Se protéger des ransomwares
Nos collègues ingénieurs informaticiens de la DASI (Direction Académique des Systèmes d’Information) nous ont signalé une recrudescence d’attaques par un type de virus particulièrement pernicieux.
Leurs effets étant irrémédiables, il est impératif de prendre quelque précautions (la plupart étant des mesures de simple bon sens) pour s’en prémunir.
Les virus en question sont apparentés aux ransomwares (Rançongiciels en français) comme Cryptowall et CTB-Locker (Vous trouverez de plus amples informations sur le sujet ici).
Ils sont majoritairement diffusés par des courriels accompagnés d’une pièce jointe contenant le code malicieux. Lorsque la pièce jointe est ouverte par l’utilisateur, ce code lance le cryptage de l’ensemble des données contenues sur le disque dur. Il devient donc impossible d’accéder à ses documents sans disposer de la clé de déchiffrement.
Bien entendu, le seul moyen d’obtenir cette clé est de payer la somme réclamée par les auteurs du virus. Une fois que le poste est infecté et que les fichiers ont été cryptés, il n’existe aucun moyen (à ce jour) de les récupérer.
La dangerosité de ce type de virus réside dans le fait que tous les dommages qu’ils provoquent sont considérés comme “légitimes” du point de vue technique, le cryptage étant commandé et confirmé par l’utilisateur. Les logiciels antivirus n’y voyant qu’une banale demande de cryptage de données ne peuvent rien faire pour bloquer ou interrompre le processus.
Pour prévenir ou limiter ce genre de désagrément, il est donc impératif de prendre tout ou partie des mesures suivantes :
- Procéder à  la sauvegarde régulière de vos données sur un support externe. Ainsi la perte de données sera forcément moins pénalisante. Attention, toutefois à ne pas brancher de disque dur ou clé USB à un ordinateur infecté, le cryptage se propagerait alors aux fichiers contenus sur ce support.
- Ne pas ouvrir, enregistrer ou exécuter toutes les pièces jointes à un courrier d’origine inconnue. Par mesure de précaution, ne pas ouvrir les fichiers joints dont les extensions sont susceptibles de contenir un code malicieux (.zip, .rar, .exe, .cab, .src…). Dans le doute, si un fichier vous parait suspect, ne pas l’ouvrir avant d’avoir clairement identifié sa nature en contactant son expéditeur. Supprimer définitivement l’ensemble des pièces jointes suspectes pour éviter tout problème ultérieur.
- Installer le patch suivant mis au point par les collègues de la DASI. Son principe est d’empêcher Windows d’exécuter les scripts dont l’extension est “.scr” (principaux vecteurs de ces virus).
Faites un clic droit sur le lien suivant et choisissez “Enregistrez le lien sous”.
http://intraia34.ac-montpellier.fr/patch_scr.reg
Une fois le fichier rapatrié sur votre ordinateur, double-cliquez dessus et acceptez les messages d’avertissement qui vous sont soumis.
Merci à Cédric DEVILLE (DASI) et Bruno DAVID (CPC Béziers SUD) qui ont fourni la majorité du contenu de cet article.