Un nouveau ransomware crypte vos fichiers

Une pièce jointe ouverte depuis votre messagerie et le ransomware s'installe, il crypte les données les rendant inutilisables.

Une autre pièce jointe contient des instructions à suivre pour payer une « rançon » afin d’obtenir la clé de déchiffrement. Que faire ? Comment se prémunir d'un tel risque ?

Qu'est-ce qu'un ransomware ?

Un ransomware (crypto-virus ou virus rançon), est un logiciel malveillant pouvant entraîner soit le blocage d'un ordinateur, soit le chiffrement des données qu'il renferme, ou encore la récupération d’informations sensibles.

Apparu fin 2013, le ransomware de type cryptolocker, a pour effet de chiffrer les fichiers de l'utilisateur, les rendant inutilisables et menaçant de les supprimer si une rançon n'est pas versée avant la fin d'un compte à rebours affiché à l'écran.

Transmis par messagerie, le courriel contient généralement une pièce jointe au format « .pdf », « .zip », « .xls », ou « .exe » que vous êtes invité à ouvrir. Une fois le document ouvert, de très nombreux fichiers sont immédiatement cryptés.

Odin, dernière déclinaison de ransomware de type Locky

ODIN serait apparu pour la première fois le 29 septembre 2016. Il s’agit de la dernière déclinaison du ransomware LOCKY.

Il utilise un système de cryptographie identique aux versions précédentes (Locky, Zepto, ...) mais chiffre les fichiers en leur ajoutant désormais une extension en « .odin ».

La clé ayant été modifiée, le déchiffreur « Autolocky », qui permettait depuis quelques temps de décrypter les fichiers en
« .locky » est inefficace.

Attention !

Payer se révèle souvent sans aucun effet car une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage.

Comment se prémunir d'un tel risque ?

En amont :

• Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. Tout personnel connecté au réseau de l'entreprise est susceptible d'être rendu destinataire de mails piégés pouvant infecter au mieux son ordinateur et au pire l'intégralité du système d'information de l'entreprise.
• Installer et mettre à jour régulièrement des solutions de sécurité (antivirus, firewall...).
• Effectuer des sauvegardes régulières de l'ensemble du système informatique et des données contenues. S'assurer régulièrement de leur viabilité.
• Désactiver les macros exécutables automatiquement dans Microsoft Word et Excel. 
• Mettre en place une veille pour anticiper et s’adapter aux nouvelles menaces.
  
  

En cas d'attaque :

Isolée immédiatement la machine compromise en la déconnectant du réseau afin de limiter les dégâts.

• Prendre en photo tous les écrans ou réaliser des copies d'écran (mail frauduleux et ses pièces jointes) et noter toutes les actions réalisées ainsi que les heures.
• Sauvegarder les fichiers cryptés sur un support amovible externe pour un éventuel déchiffrement ultérieur.
• Contacter rapidement le responsable informatique ou la société de maintenance.
• Communiquer immédiatement sur l’attaque auprès de l’ensemble des utilisateurs.
• Déposer rapidement plainte auprès du service de police ou de gendarmerie territorialement compétent.
• Prévenir votre assurance pour éventuellement mettre en route la procédure d’indemnisation.

Et surtout NE PAS PAYER : une fois la rançon réglée, le cybercriminel disparaît sans transmettre la clé de déchiffrement nécessaire au déblocage

Plus d'informations sur le site de l'ANSSI

^{Publié le 27/10/2016}