.

Aussi, nous vous recommandons d’être extrêmement vigilant.

Ces virus peuvent arriver sur vos postes par différents moyens :

• Réception d'une pièce jointe infectée dans un message électronique (il s'agit du cas le plus fréquent).
• Faille de sécurité Flash Player ou Java permettant d'infecter le poste lorsque vous surfez sur internet.
• Faille de sécurité Adobe Reader / Acrobat (lecteur PDF).
• Transmission via un média USB infecté (clé USB par exemple).

Voici quelques conseils qui vous permettront de limiter les risques d'infection :

• S'assurer que tous les serveurs et postes de travail de votre organisation disposent d'une protection antivirus à jour.
• Utiliser plusieurs protections antivirus : par exemple une solution TrendMicro sur vos postes de travail, en plus d'un antivirus embarqué dans votre pare-feu (Arkoon / StormShield, SonicWALL). Ainsi, si un antivirus ne dispose pas encore de la signature d'un virus récemment apparu, l'autre antivirus peut éventuellement le bloquer.
• Utiliser un antispam disposant d'un filtrage antivirus (Barracuda, PineApp, ASPamFilter…).
• Améliorer la protection de votre parc PC avec une solution Anti-Malware (Malwarebytes par exemple), complémentaire aux antivirus traditionnels
• S'assurer que les mises à jour de sécurité Windows et Office sont bien déployées sur votre parc informatique (Windows Update ou WSUS) et éviter d’utiliser des systèmes obsolètes comme Windows XP ou Windows Server 2003 par exemple.
• S'assurer que les applications Adobe Reader / Acrobat, Flash Player et Java sont à jour.
• Ne jamais ouvrir une pièce jointe « douteuse » dans un message électronique (expéditeur inconnu) ou dont l'extension est dangereuse (.EXE, .PIF, .BAT, .SCR, .ZIP, .RAR…).
• Ne pas cliquer sur un lien contenu dans un message électronique douteux.
• Ne télécharger des applications que depuis des sources fiables.
• Ne surfer que sur des sites internet professionnels ou connus.
• Eviter d'accorder aux utilisateurs les droits « administrateur » sur leurs PC.
• Limiter l’usage de médias amovibles et ne jamais utiliser une clé USB d’origine inconnue.
• Veiller à ce que les droits soient judicieusement paramétrés sur les répertoires partagés des serveurs : laisser uniquement les droits en écriture/modification aux utilisateurs qui en ont réellement besoin.
• Dans la mesure du possible, préférer des accès aux répertoires localisés sur des serveurs via des raccourcis, plutôt que via des lecteurs réseau (type Z:\). En effet, certains virus ne cryptent pas les fichiers localisés sur les serveurs lorsqu'on y accède depuis un raccourci sur le PC.
• Enfin, s'assurer que votre système de sauvegarde est fonctionnel. En effet, en cas d'infection par ce type de virus, la restauration sera votre seul recours pour récupérer vos données.

Si vous subissez une infection, vous avez plusieurs possibilités :

• La pire : payer la rançon. En effet, outre la procédure relativement complexe (utilisation du réseau TOR, paiement en BitCoins) et le coût, vous n’avez aucune garantie de résultat. Un paiement pourrait par ailleurs vous mettre en situation illégale : blanchiment d’argent, financement d’entreprises terroristes...
• Si vous disposez d'un contrat « Sérénité Réseau », contactez notre support : 0 826 46 1000 (choix 2 puis choix 1) ou supportinfra@prodware.fr
• Procéder à la restauration d'une sauvegarde récente (BackupExec, Veeam, NetVault, WebBackup...).

Concernant l’attaque de ce weekend, Microsoft propose depuis le mois de mars un correctif permettant de combler la faille utilisée : MS17-010 - https://support.microsoft.com/en-us/help/4013389/title

Suite à l’attaque massive de ce weekend, Microsoft propose exceptionnellement un correctif pour les systèmes qui ne sont plus maintenus (Windows XP, Windows Server 2003) : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

J'espère que ces quelques conseils vous permettront d'éviter une infection et je vous conseille d'être extrêmement prudents en cette période, même s'il est impossible d'être protégé à 100%. En effet, les auteurs de virus ont toujours un coup d'avance sur les solutions de sécurité.

Cordialement,

Stéphane GILLOT
Directeur Activité Infrastructures & solutions Cloud