Bonjour à tous, "un homme averti en vaut deux" comme on dit. Je vous transmets une info qu'a fait circuler l'administrateur de mon entreprise, ça me semble important que tout le monde soit conscient de la menace que représente les Ransomwares
Le ransomware Locky inonde la France, via de fausses factures Free Mobile
Locky, un ransomware qui a récemment bloqué un hôpital à Los Angeles, cible en ce moment la France. Attention aux pièces jointes ressemblant à des factures et faisant appel à des macros !
Le ransomware Locky, à l’origine d’une attaque récente contre un hôpital à Los Angeles, est toujours actif et il cible particulièrement la France. Selon une analyse de l’éditeur Kaspersky, le malware, dont la société a identifié plus de 60 variantes à ce jour, serait en effet particulièrement diffusé en France et en Allemagne. Le CERT-FR, le centre d’alerte et de réaction aux attaques informatiques de l’administration hexagonale, confirme d’ailleurs cette analyse dans une note datée du 2 mars. L’organisme indique constater une « vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible », des spams ayant pour objectif de diffuser le rançongiciel Locky.
Ce ransomware doit son nom au suffixe qu’il donne aux fichiers qu’il crypte (transformé en .locky). Classiquement, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues inaccessibles (entre 0,5 et 1 Bitcoin dans le cas présent, selon les données publiées par Sophos, un Bitcoin valant aujourd’hui quelque 360 euros).
Diffusion de Locky : haro sur les macros Office
Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Il cible même le fichier wallet.dat, autrement dit le portefeuille de Bitcoin si l’utilisateur en possède un. Faute de sauvegarde de ce dernier et s’il renferme plus d’un Bitcoin, les criminels sont quasiment sûrs d’amener leur victime à payer la rançon !
La méthode de diffusion du malware est assez classique et rappelle celle utilisée pour un autre rançongiciel célèbre, Dridex : l’infection se dissimule, la plupart du temps, dans une pièce jointe à un e-mail, prenant par exemple l’apparence d’une facture. Sauf que ce fichier (très souvent un .doc) semble codé de façon inappropriée. C’est là que réside le piège : un message conseille alors à l’utilisateur d’autoriser les macros pour revenir à un codage plus adapté. Cette action permet d’installer sur le disque dur de la victime un fichier qui, à son tour, va aller télécharger le malware à proprement parler. Ce mécanisme à double détente, assez courant, permet aux hackers de modifier et de peaufiner leur malware au fil du temps, sans avoir à bouleverser leur procédure d’installation.
« Il est intéressant de noter que le message électronique a pour sujet « ATTN: Invoice J-<8 chiffres> » et la pièce jointe pour nom « invoice_J-<8 mêmes chiffres> ». Cette caractéristique peut permettre le blocage ou la mise en place d’alertes via les serveurs mandataires », écrit le CERT-FR. Ce dernier précise toutefois que la méthode de diffusion du malware peut varier : depuis le 29 février, l’organisme observe une nouvelle vague de pourriels prenant la forme de fausses factures Free Mobile, envoyées par e-mail (voir ci-dessus). Ces dernières renferment cette fois un fichier Javascript dont l’objectif est de télécharger Locky.
Kaspersky Lab assure également avoir identifié d’autres méthodes de propagation, notamment via des pages web légitimes sur lesquelles le malware Locky est implanté. Lors d’une simple visite d’une de ces pages, Locky cherche à se diffuser sur le poste de l’utilisateur en exploitant d’éventuelles vulnérabilités logicielles présentes sur sa configuration. L’éditeur d’antivirus ajoute que, dans ses versions les plus récentes, le malware peut se présenter également « sous la forme d’une notification de fax ou de scanner ».
Attention à la propagation sur le réseau de l’entreprise
Une fois l’ordinateur infecté, un écran s’affiche, informant l’utilisateur du forfait et l’invitant à se connecter à des pages décrivant de la marche à suivre pour payer sa rançon et récupérer ses données (ci-dessous). Comme le rappelle Sophos, les effets d’un ransomware comme Locky peuvent être dévastateurs en entreprises, car le malware ne se contente pas de chiffrer le disque C: de sa victime. Il bloque aussi les fichiers des disques auxquels le poste a accès, y compris les disques amovibles, les serveurs de fichiers du réseau ou les machines de tiers (y compris sous Linux ou OS X). Dévastateur si la victime est connectée en tant qu’administrateur du domaine. Dans sa note, le CERT-FR recommande d’ailleurs, en cas d’infection, de « déconnecter immédiatement du réseau les machines identifiées comme compromises » et de « positionner les permissions des dossiers partagés en lecture seule afin d’empêcher la destruction des fichiers sur les partages ».
Locky a fait récemment la démonstration de sa dangerosité en bloquant les systèmes d’un hôpital de Los Angeles, le Hollywood Presbyterian Medical Center. Selon le New York Post, ce dernier a été contraint de verser 17 000 $ aux pirates – après négociation, les criminels réclamaient au départ plus de 3,5 M$ – pour obtenir les clefs de déchiffrement et retrouver l’accès à ses données.
Un ransomware qui rebondit grâce au Cloud
« 2016 est probablement l’année du ransomware. Au cours du seul mois de février, nous avons déjà dénombré autant de tentatives d’attaques contre nos clients que lors des cinq mois précédents cumulés », commente Marco Preuss, à la tête de l’équipe de recherche et de développement de Kaspersky Lab en Europe. L’éditeur a dénombré au cours du mois dernier plus de 40 000 tentatives d’infection par un ransomware chez ses clients.
Récemment, un autre rançongiciel écrit en PHP s’en est pris non plus aux postes de travail mais directement aux serveurs Web, preuve de la volonté des cybercriminels d’exploiter le filon partout où c’est possible. Par ailleurs, Netskope, éditeur spécialisée dans la sécurisation des applications Cloud, a récemment expliqué avoir détecté des phénomènes de diffusion de ransomware via le Cloud, au travers de la fonction de synchronisation de fichiers que ces services offrent à leurs utilisateurs.
Pour s'en prémunir, lisez ce qui suit.
Depuis quelque temps, les entreprises françaises et francophones sont victimes d’une campagne de malware qui se propage par e-mail ciblé à destination des services administratifs.
Les e-mails sont écrits dans un français correct et se présentent sous la forme de diverses interactions telles qu’une facture ou une plainte d’un client et peuvent même usurper l’identité d’un collègue interne à l’entreprise.
Une pièce jointe à ces e-mails dissimule le cryptoware CTB Locker (souvent un fichier .doc ou .zip). A l’exécution, ce dernier chiffre (crypte le contenu du fichier, donc illisible, et en change le nom) les contenus des lecteurs réseaux, disques durs internes et externes ainsi que toutes les sauvegardes se trouvant dans le périmètre accessible. Au-delà des serveurs, si des ordinateurs offrent en partage des répertoires, les fichiers qui y sont contenus seront potentiellement impactés
Le cryptoware s’appuie sur un chiffrement par clés asymétriques et un réseau d’anonymat (Tor), les victimes ont un délai très court, en général 72 heures, pour payer la rançon afin que les cybercriminels envoient la clé privée permettant le déchiffrement.
Attention à l’heure actuelle il n’existe aucun moyen de revenir en arrière si ce n’est une restauration des données voire des serveurs et ordinateurs. Il convient donc d’agir de manière préventive
Afin de se protéger plus efficacement contre les pièces jointes malveillantes, les sociétés d’antivirus conseillent aux entreprises de :
- De sensibiliser tous les collaborateurs de l’entreprise sur les dangers des pièces jointes.
- D’installer le petit logiciel fourni par l’éditeur BitDefender depuis la fin d’année 2015. Vous pouvez le trouver en téléchargement à l’adresse suivante : http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/
- De vérifier auprès des fournisseurs de messagerie qu’un pré-filtrage antivirus et antispam est fait en amont chez eux.
- Ne pas faire confiance aux emails dont les expéditeurs sont inconnus.
- Ne pas faire confiance aux pièces jointes, même s’il ne s’agit pas de fichiers exécutables. Pour dissimuler le code malveillant, les pirates les font souvent passer pour des documents PDF, Word, des images JPG et d’autres types de fichiers à priori inoffensifs,
- Rester toujours attentif au fait que les adresses d’expéditeurs peuvent être usurpées et donc que la présence d’une pièce jointe inhabituelle doit éveiller votre méfiance, Un simple clic ou ouverture d’une page Web liée peut être vecteur d’infection.
Attention ! Les codes d’espionnage installés via des pièces jointes, sont généralement capables de voler des mots de passe et établir ainsi une compromission verticale sur les équipements proches et distants.
Il est important de prendre conscience de la menace, puisque celle-ci peut vous frapper, par l’intermédiaire d'un proche mal informé. Mon entreprise a déjà connu ça, il y a un an, heureusement on a évité le pire, grâce aux backups (sauvegarde serveur), malheureusement aujourd'hui, ces nouveaux virus sont capable de corrompre aussi les backups, rendant impossible toute récupération à moins de payer la rançon.
Merci de votre attention et bon surf!
Bonjour, je réanime ce sujet pour vous parlez d'une techonlogie que tous le monde connais et qui se vend comme des petits pains 
Shadow !
Mais sa marche comment se petit boitier 
Tous le monde connais le cloud ? Ou, si vous êtes plus avancer, vous avez déjà louer des serveurs ? Bien, je me suis un peu renseigner et j'ai pu récolter des infos. Déjà, le boitier que vous avez est connecté au cloud, mais pas n'importe lequel, un datacenter remplie de machine prêt à accueillir les futur utilisateurs, tous ses serveurs sont équipés de GTX 1070, de processeur Intel Xeon (une gamme très chères!) Et de 12GO de RAM. le seul petit bémol, c'est que leurs serveurs on 256GO SSD. Après, libre à vous de branchez un disque dur de plusieurs terra sur vôtre boitier ! Bah tiens parlons en ! Vous recevez le boitier et pour le faire fonctionner, vous allez faire comme un PC basique, branchez vôtre claver, vôtre souris micro et j'en passe.
C'est quoi les avantages et les inconvénients
L'avantage ? Sa peut se transporter par tous, sans encombrer trop d'espace (tant que vous vous déplacez dans es villes qui ont la fibre optique) Ce qui est très utile pour les joueurs professionnels qui se déplacent souvent !
L’inconvénient ? C'est que malheureusement, on vous recommande d'avoir la fibre optique, pour avoir la latence d'un vrai PC chez vous. Mais j'ai appris qu'ils allaient tenter l'ADSL, ce qui va mettre énormément de temps.
C'est rentable
Pour sa, je vous recommande de voir la vidéo de As2Pik, mais en gros, oui c'est rentable ! l'abonnement coûte à peu près 30€ par mois ce qui nous reviens à 360€ pour du matériel égalant les 1000 voir 1500€ ! De plus , la facture d'électricité seraz réduite car au lieu de consommer 750/800W, vous n'en consommerez je pense, 100 ! (après j'ai pas regardé, mais je vous laisses le faire!)
