Une recrudescence d’attaques de virus cryptant les fichiers de données et exigeant une rançon pour les débloquer est actuellement encore constatée auprès de l’ensemble des entreprises françaises. Une nouvelle version de ce type de virus dénommé Locky est particulièrement active depuis quelques jours.
Une menace extrêmement dangereuse occasionnant la perte de vos données
Un logiciel rançon est un programme malveillant qui crypte les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés.
Les conséquences peuvent être très lourdes, car il n’y a pas d’autre solution que de restaurer les données et le système à une date antérieure (avant attaque virale), sous réserve que les sauvegardes aient bien été réalisées (également au niveau des postes de travail). Assurez-vous que vos systèmes de sauvegarde fonctionnent correctement.
La diffusion de Locky s’effectue par l’intermédiaire d’un mail dans lequel se trouve une pièce jointe au format .doc, .docx, .xls, .xlsx mais également dans d’autres formats tels que .zip ou .exe.
Le document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraîne le chiffrement des données et les fichiers sont renommés avec l’extension « .locky ». SOYEZ VIGILANT, la menace provient de mails avec une adresse de type admin@votre-entreprise.com ou bien une adresse tiers valide.
Il s’agit donc une menace extrêmement dangereuse et de l’un des dispositifs de chiffrement les plus avancés qu’il existe.
Recommandations
Afin de se prémunir de ces risques, les premières protections sont avant tout à considérer au niveau de l’utilisateur final, AMG INFORMATIQUE recommande donc d’effectuer sans tarder les actions de prévention suivantes :
– SENSIBILISER IMMEDIATEMENT LES UTILISATEURS : la plupart de ces messages sont non sollicités, d’un émetteur connu ou inconnu. Il est donc vivement conseillé :
> De ne pas télécharger des programmes inconnus,
> De ne pas ouvrir des pièces jointes non attendues et/ou d’origine douteuse,
> De ne pas cliquer sur des liens douteux.
– EN CAS DE DOUTE SUR UN MAIL, NE L’OUVREZ SURTOUT PAS, NE LE TRANSFEREZ PAS NON PLUS et contactez par téléphone l’expéditeur pour vérification et confirmation orale d’un envoi de sa part.
– EFFECTUER LA SAUVEGARDE IMMEDIATE ET REGULIERE DES FICHIERS UTILISATEURS sur des supports hors ligne (clé USB, disque dur externe, DVD).
– EFFECTUER LA MISE A JOUR DES ANTI-VIRUS sans plus attendre.
– PROCEDER A L’APPLICATION DES CORRECTIFS DE SECURITE (système d’exploitation, navigateurs Internet et applications utilisées).
En cas d’infection :
– NE PAYEZ EN AUCUN CAS UNE RANCON : le versement de la rançon ne garantit ni le déchiffrement des fichiers ni la sécurité des moyens de paiement utilisés. Il peut notamment entraîner l’installation de virus supplémentaires sur le poste utilisé.
– DECONNECTER IMMEDIATEMENT DU RESEAU le ou les PC infecté(s).
– CONTACTEZ-NOUS SANS TARDER au 03 80 74 24 44.
