Alerte rançongiciel (cliquez ici)

Mardi 27 Juin 2017

Nouvelle attaque mondiale

Depuis le 27 juin 2017, un nouveau rançongiciel dénommé « PETRWAP » frappe la France et de nombreux autres pays.

Comme ce fut déjà le cas pour Wannacry en mai 2017, les ordinateurs travaillant sous environnement Windows sont impactés. Le mode de propagation (mails avec pièces jointes piégées, mises à jours de logiciels piégées, ...) est pour l’heure inconnu. De source média, plus de 2000 entreprises et institutions auraient été recensées à travers le monde, mais ce bilan risque de s'alourdir.

COMMENT MINIMISER LES RISQUES ?

Effectuer des sauvegardes quotidiennes et multiples. Faire des tests de restauration pour s’assurer de leur viabilité. (Si vous optez pour une sauvegarde en local (Disque dur, clé USB, …), ne connecter le support que le temps de l’opération).
Mettre impérativement à jour les systèmes d'exploitation logiciels et applications.
Installer des solutions de sécurité (anti-virus, firewall, antispams, ...) et les maintenir à jour.
Ne pas ouvrir les pièces jointes ou liens contenus dans des courriels dont l'identité de l'expéditeur est incertaine ou inconnue. (Attention : les attaquants peuvent imiter les adresses de vos correspondants habituels). Porter également une attention particulière aux mises à jour, lesquelles peuvent être piégées.
Restreindre l’autorisation des macros dans les suites bureautiques et de désactiver le moteur Javascript des lecteurs PDF.
Attribuer des comptes « utilisateur » adaptés aux besoins de chaque salarié et non pas des droits « administrateur ».
Sensibiliser régulièrement l’ensemble des salariés aux problématiques de sécurité informatique.

 

QUE FAIRE EN CAS D'INFECTION ? 

Isoler immédiatement l'ordinateur compromis en le déconnectant du réseau (arrêt du Wi-Fi, câble Ethernet débranché ; but : bloquer la propagation du chiffrement et la destruction des dossiers partagés).
Alerter rapidement le responsable informatique ou la société de maintenance. Vérifier l'intégralité du réseau, d'autres machines ayant pu être infectées. Désinfecter les postes et restaurer les données.
♦ Communiquer immédiatement sur l'attaque auprès de l'ensemble des utilisateurs.
Déposer plainte auprès du service de police ou de gendarmerie territorialement compétent. 
Si possible, vous munir des renseignements suivants :
Mode de transmission de l’infection (mail avec pièce jointe, lien internet,...) ; Nom du ransomware et extension des fichiers chiffrés ; Adresse de paiement de la rançon en bitcoins et adresses URL apparaissant ; Adresse ".onion" du site de téléchargement du déchiffreur
Prévenir votre assurance pour éventuellement mettre en route la procédure d’indemnisation (contrat "perte d'exploitation" et/ou "risques cyber").
 

 

ATTENTION 

Dans ce cas précis, le paiement de la rançon est à proscrire, l’adresse mail associée ayant été désactivée par un fournisseur d’accès.
A noter : Payer la rançon encourage la poursuite et le développement de cette activité délictuelle et ne garantit en rien le déchiffrement des données. Il peut en outre compromettre l’intégrité d’une machine, voire du réseau de l’entreprise, si le téléchargement de la clef s'accompagne de l'installation d'un RAT (logiciel de prise de contrôle à distance d'un ordinateur).
♦ Des escrocs se font parfois passer pour des entreprises spécialisées dans la sécurité informatique. Ceux-ci proposent, moyennant finances, de déchiffrer les données « sans payer la rançon ». En réalité, ils la payent discrètement, en prenant une marge, et acquièrent ainsi la confiance de la victime leur permettant de procéder ultérieurement à d'autres méfaits.

 

Retrouvez ici l'alerte lancée par Lettre électronique N° 19, éditée par la région de gendarmerie de Rhône-Alpes - Cellule Intelligence Économique régionale, avec les liens utiles.

 

Votre contact CCI :

sylvain.pascal@puy-de-dome.cci.fr, 04 73 60 46 61

Octobre 2017