Problème
- Vous souhaitez utiliser les meilleures pratiques pour configurer votre système afin de le protéger contre les logiciels malveillants de type ransomware
- Meilleures pratiques générales d'ESET pour la lutte contre les ransomwares
- Pratiques générales de lutte contre les ransomwares
- Récupération de fichiers cryptés
Détails
Cliquez pour agrandir
Un ransomware est un logiciel malveillant capable de verrouiller un appareil ou de chiffrer son contenu afin d'extorquer de l'argent à son propriétaire en échange du rétablissement de l'accès à ces ressources. Ce type de logiciel malveillant peut également inclure une minuterie intégrée avec un délai de paiement qui doit être respecté ; dans le cas contraire, le prix du déverrouillage des données et du matériel augmentera, ou les informations et l'appareil seront finalement rendus inaccessibles de façon permanente.
Le ransomware est une infection qui crypte les fichiers personnels et les données. Généralement, un poste de travail est infecté, puis le ransomware tente de crypter tous les lecteurs partagés mappés. Cela peut donner l'impression que l'infection se propage dans votre réseau alors que ce n'est pas le cas.
Même si vos fichiers sont cryptés, votre système n'est pas nécessairement infecté. C'est le cas lorsqu'un lecteur partagé sur un serveur de fichiers est crypté, mais que le serveur lui-même ne contient pas le logiciel malveillant (à moins qu'il ne s'agisse d'un serveur Terminal).
Voici d'autres exemples de logiciels rançonneurs connus :
- Win32/Filecoder
- Filecoder.WannaCryptor
- Win32/Filecoder.TeslaCrypt.A (TeslaCrypt) ou infection par "Win32/Filecoder.Locky.A" après l'ouverture d'un courriel provenant d'une source inconnue ou de fichiers ZIP provenant d'un tel courriel
- "CryptoLocker, Cryptowall, Dirty decrypt et CTB locker
- Win32/TrojanDownload.Elenoocka.A
- Win32/Gpcode
Solution
Les versions actuelles des applications ESET utilisent plusieurs couches de technologies pour protéger les ordinateurs contre les ransomwares.
Parmi ces technologies, citons Advanced Memory Scanner, ESET LiveGrid® Reputation System et Exploit Blocker.
En outre, les dernières applications ESET fournissent un module amélioré de protection des botnets qui bloque la communication entre les ransomwares et les serveurs de commande et de contrôle (C&C).
Meilleures pratiques générales d'ESET en matière de lutte contre les ransomwares
- Activer la détection des PUA (Potentially Unwanted Applications)
Suivez les instructions de l'article lié pour détecter les applications indésirables, dangereuses et suspectes, telles que les outils RMM (surveillance et gestion à distance), les pilotes vulnérables, les scanners de réseau et d'autres logiciels qui peuvent présenter un risque pour la sécurité de votre système. Bien que ces outils puissent être fiables, signés et légitimes, même s'il s'agit d'utilitaires intégrés au système, ils sont largement exploités par les attaquants lors d'intrusions par ransomware. More information about potentially unwanted applications and potentially unwanted content.
-
Maintenir le scanner de mémoire avancé et le bloqueur d'exploits activés
Ces nouveaux algorithmes ESET renforcent la protection contre les logiciels malveillants conçus pour échapper à la détection des produits antimalware grâce à l'utilisation de l'obscurcissement et/ou du cryptage.
L'Advanced Memory Scanner recherche les comportements suspects après que les logiciels malveillants ont été décodés dans la mémoire, et l'Exploit Blocker renforce la protection contre les attaques ciblées et les vulnérabilités inédites, également connues sous le nom de vulnérabilités "zero-day" (jour zéro).
Pour une protection maximale, nous vous recommandons de mettre à jour vos applications ESET vers la dernière version :
- Utilisateurs privés : Check for the latest version of your ESET home or small office product (Windows)
- Utilisateurs professionnels : Vérifiez la dernière version de vos produits ESET pour entreprises (Windows)
-
Gardez ESET LiveGrid® activé
Le système de protection contre les logiciels malveillants ESET Cloud est basé sur ESET LiveGrid®. Il surveille les applications inconnues et potentiellement malveillantes et soumet les échantillons au sandboxing automatique et à l'analyse comportementale.
Assurez-vous que ESET LiveGrid® reputation and ESET LiveGrid® feedback system is enabled and working in your ESET product.
-
Maintenez ESET à jour
De nouvelles variantes de ransomwares existants sont publiées fréquemment, il est donc important que vous receviez régulièrement des mises à jour de la base de données virale (votre application ESET vérifiera les mises à jour toutes les heures, à condition que vous disposiez d'un abonnement valide et d'une connexion Internet en état de marche).
- Utilisateurs privés : Update your ESET Windows home or small office product
- Utilisateurs professionnels : Update ESET endpoint products on individual client workstations - check for latest product modules
-
Utilisateurs de machines virtuelles
Pour une protection optimale contre les logiciels malveillants de type ransomware, nous recommandons l'utilisation d'ESET Endpoint Security pour Windows dans les environnements virtuels.
-
Assurez-vous que le Bouclier anti-ransomware est activé
Le Bouclier anti-ransomware, qui fait partie d'une technologie d'autodéfense, est une autre couche de protection qui fonctionne dans le cadre de la fonction HIPS. Pour plus d'informations, voir Bouclier anti-ransomware dans le glossaire ESET et comment le configurer dans les applications ESET.
-
Configurez des paramètres supplémentaires pour vous protéger contre les ransomwares dans les produits commerciaux ESET manuellement ou en utilisant ESET PROTECT On-Prem/ESET PROTECT Policy
-
Notifications
Réduisez les risques liés aux logiciels malveillants basés sur le chiffrement (ransomware)
-
Conservez des sauvegardes de votre système
Prévoyez de sauvegarder régulièrement votre système et conservez au moins une sauvegarde hors ligne pour protéger votre travail le plus récent contre une attaque.
-
Autorisations des utilisateurs et restriction des droits
Il existe de nombreux types de restrictions, telles que l'interdiction d'accéder aux données des applications, et même certaines qui sont prédéfinies en tant qu'objets de stratégie de groupe (GPO).
- Désactiver l'exécution de fichiers à partir des dossiers AppData et LocalAppData.
- Bloquer l'exécution à partir du sous-répertoire Temp (qui fait partie de l'arborescence AppData par défaut).
- Bloquer les fichiers exécutables s'exécutant à partir des répertoires de travail de divers utilitaires de décompression (par exemple, WinZip ou 7-Zip).
- En outre, dans ESET Endpoint Security for Windows, ESET Mail Security for Microsoft Exchange Server et ESET Server Security for Microsoft Windows Server, vous pouvez créer des règles HIPS pour n'autoriser que certaines applications à s'exécuter sur l'ordinateur et bloquer toutes les autres par défaut : Create a HIPS rule and enforce it on a client workstation using ESET PROTECT On-Prem.
-
Ne pas désactiver le contrôle de compte d'utilisateur (UAC)
N'ouvrez pas les pièces jointes prétendant être un fax, une facture ou un reçu si elles portent un nom suspect ou si vous ne vous attendiez pas à les recevoir.
-
Utiliser l'authentification à deux facteurs (2FA)
Nous recommandons ESET Secure Authentication, qui peut être utilisé en tant que composant dans le nuage ou sur site. Pour plus d'informations, consultez l'aide en ligne d'ESET .
-
Défense contre les menaces
Nous recommandons ESET LiveGuard Advanced.
-
Désactiver les macros (VBA) dans Microsoft Office via une stratégie de groupe
Microsoft Office 2019 et versions antérieures : Planifier les paramètres de sécurité des macros VBA pour Office
Microsoft Office 365 utilise Office Cloud Policy Service (OCPS) pour appliquer des stratégies qui bloquent l'exécution de macros dans les fichiers Office provenant d'internet.
-
Maintenez votre système à jour
Pour vous assurer que vous disposez de la meilleure protection possible, maintenez votre système d'exploitation et vos applications à jour. Installez les dernières mises à jour prioritaires proposées par l'outil Windows Update et vérifiez régulièrement ou activez la fonction de mise à jour automatique. Les nouvelles mises à jour de sécurité corrigent les vulnérabilités du système et réduisent le risque d'attaques de logiciels malveillants.
-
Ports/services potentiels susceptibles d'être exploités s'ils sont laissés ouverts
Pour empêcher des adresses IP inconnues de mener à bien des attaques de type Brute-Force, nous recommandons vivement de verrouiller les ports SMB, SQL et RDP.
Service Recommandations SMB Fermer les ports de partage de fichiers 135-139 et 445. Les ports SMB ne doivent pas être exposés à l'internet. SQL Établir une liste blanche des adresses IP de confiance autorisées à se connecter à SQL. RDP Empêchez les attaques par force brute de RDP externe en fermant RDP aux connexions externes. Utiliser un VPN avec authentification à deux facteurs pour se connecter au réseau interne.Définir le verrouillage automatique des comptes après un certain nombre de tentatives infructueuses, avec une période d'attente avant le déverrouillage.Appliquer des mots de passe forts.Désactiver les comptes inutilisés ou par défaut (administrateur, admin, root).Établir une liste blanche d'utilisateurs et de groupes spécifiques pour la connexion RDP.Établir une liste blanche d'adresses IP spécifiques pour permettre la connexion RDP. -
Meilleures pratiques du protocole de bureau à distance contre les attaques
Les logiciels malveillants basés sur le chiffrement accèdent souvent aux machines cibles via le protocole RDP (Remote Desktop Protocol) intégré à Windows. Le protocole RDP permet à d'autres personnes de se connecter à distance à votre système, de sorte que l'attaquant peut l'utiliser à mauvais escient pour supprimer la protection et déployer ensuite le logiciel malveillant.
Nous vous recommandons de désactiver ou de modifier le protocole de bureau à distance. Si vous n'avez pas besoin d'utiliser le protocole RDP, vous pouvez modifier le port par défaut (3389) ou désactiver le protocole RDP pour protéger votre machine contre les ransomwares et autres exploits RDP. Pour savoir comment désactiver le protocole RDP, consultez l'article approprié de la base de connaissances Microsoft ci-dessous :
Pour plus d'informations sur RDP, consultez l'article suivant de WeLiveSecurity : Sécuriser RDP et l'accès à distance.
-
Protéger par mot de passe les paramètres de votre application ESET
Si vous êtes un utilisateur professionnel, nous vous recommandons d'utiliser un mot de passe pour protéger l'application ESET contre les modifications non autorisées par un attaquant. Cela permet d'éviter la modification non authentifiée des paramètres, la désactivation de la protection ou même la désinstallation du produit ESET. Si vous utilisez RDP, nous vous recommandons d'utiliser un mot de passe différent de celui utilisé pour les informations d'identification RDP.
Pour plus d'informations, voir how to protect your ESET application with a password.
Les fichiers cryptés peuvent-ils être récupérés ?
Les ransomwares modernes chiffrent les données à l'aide d'un chiffrement asymétrique et d'algorithmes de chiffrement multiples. En bref, les fichiers sont chiffrés à l'aide d'une clé publique et ne peuvent être déchiffrés sans la clé privée associée. Avec les ransomwares actuels, la clé privée ne se trouve jamais sur le poste de travail ou l'environnement affecté. Cela signifie que les données devront être restaurées à partir d'une bonne sauvegarde effectuée avant l'infection.
Si aucune sauvegarde n'est disponible, vous pouvez tenter de récupérer les fichiers à partir des copies d'ombre. Télécharger Shadow Explorer.
Toutefois, il n'est pas rare que les ransomwares suppriment les copies d'ombre afin d'empêcher la récupération des fichiers.
Quelles sont les mesures à prendre en cas d'infection par un ransomware ?
-
Déconnectez l'ordinateur du réseau.
-
Localisez le fichier TXT ou HTML contenant les instructions de paiement, par exemple, "Comment décrypter" les dossiers/dispositifs partagés cryptés.
-
Contactez votre partenaire ESET local pour obtenir de laide focus.
