Attaque ransomware WCRY/WannaCrypt

Vous avez probablement lu ou entendu dans la presse qu’une attaque informatique a provoqué d’importantes perturbations dans nombre d’entreprises et d’administrations publiques ce week-end.

Ce virus (ransomware ou rancongiciel), crypte les données du poste infecté et se propage sur le réseau informatique pour continuer de crypter un maximum de données. Le commanditaire demande ensuite une rançon en échange du décryptage des données infectées.

Cependant la prudence est de mise, payer la rançon demandée n’est en aucun cas une garantie de voir les données décryptées !

Les faits

• Apparition d’un nouveau Ransomware vendredi 12 mai 2017 à midi : WCry 2.0 (WannaCry, WanaCrypt0r)
• Une attaque foudroyante pendant le week-end :
  • 200 000 PC déjà impactés aux dernières nouvelles
  • Au moins 150 pays touchés
  • Des chiffres qui continuent à augmenter avec les retours au bureau en ce lundi matin
• Des TPE, PME, administrations et même de grandes organisations touchées :
  • Le système de santé Britannique quasiment paralysé
  • Le système bancaire Russe
  • Renault et Nissan qui ont dû fermer temporairement certaines usines ce week-end (une dernière usine est encore fermée ce lundi)
  • Fedex
  • Telefonica
  • Les chemins de fer allemands

Ce qu’il faut en retenir

• Cette attaque a été freinée d’une façon assez inattendue (cf l’article suivant : http://www.lemonde.fr/pixels/article/2017/05/14/cyberattaque-comment-un-jeune-anglais-est-devenu-un-heros-accidentel_5127619_4408996.html)
• De nouvelles variantes sont actuellement en train d’apparaître ; et pas forcément réalisées par le même groupe de hackeurs. Personne n’est capable de prédire si ces attaques vont s’accélérer ou s’essouffler.
• Le plus important derrière tout cela : c’est un test grandeur-nature d’une nouvelle forme de malwares qui se diffuse à une vitesse foudroyante = les RansomWorms (vers). Plus d’infos dans cet article : https://www.globalsecuritymag.fr/Les-predictions-de-securite-2017,20170119,68416.html
• Les groupes de pirates vont apprendre de cette expérience et améliorer les futures attaques de l’année.

Les précautions à prendre

Le virus a d’ores et déjà pu être ralenti mais une nouvelle version plus évoluée pourrait rapidement voir le jour. Nous vous conseillons donc de prendre les précautions suivantes :

• Vérifier que les mises à jour de sécurité Windows soient bien activées sur vos postes et serveurs. Pour cette attaque en particulier vous trouverez le patch en suivant ce lien :
  • Mise à jour MS17-010 : https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Pour les système Windows hors maintenance (XP, VISTA, Windows 2003), Microsoft a réalisé un patch disponible à l’adresse suivante : https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • Via des polices de groupe vous pouvez également désactiver le protocole SMBv1. Cette action peut être un plus mais ne saurait remplacer l’installation des correctifs.

En cas d’infection

Si un poste de votre réseau est infecté, déconnectez le du réseau. Si ce n’est pas possible ou si vous avez un doute, débranchez le poste du secteur électrique.

Contactez immédiatement un expert de la sécurité informatique. Nous sommes en mesure de répondre à vos demandes sur le Grand Sud Ouest au 05 86 07 70 00 ou via le formulaire ci-dessous.

Informations complémentaires

Si vous souhaitez un complément d’informations, vous pouvez consulter les articles suivants :

• Communiqué du CERT (Computer Emergency Response Teams) au sujet de l’attaque WCRY/WannaCrypt
• Un article technique sur le sujet http://www.dsih.fr/article/2494/propagation-mondiale-du-rancongiciel-wcry-des-nouvelles-du-front.html
• 8 points clefs pour sécuriser votre informatique : //www.idline.fr/8-points-clefs-pour-securiser-votre-informatique-dentreprise/

Nos offres pour vous protéger des attaques informatiques

Via ses différentes structures IDLINE, NOVENCI et VAELIA, le Groupe NVL peut vous aider à vous protéger des attaques informatiques grâce à plusieurs offres :

• Protection Firewall/Pare-feu avec APT (module spécifique pour détecter les ransomware)
• Anti-virus poste avec analyse comportementale (module spécifique pour détecter les ransomware)
• Anti-Spam pour vos emails avec là aussi une option APT.
• Sauvegarde en ligne de vos données avec gestion de plusieurs versions pour être certain que vos données soient sauvegardées, en dehors du réseau.
• Formations sur site ou en ligne de sensibilisation des utilisateurs à la sécurité informatique
• Gestion d’une politique de mises à jour des postes et serveurs