Une campagne d’attaque de type cryptovirus est actuellement en cours dans plusieurs pays, particulièrement au niveau de l’Union Européenne.
Le virus concerné serait Wanna Decryptor (autres noms : Jaff, Wana, wCry,) qui semble exploiter une vulnérabilité corrigée par le correctif Microsoft MS17-010.
Cette attaque est une variante de cryptoware déjà recensé et les pare-feux vous protègent des attaques directes.
Nous vous recommandons cependant la plus grande vigilance et notamment :
Mesures préventives
- Sensibiliser l’ensemble du personnel sur la vigilance à apporter à tout mail d’origine inconnue, contenant des pièces-jointes ou des liens.
- Sensibiliser les utilisateurs à la plus grande prudence quant aux sites Internet visités.
- S’assurer de la bonne exécution de vos sauvegardes et disposer d’une rétention sur plusieurs jours.
Mesures réactives
Si le code malveillant est découvert sur un système, il est recommandé de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes. Cela permet également de conserver des preuves.
Le vecteur de l’attaque est un courrier électronique qui contient des liens HTML. Le virus est propagé à l’exécution des liens. Il scanne le réseau local de la machine à la recherche de système d’exploitation Microsoft vulnérable – MS17-010 et dépose le ransomware qui chiffre les données et va chercher à se diffuser par le réseau local.
Pour tous renseignements complémentaires sur WanaCrypt0r nous vous invitons à consulter le site de l’ANSSI : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html
Afin de vous protéger nous vous conseillons d’appliquer les consignes suivantes :
- Alerter votre service informatique
- Informer vos collaborateurs de ne pas exécuter les pièces jointes reçues sur votre messagerie durant le Weekend, surtout provenant d’expéditeurs inconnus.
- Faire appliquer le patch publié par Microsoft : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx sur votre parc informatique
- Désactiver à l’aide d’une stratégie de groupe l’exécution des fichiers avec l’extension .WNCRY
- Isoler les ports 137/138 UDP et 139/445 TCP sur votre réseau privé pour éviter la propagation entre machine
Si la moindre incertitude vous interpelle, nous restons à votre entière disposition par le biais de notre ligne ADEO ASSISTANCE
