Logo Label

Information LABEL

ALERTES MALWARES !!!

Chers Partenaires,

Depuis quelques mois, sévissent dans notre zone des malwares informatiques de type « ransomwares à chiffrement » (ou crypto-ransomware), tel particulièrement « TESLACRYPT ».
Ce malware est transmis via un message provenant d’un expéditeur généralement connu de vous : un de vos fournisseurs par exemple, dont l’adresse a été usurpée.

Une fois que vous ouvrez la pièce jointe ou que vous cliquez sur le lien proposé, un programme s’exécute qui crypte tous vos documents accessibles depuis votre ordinateur (lecteurs locaux, internes, externes et lecteurs réseaux). Le malware procède préalablement à la suppression des copies de sécurité (shadows copy).

La liste des extensions de fichiers traitées varie selon le malware, mais s’enrichit au fur et à mesure des versions : .xls* | .doc* | .ppt* | .pdf | .txt | .png | .jpg | .jpeg | .mp3 | .mp4 | .avi | .bmp |.wma | .rar | .odb | .m3u | etc. 

Une fois les fichiers cryptés, une rançon d’un montant variable est demandée, d’un millier à plusieurs milliers de dollars. Le paiement est souvent demandé en bitcoin, monnaie virtuelle, qui s’achète et se transfert via des réseaux douteux. Le cours actuel du BITCOIN tourne autour de 430 à 450 $US.

Il devient alors impossible d’accéder ou de décrypter vos documents sans la connaisance de la clé publique détenue par le rançonneur. Cette clé de décryptage diffère à chaque attaque et reste propre à l’ordinateur visé.

Il est fortement recommandé de ne pas céder au chantage. Il est préférable de recourrir à la restauration de sauvegarde.

Si toutefois, vous ne possédez pas de sauvegarde, la démarche de paiement de la rançon est longue et sans garantie. Il faut d’abord procéder à l’achat des bitcoins, – trouver un vendeur disponible, faire le virement via Western Union ou une CB prépayée, par ex., les récupérer dans un compte –, il faut payer la rançon, par transfert des bitcoins achetés, avant d’obtenir la clé de décryptage.

Cependant, cette opération ne garantit pas d’avoir la bonne clé de décryptage. Par ailleurs ces sites, très surveillés par diverses polices spécialisées en cybercriminalité, peuvent faire l’objet de blocage instantané.

Exemple :
Nous avons connu, ces 2 derniers mois, 4 clients infectés par un ransomware. Seul un client, crypté au niveau de son serveur, sans sauvegarde récente, s’est aventuré à payer les 2.5 bitcoins de rançon, soit 1159 dollars US, environ 680 000 FCFA. Nous l’avons accompagné dans sa démarche, mais sans garantie de résultat. Pour lui, l’’opération a été un succès.

Précautions à prendre :

  • Optez pour une suite de sécurité professionnelle intégrant un système de prévention des intrusions ;
  • Effectuez les mises à jour de sécurité du système et maintenez à jour votre antivirus ;
  • Ne cliquez pas sur un lien hypertexte dont vous n’avez pas vérifié l’adresse sous-tendue ;
  • Si une adresse est explicitement donnée, vérifiez la correspondance avec l’adresse sous-tendue ;
  • N’ouvrez pas une pièce jointe si vous n’avez pas formellement identifié l’expéditeur et vu l’extension ;
  • Choissisez l’option de faire apparaître toutes vos extensions fichiers ;
    cf. Panneau de configuration\Tous les Panneaux de configuration\Options des dossiers>Affichage>Masquer les extensions de fichiers dont le type est connu
  • En cas de doute sur un message reçu, demandez préalablement le support de votre service informatique ou de votre service d’assistance ;
  • Avec un outil professionnel, programmez des sauvegardes automatiques :
  • de vos serveurs physiques et de vos serveurs virtuels;
  • des bases de données de vos applications de gestion ;
  • des postes de travail de vos collaborateurs clés ;
  • des portables de vos agents en mobilité.

Pour de plus amples informations, vous pouvez lire :