Alerte campagne de rançongiciel – mise à jour 14/05/2017



Alerte campagne de rançongiciel – mise à jour 14/05/2017
Suite au danger que représente l'apparition d'un nouveau rançongiciel, l'Agence Nationale de la Sécurité des Systèmes d'Information (l'ANSSI) publie le communiqué suivant :


Mode opératoire

Le programme malveillant, qui pourrait être diffusé par courriel, exploite des vulnérabilités pour se propager. Ces dernières sont celles décrites dans le bulletin de sécurité MS17-010.

Le programme malveillant serait constitué :
  • d’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichiers ;
  • d’un rançongiciel.

Qu’est-ce qu’un rançongiciel ?

Un rançongiciel est un programme malveillant qui provoque le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique). Il existe des moyens de prévenir et de remédier à ce rançongiciel.

Recommandations de sécurité

Le CERT-FR recommande :

  • l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur).
  • de limiter l’exposition du service de partage de fichiers sur Internet.

Un correctif de l'éditeur est aussi disponible pour les systèmes obsolètes suivants :

  • Windows XP SP2 pour processeurs x64 ;
  • Windows Server 2003 ;
  • Windows XP SP3 pour XPe ;
  • Windows XP SP3 ;
  • Windows Vista ;
  • Windows Server 2008 ;

De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.

En cas d’incident – Mesures réactives

Si le code malveillant est découvert sur vos systèmes :

  • déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • alertez le responsable sécurité ou le service informatique au plus tôt.
  • sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
  • ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

Le pôle communique : Mises à jour Disponibles (dans le cas où les Windows Update ne seraient pas fait régulièrement sur les systèmes encore maintenus):
- Windows XP SP2/SP3 + Windows Server 2003 + Windows Vista + Windows 8 + Windows Server 2008
- Windows 7 et Windows Server 2008R2
- Windows Server 2012
- Windows 8.1 et Windows Server 2012R2
- Windows 10
- Windows Server 2016

Dans l'académie


Pour toute question ou demande d'assistance,
contactez : le Centre d’Appel Unique ( 04-95-50-33-19 / 04-95-50-34-23 / cau@ac-corse.fr).




Lundi 15 Mai 2017
     

Rectorat de l'académie de Corse
Boulevard Pascal Rossini
BP 808
20192 Ajaccio CEDEX 4

Tél : +33 (0)4 95 50 33 33
Fax : +33 (0)4 95 51 27 06
Nous contacter

Accueil du public : lundi/vendredi
8h30/12h00 et 14h00/16h00
Accueil téléphonique : lundi/vendredi
8h00/12h00 et 13h00/17h30
Enquête : «qualité de l'accueil»