Que faire lorsque l’on est attaqué par un crypto-virus ?

 

La première chose à faire est d’arrêter électriquement votre installation informatique.

On n’y pense pas forcément mais les virus crypteurs ont la capacité de passer d’un hôte à un autre.

Il crypte un poste et dès que celui-ci est entièrement contaminé, il scanne le réseau à la recherche d’une prochaine cible. Il profite des partages réseau non protégés pour infecter tous les postes jusqu’au “Graal” → Votre serveur !

Une fois que votre serveur est contaminé, l’ensemble de votre entreprise est à l’arrêt et à la merci du pirate informatique attaquant.

La deuxième chose à faire est de changer, par l’intermédiaire d’un poste ou d’un terminal mobile, l’ensemble des mots de passe de vos comptes internet.

Lorsque le virus crypteur attaque un poste, il copie l’ensemble des mots de passe enregistrés dans votre navigateur pour l’envoyer directement au pirate informatique attaquant. Et ce dans le simple but de pouvoir verrouiller votre capacité à “nettoyer” votre installation informatique.

 

Par exemple, si vous possédez des adresses mail chez Microsoft Exchange, le pirate changera vos mots de passe et enverra des messages à l’ensemble de vos clients enregistrés dans ces comptes mail.

La troisième chose à faire consiste à nous contacter rapidement pour que l’on puisse intervenir au plus vite (même de nuit) afin de sécuriser les postes non-infectés et commencer à mettre en place notre procédure d’urgence, qui consiste à :

  1. Faire l’état des lieux des dégâts et tester les sauvegardes que vous possédez.
  2. Contacter l’ensemble de vos prestataires de services informatique afin d’avoir une liste d’informations précises.
  3. Mettre en place un serveur et des postes de remplacement pour que vous puissiez travailler dès le lendemain.
  4. Établir un cahier des charges rigoureux afin de réinstaller l’ensemble des postes infectés et de dimensionner les protections de sécurité qui vous permettrons de mieux vous protéger.
  5. Intervenir sur votre installation informatique et tester l’ensemble du réseau (comme un contrôle technique automobile) afin de certifier votre installation.

L’ensemble de cette procédure suit des critères précis et est utilisée depuis 2014. Elle est mise à jour de manière rigoureuse tous les deux mois.

Les virus crypteurs évoluent, nous aussi !

 

Définition :

CryptoLocker est le nom d’un logiciel malveillant de type crypto-verrouilleur, c’est-à-dire un cheval de Troie à destination finale d’effectuer ransomware, s’attaquant aux ordinateurs ayant Windows installé sur leurs machines1. Il semble avoir été découvert pour la première fois le 5 septembre 2013. CryptoLocker se propage par email et via un botnet préexistant. Quand le cheval de Troie est activé, il chiffre plusieurs fichiers présents sur la machine via un chiffrement à clef publique et privée. Une fois que tous les fichiers sur l’ordinateur cible sont infectés, il commence à se rependre sur le réseau local pour infecter toutes les machines possibles (les ordinateurs comme les serveurs). La clé permettant de déverrouiller l’ensemble est alors uniquement stockée sur les serveurs hébergeant le malware. Le cheval de Troie affiche alors un message disant que pour décrypter les informations, il faudra envoyer un paiement. Le paiement peut être soit fait en bitcoin soit avec un bon en argent liquide. La somme demandée est valable jusqu’à une certaine date puis augmente si le paiement n’a pas été fait en temps et en heure. (source Wikipédia)