Problème
- Vous voulez utiliser les meilleures pratiques pour configurer votre système afin de le protéger contre les logiciels malveillants de type ransomware
- Meilleures pratiques générales anti-ransomware des produits ESET
- Pratiques générales de lutte contre les ransomwares
- Récupération de fichiers chiffrés
Détails
Cliquez pour agrandir
Un ransomware est un logiciel malveillant capable de verrouiller un appareil ou de chiffrer son contenu afin d'extorquer de l'argent à son propriétaire en échange du rétablissement de l'accès à ces ressources. Ce type de logiciel malveillant peut également être doté d'une minuterie intégrée avec un délai de paiement qui doit être respecté ; sinon, le prix du déverrouillage des données et du matériel augmentera - ou les informations et l'appareil seront finalement rendus inaccessibles de façon permanente.
Les ransomwares sont des infections qui cryptent les fichiers personnels et les données. Généralement, un poste de travail est infecté, puis le ransomware tente de crypter tous les lecteurs partagés mappés. Cela peut donner l'impression que l'infection se propage dans votre réseau alors que ce n'est pas le cas.
Même si vos fichiers sont cryptés, votre système n'est pas nécessairement infecté. C'est le cas lorsqu'un lecteur partagé sur un serveur de fichiers est crypté, mais que le serveur lui-même ne contient pas le logiciel malveillant (à moins qu'il ne s'agisse d'un serveur Terminal).
Voici d'autres exemples de logiciels rançonneurs connus :
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) ou Win32/Filecoder.Locky.A après l'ouverture d'un courriel provenant d'une source inconnue ou de fichiers ZIP provenant d'un tel courriel
- "CryptoLocker, Cryptowall, Dirty decrypt et CTB locker
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Solution
Les versions actuelles des produits ESET utilisent plusieurs couches de technologies pour protéger les ordinateurs contre les ransomwares.
Parmi ces technologies, citons Advanced Memory Scanner, ESET LiveGrid® Reputation System et Exploit Blocker.
En outre, les derniers produits ESET offrent un module amélioré de protection des réseaux de machines zombies qui bloque la communication entre les ransomwares et les serveurs de commande et de contrôle (C&C).
Meilleures pratiques générales contre les ransomwares avec les produits ESET
-
Maintenir le scanner de mémoire avancé et le bloqueur d'exploits activés
Ces deux fonctionnalités sont activées par défaut dans les produits ESET à partir de la version 5. Ces nouveaux algorithmes ESET renforcent la protection contre les logiciels malveillants conçus pour échapper à la détection des produits anti-programmes malveillants grâce à l'utilisation de l'obscurcissement et/ou du chiffrement.
Lescanner de mémoire avancé recherche les comportements suspects après que les logiciels malveillants ont été décodés dans la mémoire, et le bloqueur d'exploits renforce la protection contre les attaques ciblées et les vulnérabilités inédites, également connues sous le nom de vulnérabilités "zero-day" (du jour zéro).
Pour une protection maximale, nous vous recommandons de mettre à jour vos produits ESET vers la dernière version :
-
home users : Which ESET product do I have and is it the latest version ? (Utilisateurs domestiques) -
utilisateurs professionnels : Ai-je la dernière version des produits ESET professionnels?
-
-
Maintenir l'activation d'ESET LiveGrid
Le système de protection contre les logiciels malveillants ESET Cloud est basé sur ESET LiveGrid. Il surveille les applications inconnues et potentiellement malveillantes et soumet les échantillons au sandboxing automatique et à l'analyse comportementale.
Assurez-vous que ESET LiveGrid® reputation and ESET LiveGrid® feedback system is enabled and working in your ESET product.
-
Maintenez ESET à jour
De nouvelles variantes de ransomwares existants sont publiées fréquemment, il est donc important que vous receviez régulièrement des mises à jour de la base de données virale (votre produit ESET vérifiera les mises à jour toutes les heures, à condition que vous disposiez d'une licence valide et d'une connexion Internet opérationnelle).
-
particuliers : Update ESET Products-check for latest product modules
-
utilisateurs professionnels : Update ESET endpoint products on individual client workstations-check for latest product modules
-
-
Utilisateurs de machines virtuelles
Pour une protection optimale contre les logiciels malveillants de type ransomware, nous recommandons l'utilisation d'ESET Endpoint Security dans les environnements virtuels.
-
Assurez-vous que le bouclier contre les ransomwares est activé
Le Bouclier anti-ransomware, qui fait partie de la technologie d'autodéfense, est une autre couche de protection qui fonctionne dans le cadre de la fonction HIPS. Pour plus d'informations, voir Bouclier contre les ransomwares dans le glossaire ESET et comment le configurer dans les produits ESET.
-
Configurez des paramètres supplémentaires pour vous protéger contre les ransomwares dans les produits commerciaux ESET manuellement ou en utilisant ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifications
Meilleures pratiques générales contre les ransomwares - Réduisez les risques liés aux logiciels malveillants basés sur le chiffrement (ransomwares)
-
Conservez des sauvegardes de votre système
Prévoyez de faire régulièrement des sauvegardes de votre système et conservez au moins une de ces sauvegardes hors ligne pour protéger votre travail le plus récent contre une attaque.
-
Autorisations des utilisateurs et restriction des droits
Il existe de nombreux types de restrictions, telles que l'interdiction d'accéder aux données des applications, et même certaines qui sont prédéfinies en tant qu'objets de stratégie de groupe (GPO).
-
Désactiver l'exécution de fichiers à partir des dossiers AppData et LocalAppData.
-
Bloquer l'exécution à partir du sous-répertoire Temp (qui fait partie de l'arborescence AppData par défaut).
-
Bloquer les fichiers exécutables s'exécutant à partir des répertoires de travail de divers utilitaires de décompression (par exemple, WinZip ou 7-Zip).
En outre, dans ESET Endpoint Security/Antivirus, ESET Mail Security et ESET File Security, vous pouvez créer des règles HIPS pour n'autoriser que certaines applications à s'exécuter sur l'ordinateur et bloquer toutes les autres par défaut : Create a HIPS rule and enforce it on a client workstation using ESET PROTECT On-Prem.
-
-
Ne pas désactiver le contrôle de compte d'utilisateur (UAC)
N'ouvrez pas les pièces jointes prétendant être un fax, une facture ou un reçu si elles portent un nom suspect ou si vous ne vous attendiez pas à les recevoir.
-
Utiliser l'authentification à deux facteurs (2FA)
Nous recommandons ESET Secure Authentication.
-
Défense contre les menaces
Nous recommandons ESET LiveGuard Advanced.
-
Désactiver les macros dans Microsoft Office via la stratégie de groupe
Office 2013/2016 (le lien suivant est pour 2013 mais ce sont les mêmes paramètres pour 2016) : Planifier les paramètres de sécurité pour les macros VBA pour Office
-
Maintenez votre système à jour
Pour vous assurer que vous disposez de la meilleure protection possible, maintenez votre système d'exploitation et vos applications à jour. Installez les dernières mises à jour hautement prioritaires proposées dans l'outil Windows Update, et vérifiez régulièrement ou activez la fonction Mises à jour automatiques. Les nouvelles mises à jour de sécurité corrigent les vulnérabilités du système et réduisent le risque d'attaque par des logiciels malveillants.
-
Ports/services potentiels susceptibles d'être exploités s'ils sont laissés ouverts
Pour empêcher une adresse IP inconnue de mener à bien des attaques par force brute, nous recommandons vivement de verrouiller les ports SMB, SQL et RDP.
-
SMB
Fermez les ports de partage de fichiers 135-139 et 445. Les ports SMB ne doivent pas être exposés à l'internet.
-
SQL
Établir une liste blanche des adresses IP de confiance autorisées à se connecter à SQL
-
RDP
-
Empêcher les attaques RDP Brute Force en fermant le RDP aux connexions externes. Utiliser un VPN avec authentification à deux facteurs pour se connecter au réseau interne.
-
Définir un verrouillage automatique des comptes après un certain nombre de tentatives infructueuses. Inclure une période d'attente pour le déverrouillage automatique après le verrouillage d'un compte.
-
Appliquer des mots de passe forts
-
Désactiver les comptes communs inutilisés et par défaut, par exemple, administrateur, admin ou root
-
Établir une liste blanche d'utilisateurs et de groupes spécifiques afin d'autoriser la connexion via RDP
-
Établir une liste blanche d'adresses IP spécifiques pour autoriser une connexion RDP
-
-
-
Meilleures pratiques du protocole de bureau à distance contre les attaques
Les logiciels malveillants basés sur le chiffrement accèdent souvent aux machines cibles à l'aide de l'outil Remote Desktop Protocol (RDP) intégré à Windows. RDP permet à d'autres personnes de se connecter à distance à votre système, de sorte que l'attaquant peut utiliser RDP à mauvais escient pour supprimer la protection et déployer ensuite le logiciel malveillant.
Nous vous recommandons de désactiver ou de modifier le protocole de bureau à distance. Si vous n'avez pas besoin d'utiliser le protocole RDP, vous pouvez modifier le port par défaut (3389) ou désactiver le protocole RDP pour protéger votre machine contre les ransomwares et autres exploits RDP. Pour savoir comment désactiver le protocole RDP, consultez l'article approprié de la base de connaissances Microsoft ci-dessous :
Pour plus d'informations sur le RDP, consultez l'article suivant de WeLiveSecurity : Piratage du bureau à distance (RDP) 101 : Je peux voir votre bureau d'ici !
-
Protéger par mot de passe les paramètres de votre produit ESET
Si vous êtes un utilisateur professionnel, nous vous recommandons d'utiliser un mot de passe pour protéger le produit ESET contre toute modification par un pirate. Cela permet d'éviter la modification des paramètres sans authentification, la désactivation de la protection ou même la désinstallation du produit ESET. Si vous utilisez RDP, nous vous recommandons d'utiliser un mot de passe différent de celui utilisé pour les informations d'identification RDP.
Pour plus d'informations, voir how to protect your ESET product with a password.
Les fichiers cryptés peuvent-ils être récupérés ?
Les ransomwares modernes chiffrent les données à l'aide de méthodes asymétriques et de plusieurs types de chiffrement. En bref, les fichiers sont chiffrés à l'aide d'une clé publique et ne peuvent être déchiffrés sans la clé privée associée. Avec les ransomwares actuels, la clé privée ne se trouve jamais sur le poste de travail ou l'environnement affecté. Cela signifie que les données devront être restaurées à partir d'une bonne sauvegarde effectuée avant l'infection.
Si aucune sauvegarde n'est disponible, vous pouvez tenter de récupérer les fichiers à partir des copies d'ombre. Vous pouvez utiliser Shadow Explorer, que vous pouvez télécharger à partir de la page web suivante : http://www.shadowexplorer.com/downloads.html
Toutefois, il n'est pas rare que les ransomwares suppriment les copies d'ombre afin d'empêcher la récupération des fichiers.
Quelles sont les mesures à prendre en cas d'infection par un ransomware ?
-
Déconnectez l'ordinateur du réseau.
-
Localisez le fichier TXT ou HTML contenant les instructions de paiement, par exemple "Comment décrypter" les dossiers/disques partagés cryptés. Ce fichier peut être utilisé par nos chercheurs en logiciels malveillants pour une analyse plus approfondie.
-
Contactez votre partenaire ESET local pour obtenir de laide focus.
