Sélection de la langue

Government of Canada / Gouvernement du Canada

Avis aux lectrices et aux lecteurs

Cette publication ne répond pas actuellement aux normes Web du gouvernement du Canada. Les informations restent valables.

Alerte - Variante récente de rançongiciel – Locky

Numéro : AL16-005
Date : Le 1 avril 2016

Objet

Le Centre canadien de réponse aux incidents (CCRIC), en collaboration avec l'équipe d'intervention en cas d'urgence informatique des États-Unis (US-CERT) du Département de la Sécurité intérieure (DHS) des États-Unis publie cette alerte pour donner plus d'information sur une variante récente de rançongiciel RançongicielType de maliciel qui empêche tout utilisateur légitime d'accéder à des ressources (système ou données), et ce, jusqu'à ce que les responsables desdites ressources aient payé une rançon. appelée Locky. Depuis le début de 2016, on a observé le maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. Locky infecter des ordinateurs appartenant à des personnes et à des entreprises, y compris des établissements de soins de santé et des hôpitaux, et ce, à l'échelle mondiale.

Évaluation

Le CCRIC a appris l'existence d'une variante de rançongiciel destructeur appelé Locky, qui a été observé depuis le début de 2016. Cette forme de rançongiciel destructeur tente d'extorquer de l'argent des victimes en affichant une alerte à l'écran. Généralement, ces alertes annoncent que l'ordinateur de l'utilisateur a été verrouillé ou que tous les fichiers de l'utilisateur ont été chiffrés. Ensuite, l'alerte informe l'utilisateur que l'accès ne sera rétabli que s'il paye une rançon.

Le rançongiciel Locky se propage dans des pourriels qui contiennent des documents Microsoft Office malveillants ou des pièces jointes comprimées, comme des fichiers .zip et .rar. La pièce jointe malveillante contient des macros ou des fichiers JavaScript qui téléchargent les fichiers Ransomware-Locky. Locky a infecté des ordinateurs appartenant à des personnes et des entreprises, y compris des établissements de soins de santé et des hôpitaux aux États-Unis, en Nouvelle-Zélande, en Allemagne et au Canada. On a vu apparaître d'autres variantes de rançongiciels destructeurs en 2016, comme Samas, qui sert à compromettre les réseaux d'établissements de soins de santé. Voir la section Références ci‑dessous pour plus d'information.

Généralement, les rançongiciels se propagent dans des courriels de hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. contenant des pièces jointes malveillantes ou par téléchargement furtif. Un téléchargement furtif se produit lorsqu'un utilisateur visite un site Web infecté à son insu. Les maliciels sont téléchargés et installés sans que l'utilisateur ne s'en aperçoive. Les rançongiciels de chiffrement ChiffrementProcédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées. , une variante de maliciel qui chiffre les fichiers, se propagent de façon semblable, ainsi que par l'entremise d'applications de messagerie instantanée pour le Web.

Les rançongiciels ne visent pas seulement les utilisateurs à la maison. Ils peuvent aussi infecter les ordinateurs d'entreprises, ce qui peut avoir des conséquences néfastes, comme :

  • la perte temporaire ou permanente de renseignements sensibles ou exclusifs;
  • la perturbation des activités normales;
  • des pertes financières entraînées par la restauration des systèmes et des fichiers;
  • des dommages possibles à la réputation d'une organisation.

Le fait de payer la rançon ne garantit pas que les fichiers chiffrés seront rétablis – cela garantit seulement que les acteurs malveillants reçoivent l'argent de la victime et, dans certains cas, ses informations bancaires aussi. De plus, le déchiffrage des fichiers ne signifie pas que l'infection proprement dite a été supprimée.

Mesure suggérée

Le CCRIC recommande aux organisations d'examiner les renseignements d'atténuation/mesures de prévention ci-dessous et d'en envisager la mise en œuvre dans le contexte de leur environnement de réseau.

  • Utilisez un plan de sauvegarde et de récupération des données pour toute l'information critique. Faites et testez des sauvegardes périodiques pour limiter l'impact de la perte des données ou des systèmes et pour accélérer le processus de reprise. Étant donné que les lecteurs de réseau peuvent aussi être touchés, ces données devraient être conservées dans un appareil distinct et les copies de sauvegarde devraient être stockées hors-ligne.
  • Utilisez des listes blanches d'applications pour aider à prévenir l'exécution de logiciels malveillants et non approuvés. Les listes blanches d'applications sont parmi les meilleures stratégies de sécurité qui soient, car elles permettent seulement l'exécution de programmes particuliers et de bloquer tous les autres, y compris les logiciels malveillants.
  • Tenez votre système d'exploitation et vos logiciels à jour en appliquant les tout derniers correctifs. Les applications et les systèmes d'exploitation vulnérables sont la cible de la plupart des attaques. En s'assurant d'installer les tout derniers correctifs, on réduit considérablement le nombre de points d'accès exploitables qu'un attaquant peut utiliser.
  • Tenez un logiciel antivirus à jour et vérifiez tous les logiciels téléchargés d'Internet avant de les exécuter.
  • Limitez la capacité des utilisateurs (permissions) d'installer et d'exécuter des applications indésirables et appliquez le principe du « privilège minimal » à tous les systèmes et services. En limitant ces privilèges, vous pourriez empêcher des maliciels de s'exécuter ou limiter leur capacité de s'étendre dans le réseau.
  • Évitez d'activer les macros des pièces jointes aux courriels. Si un utilisateur ouvre la pièce jointe et autorise les macros, le code intégré exécute le maliciel dans l'ordinateur. Pour les entreprises et les organisations, il serait peut-être préférable de bloquer les courriels contenant des pièces jointes provenant de sources suspectes.
  • Adoptez des pratiques sécuritaires lorsque vous naviguez dans le Web.
  • Ne suivez pas les liens Web non sollicités dans des courriels.

Il est important de souligner que les infections peuvent être dévastatrices pour une personne ou une organisation, et que la récupération des données peut être un processus difficile pouvant exiger le recours à un spécialiste réputé en matière de récupération de données.

Références (en anglais)

US-CERT Alert (TA16-091A)
https://www.us-cert.gov/ncas/alerts/TA16-091A

Guide Pensez cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. CCRIC
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx

McAfee Labs Threat Advisory: Ransomware - Locky
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf

Sophos / Naked Security, “Locky” ransomware – what you need to know
https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know

Symantec Article - Cryptolocker: A Thriving Menace
http://www.symantec.com/connect/blogs/cryptolocker-thriving-menace

Samas - SamSam: The Doctor Will See You, After He Pays The Ransom
http://blog.talosintel.com/2016/03/samsam-ransomware.html

Date de modification :