fbpx

Skip links

Une trousse de survie en cas d’attaque par un rançongiciel

En cas d’attaque par un ransomware, il est important de réagir vite et d’agir lentement. Un de mes clients (50-100 salariés, 20-30 postes informatiques) vient de subir une attaque. Cet article est un retour d’expérience.

Qu’est-ce qu’un rançongiciel

Locky, Zepto, Odin pourraient être des dieux Vikings. Mais il s’agit surtout d’une génération de logiciels malins qui s’introduisent par votre messagerie électronique et qui cryptent les fichiers du poste infecté, ainsi que tous les fichiers qu’ils trouvent sur des répertoires partagés.

Puis il vous fait part de sa joie en vous indiquant, dans un fichier, qu’il vous faut payer quelques bitcoins (c’est une monnaie virtuelle, 1  vaut à ce jour environ 556 €) pour obtenir la clé de décryptage des fichiers.

D’après les retours, les hackers n’envoient pas toujours la clé après paiement. Nous allons donc procéder sans payer.

Détecter une attaque

Une première chose utile à savoir est que le rançongiciel ne crypte pas tous les fichiers, mais seulement les extensions les plus couramment utilisées : fichiers bureautiques, XML, … Ainsi, si par exemple vous utilisez l’environnement 4D, vous aurez peut-être la chance que les fichiers de structure (.4DB) ou de données (.4DD) ne soient pas cryptés ! De même, les bases SQL restent exploitables, ce qui limite en général la portée de la casse.

L’idée pour détecter une attaque est d’utiliser un fichier dont on est à peu près certains que le malware va le crypter : créez un fichier Excel et le nommer « NE_PAS_SUPPRIMER.xls » (ou Word, ou tout autre format bureautique courant en adaptant l’extension du fichier). Stocker ce fichier dans un répertoire partagé d’un serveur ou d’un poste client –ou plusieurs.

Puis mettez en place un script de chien de garde (VBS par exemple sous Windows) qui teste simplement l’existence de ce fichier. Si le fichier n’existe pas, le seul rôle du chien de garde est de vous en alerter immédiatement (par mail, alerte, ou tout moyen à la disposition du programmeur).

Si le chien de garde aboie, vous devez aller vérifier le contenu de ce répertoire et des autres répertoires partagés.

Si tous les fichiers ont été renommés en des-chiffres-et-des-lettres.odin (ou .loki, …), vous êtes attaqués.

Quel que soit le mécanisme que vous mettez en place, vous devez détecter au plus tôt la transformation systématique des noms de fichiers. Votre échelle de temps est la seconde, pas la demi-journée.

Réaction

« Ceci n’est pas un exercice. Merci à chacun d’éteindre immédiatement son poste de travail ou tout ordinateur sur le réseau. ».

Je ne sais pas dans quelle mesure c’est indispensable, mais il est en tout cas prudent d’éteindre également tous les serveurs en urgence.

À partir de là, si vous faites appel à un prestataire informatique pour votre infrastructure, vous l’appelez immédiatement et vous lui faites part en détail de la situation. Il devrait prendre la main et organiser le rétablissement de votre système d’informations. Vous passez la main, et vous mettez votre personnel à sa disposition pour réaliser les opérations si nécessaire.

Dans tous les cas, votre réaction nécessitera :

Le nettoyage des postes clients

Débranchez tous les postes clients du réseau. Tous.

Pour Odin, le logiciel MalwareBytes, dans sa version gratuite immédiatement téléchargeable, a fait le boulot : détecter et éradiquer le malware sur le poste concerné. Vous le téléchargez, vous le mettez sur une clé ; vous devez trouver et suivre les informations pour le faire fonctionner « hors-ligne », c’est-à-dire sans réseau. Voici un extrait de la page http://assiste.forum.free.fr/viewtopic.php?f=29&t=27915 :

  • Manually Updating Malwarebytes' Anti-Malware (MBAM)
  • Télécharger le fichier mbam-rules-aaaa.mm.jj.zip (Taille: 20,3 Mo le 27/02/2016).
  • Extraire de l'archive zip les deux fichiers mbam-rules.exe et mbam2-rules.exe.
  • Pour MBAM Version 1.x, transférer le fichier mbam-rules.exe sur le PC sans connexion internet.
  • Pour MBAM Version 2.x, transférer le fichier mbam2-rules.exe sur le PC sans connexion internet.
  • Lancer l'exécution de l'installation via un double clic sur le fichier ainsi transféré (pour Vista/7, faire un clic droit et choisir "Exécuter en tant qu'administrateur").
  • Note: le fichier mbam2-rules.exe n'est mis à jour qu'une fois par semaine le vendredi.

Vous passez ensuite de poste en poste avec votre clé, installez l’anti-malware et l’exécutez. Un certain nombre d’autres malwares peuvent être détectés, mais la fenêtre qui indique notre rançongiciel sur le poste coupable ne laisse place à aucune ambiguïté.

VOUS NE RECONNECTEZ AU RESEAU QUE LES POSTES QUE VOUS AVEZ TRAITÉS.

Lorsque tous les postes ont été traités, vous pouvez entamer la procédure de redémarrage des serveurs.

La restauration d’une sauvegarde

Ah, vous ne vouliez pas m’écouter lorsque je vous parle de sauvegarde ? L’étape qui vient est indispensable au rétablissement de votre SI, et elle va démontrer –ou non– la qualité de votre sauvegarde.

Flashback

Vous-même, ami lecteur-ou-trice, n’avez peut-être pas encore été frappé par la colère de ces enf…és de dieux. C’est pourquoi, avant que de funestes événements aient l’idée de perturber vos cieux, je vous suggère fortement d’aller acheter un disque de 1 To en grande surface (budget 100 €). Vous effectuerez alors sur ce disque une restauration de (ce que vous croyez être) votre dernière sauvegarde.

Une fois la restauration terminée, vous pouvez vérifier le contenu de votre sauvegarde et, si nécessaire, adapter la configuration de sauvegarde pour y ajouter les dossiers manquants et en retirer les dossiers obsolètes.

Un conseil : purgez ensuite le contenu du disque de restauration, pour éviter que des données potentiellement sensibles traînent au fond d’un tiroir.

Ce faisant, vous venez de valider votre process de sauvegarde. Je vous en félicite, et vous invite à renouveler l’exercice une fois tous les ans approximativement.

Restauration

Vous l’aurez compris : point de salut si vous n’avez pas de sauvegarde exploitable, votre seule solution est de payer en bitcoins, et de prier d’autres dieux d’être mieux configurés à votre égard.

Par contre, si vous avez une sauvegarde et pas encore acheté le disque de 1 To, c’est le moment : vous y restaurerez tous les fichiers qui sont devenus inexploitables. Enfin, répertoire par répertoire, vous supprimerez les fichier cryptés pour les remplacer par ceux restaurés.

Prophylaxie

« En médecine, une prophylaxie désigne le processus actif ou passif ayant pour but de prévenir l’apparition, la propagation ou l’aggravation d’une maladie. » (Wikipedia)

Vous souvenez-vous de la deuxième phrase de cet article ? Vous, là-bas au fond, sortez, vous n’écoutez rien ! J’y évoque des logiciels malins qui s’introduisent par votre messagerie électronique. Bin oui, le malware s’est installé parce qu’un utilisateur a cliqué sur une pièce jointe malveillante… C’est si banal qu’on en pleurerait.

La prophylaxie du rançongiciel, comme celle du phishing (usurpation d’identité) passe donc par la sensibilisation et l’éducation de tous les personnels amenés à recevoir des messages électroniques. Donc d’approximativement tout utilisateur d’un poste de travail.

L’effort doit être porté sur la vigilance, l’attention qui doivent être accordés au moindre mail : la demande ou l’information est-elle légitime ? Correspond-il aux procédures usuelles ? La signature est-elle habituelle ? Autant de questions qui devraient se poser pour chaque message et, à un facteur 1000, avant l’ouverture de la moindre pièce jointe.

En cas de doute, il convient de demander confirmation à l’interlocuteur du fait qu’il est à l’origine du message.

Oui, c’est relou. Il y a plus simple mais moins efficace, c’est de jeter tous les mails. Mais bon…

Conclusion

Tout à fait volontairement, cet article relève de la « recette de grand-père » que tout chef d’entreprise pourra comprendre et, en grande partie, mettre en œuvre seul ou avec un accompagnement minimal.

Mais les bonnes pratiques voudraient que votre entreprise ait mis en place un Plan de Reprise d’Activité (dit « PRA »), voire un Plan de continuité d’Activité (dit « PCA ») : les mécanismes et réflexes que j’ai évoqués ici auront alors été formalisés dans la section consacrée au SI de ces plans.

Partager cet article :
Return to top of page