Ransomware : 5 étapes pour vous aider à réduire la menace de la perte de données

Je travaille chez Quest Software (ex-Dell Software) en tant que responsable avant-vente, en charge du portefeuille de solutions de Protection des Données. Tous les jours je parle à mes clients existants et à mes clients futurs de leurs serveurs et de la sauvegarde et restauration de leurs données. Au cours de ces conversations, je leur demande souvent s’ils ont perdu des données ou s’ils ont subi des pannes serveur. Au cours de la dernière année, j’ai entendu beaucoup d'histoires de pertes de données liées au virus cryptolocker ou Ransomware.

Dans ce blog, je vais vous expliquer ce qu'est un cryptolocker ou un virus Ransomware, comment il attaque, et je vais vous donner cinq étapes qui peuvent vous aider à réduire la perte de données et le coût de ce genre d'attaque.Une attaque cryptolocker ou Ransomware est un programme informatique qui recherche des documents et des feuilles de calcul (en fait tous les fichiers) auxquels vous pouvez avoir accès et qui les chiffre (crypte) de sorte que vous ne pouvez plus les ouvrir. La seule façon de les ouvrir est de payer une raçon et de recevoir une clé qui supprime le verrouillage, ou de supprimer ces fichiers et les restaurer à partir d'une sauvegarde effectuée préalablement.

Voici un exemple de la façon dont cela fonctionne;Julie travaille dans un service financier au siège d’une entreprise à Paris, elle a un PC Windows standard, et quand elle se connecte le matin, Windows connecte automatiquement certains disques partagés dans le cadre de son script de connexion. Dans ce cas précis, Julie a un disque personnel  (h :) où elle stocke ses propres fichiers, un disque partagé (g :) qui est partagé avec tout le monde dans son entreprise, et un disque « finance » (f :) qu'elle partage avec les personnes de son service.

Il y a quelques jours Julie a passé une commande sur Internet et elle attend maintenant la livraison du colis à tout moment. Elle reçoit un email de La Poste indiquant qu’un colis a été expédié, il inclut un lien pour savoir quand le colis sera livré. Julie clique sur ce lien, elle télécharge et exécute la pièce jointe, pensant ouvrir un document PDF standard.À l'insu de Julie, l'e-mail n'a pas été envoyé par La Poste, c’est un faux courriel, en cliquant sur le lien elle a lancé un programme de cryptolocker, il est maintenant en cours d'exécution sur son PC, il détecte son accès à ses lecteurs mappés (h: g: f: ) et très rapidement enclenche le verrouillage de tous les fichiers auxquels Julie avait accès. Le cryptolocker bloque l'accès à tous, aucun fichier ne peut plus être ouvert par personne.La seule façon de déverrouiller les fichiers est de payer une rançon et recevoir un mot de passe ou de les supprimer tous et de les restaurer à partir d'une sauvegarde.

Le scénario ci-dessus, l’exemple de Julie, est très courant. J'ai aussi entendu parler d'un cas où la société a licencié l'employé qui avait cliqué sur le lien, ce que je trouve bien sévère car il est facile de se faire prendre au piège.Ne laissez pas vos fichiers être touchés aussi facilement, voici les cinq étapes (y compris des recommandations de solutions) qui peuvent aider à minimiser cette menace et limiter l'impact de ce virus

 

Étape 1 - Bloquez les e-mails avant qu'ils n’arrivent à votre boîte de réception - Installez une solution de sécurité de messagerie;Ces dispositifs et des solutions similaires provenant d'autres fournisseurs analysent tous les e-mails entrant  dans votre organisation. Ces dispositifs de sécurité sont automatiquement mis à jour avec de nouvelles «signatures» lorsque de nouveaux virus et méthodes sont découverts, si un courriel contient un virus, il est automatiquement supprimé ou déplacé vers un dossier de courrier indésirable.

Étape 2 - Restreignez les privilèges administratifs ou généraux.

Si l'employé qui clique accidentellement sur le lien cryptolocker n'a pas accès à certains fichiers alors ils ne pourront pas être verrouillés. Assurez-vous que vos utilisateurs ont uniquement accès aux fichiers dont ils ont besoin pour faire leur travail. Des produits tels que Enterprise Reporter auditeront vos systèmes de fichiers et vous fourniront des informations précieuses sur qui a accès à quoi.

Étape 3 - Evaluez en permanence les autorisations

Il y a toujours du changement dans une organisation, certains s’en vont, de nouvelles personnes sont recrutées, d’autres changent de rôle. Peut-être que quelqu'un a reçu temporairement plus d'accès et ces droits n'ont jamais été enlevés. Les autorisations d'accès en dehors des horaires classiques de bureau changent et elles doivent être surveillées aussi. Utilisez une solution comme Change Auditor pour surveiller tous ces changements et vérifier que vos utilisateurs ont uniquement accès aux fichiers dont ils ont réellement besoin.

Étape 4 - Détectez les comportements suspects et surveillez et gérez les points de terminaison

Si tous vos efforts sont vains et ransomware pénètre malgré tout dans votre environnement, assurez-vous que sa propagation ne passe pas inaperçue, définissez des alertes et surveillez l'activité de vos fichiers. Si un grand nombre de fichiers sont modifiés rapidement, c'est un avertissement précoce, signe que vous pouvez avoir un problème.


Étape 5 – Sauvegardez, sauvegardez, sauvegardez !

La dernière étape - mais l'étape la plus importante. Assurez-vous que vous avez une bonne sauvegarde et surtout, que vous pouvez restaurer vos fichiers. Testez ce processus régulièrement, sauvegarder ne sert à rien si la restauration ne fonctionne pas. Si vous êtes touché par un programme ransomware et vous finissez par payer la rançon pour recevoir la clé, vous ne saurez pas si vous êtes vraiment débarrassé ou si le cryptage recommencera sans prévenir dans quelque temps. La plupart des clients que j'ai rencontrés qui ont été touchés se sont appuyés sur leur sauvegarde pour la récupération de leurs données. Rapid Recovery est une solution de sauvegarde et de restauration d'entreprise. Il est conçu pour sauvegarder via des snaps incrémentaux pendant la journée, ce qui signifie que si vous avez besoin de restaurer, vous ne perdez pas les modifications que vous avez apportées au cours de la journée de travail. Il vous fait bénéficier aussi de nouvelles technologies qui permettent la restauration ultra rapide des données, applications et systèmes à partir de tous les environnements : physiques, virtuels et Cloud.

 

Voilà nos cinq étapes - tous ces points représentent une bonne pratique de toute façon dans des environnements informatiques standard. J'espère vous avoir intéressé et aidé, si vous avez besoin de plus amples informations ne pas hésiter à me contacter : clement.plombin@quest.com

Anonymous