Recrudescence d'attaques informatiqyes par cryptolocker

Alerte ! Nouvelle vague de malware (ZEPTO) au travers des messageries.

La diffusion en masse d’une nouvelle variante du ransomware/cryptolocker Locky a été signalée.

Plusieurs cas ont été découverts ces derniers jours.

Une entreprise rhôhalpine vient d'être victime d'une nouvelle version de ransomware dénommée ZEPTO.

Après ZEPTO, voici le ransomware SATANA, pire que Petya.

En février elle avait déjà subi l'assaut de Locky. Malgré la mise en place de différents systèmes de sécurité, celui-ci n'a pas été détecté !
 
Il a été reçu par mail contenant une pièce jointe au format ".doc" nommée avec une série de lettres et de chiffres. Ce qui aurait pu éveiller les soupçons, c'est que l'adresse mail de l'expéditeur était identique à celle du destinataire. Immédiatement après son activation, il encrypte rapidement toutes vos données.
 
Cette variante, nommé ZEPTO, arrive à passer au travers des sécurités mises en place sur les services de messageries. Les mails de phishing contiennent une pièce jointe généralement au format Microsoft Word (mais aussi PDF, ZIP, RAR ou encore JVS) qui est infectée par un malware. Ces mails utilisent le prénom du destinataire afin de paraître plus crédible. L’ouverture de la pièce jointe et l’activation de la macro entraine la compromission du poste de travail.
 
Pour rappel ce type de malware chiffre l’ensemble des données importantes de votre poste, du réseau de l’entreprise et vous demande ensuite une rançon (~700€) pour réaliser le déchiffrement.  Bien entendu, même après versement de la rançon, il n’existe aucune certitude d’obtenir la clé de déchiffrement et donc de pourvoir récupérer les fichiers.
 
Zepto est un nouveau rançongiciel créé par le groupe de hackers déjà connu pour avoir développé Locky.
 
Locky terrorise encore de nombreux utilisateurs à travers le monde, mais les efforts conjoints de plusieurs grandes sociétés IT ont réussi à trouver un moyen de le neutraliser (mais pas forcément de décrypter les données). Les pirates ayant décidé de ne pas perdre du temps en vain, ils l’ont remis au goût du jour en modifiant sa configuration. 
 
Apparu fin juin 2016, il attribue une extension ".Zepto" à l’ensemble des fichiers chiffrés. Si certains virus ont une gamme limitée d'extensions, Zepto, comme son prédécesseur Locky, encrypte presque tous les types de données pouvant être stockés sur l'ordinateur de l'utilisateur ( fichiers images, vidéo, audio et texte calc,...). 
 
Le nouveau ransomware Satana cumule chiffrement des fichiers et remplacement du secteur d’amorçage du disque.
Une nouvelle génération de ransomware est en train d’émerger. Satana, nom du nouveau malware, combine chiffrement des fichiers et écriture de code sur le secteur d’amorçage du disque, le MBR. Deux techniques inspirées de Petya et Mischa, note Malewarebytes qui constate la croissance du nouvel agent satanique ces dernières semaines.
 
Attention, ce type de malware peut impacter très significativement votre production, en bloquant les accès à vos fichiers et en cryptant vos données. Tout aussi efficaces qu’ils puissent être, les antivirus ne détectent pas toujours tous les malwares. 
 
Nous vous conseillons donc la plus grande prudence dans la gestion de vos accès, vos messageries, vos procédures, vos mises à jour, et le comportement de vos collaborateurs sur internet. 
 
"On réfléchit avant d'ouvrir un courriel et non pas l'inverse (sinon c'est trop tard !!!!)"
 
Vous devez déposer plainte en gendarmerie après toute attaque (ci-joint document de référence de l'infraction) et déclarer par LR avec AR le sinistre à votre assureur. 
 
Bonnes pratiques en matière de sécurité :
 
1. Ne jamais ouvrir un courriel contenant une pièce jointe provenant d’un expéditeur vous apparaissant douteux  (Malheureusement,      certaines infections se propageant au travers des messageries, nul n’est toutefois complètement à l’abri  même si l’expéditeur est connu).
►En cas de doute imprimer le message et vous aurez peut être la surprise de voir apparaître une seconde adresse ou quelque chose d'anormal.
►On évite également d'ouvrir un message qui semble provenir de soi-même alors qu'on ne s'est rien envoyé (technique actuellement utilisée par les hackers).
►En cas de doute avéré, un petit passage sur internet pour vérifier sur les forums, si le nom de la pièce jointe (souvent une série de chiffres et de lettres avec quelques fois le mot facture ou autre et l'extension ".doc" ou toute autre extension) n'est pas déjà connu. Et vraiment s'il faut lever le doute et que l'expéditeur est identifié, contactez-le. 
 
2. En cas de détection d’une infection, le poste de l’utilisateur concerné doit immédiatement être arrêté ou à minima déconnecté du réseau.
 
3. Veiller à la bonne réalisation des sauvegardes car c’est grâce à elles que les données pré-infection peuvent être restaurées !
Penser à vérifier la contexture de l'adressage (prénom.nom et surtout ce qui est après le "arobase". Inversion de lettres ... 
 
André VINCENT, Expert Comptable libéral de  proximité et son équipe, sont à votre disposition pour vous accompagner.
 
N'hésitez pas à nous contacter :
 
Alexandra VINCENT : 04 72 88 04 67 
Courriel :  [email protected]   
Site internet : www.andrevincent-experts.com
 
Souhaitant vous apporter le meilleur conseil et un accompagnement efficace, nous restons à votre écoute.
 
Vos bien dévoués.