Les Ransomwares sont des catégories de logiciels malveillant très particuliers qui cryptent les fichiers sur les postes utilisateurs puis sur les serveurs de fichiers des sociétés en détectant les partages réseaux accessibles, le plus souvent sans être détectés par les logiciels antivirus pour demander une rançon afin de décrypter les fichiers.

Les entreprises françaises reçoivent en ce moment des campagnes de Ransomware très fréquentes et se sont donc retrouvées pour certaines plus d’une fois infectées par ces logiciels de cryptage. Le plus souvent, ces logiciels malveillants sont reçus par les utilisateurs au travers d’emails de SPAM ou de Fishing qui exécutent le Ransomware en ouvrant la pièce-jointe infectée. La problématique principale de ces logiciels est qu’ils s’exécutent en local sans avoir besoin d’une élévation de privilège et peuvent ainsi crypter tous les fichiers sur le système local et sur tous les partages auxquels il a accès en utilisant les paramètres de l’utilisateur.

La récupération des données cryptées par les Ransomwares est très compliquée et parfois plus ou moins efficaces selon les politiques de backup et les systèmes mis en place pour connaitre avec précision le nombre et le nom des fichiers qui ont été cryptés afin de pouvoir les restaurer.

Les Ransomware actuellement en circulation sont nommés « Locky », « CryptoWall », « TeslaCrypt », « CoinWault » … et sont très difficilement détectables avant que les fichiers soient cryptés. C’est pourquoi il est indispensable de mettre en place une politique de sécurisation importante pour ne pas se retrouver comme plusieurs sociétés, français ou étrangères, à devoir payer la rançon demandée pour qu’éventuellement les fichiers soient décryptés.
Screenshot Ransomware

 

Quelques éléments de prévention contre les Ransomwares

Pour se prémunir et limiter au maximum la propagation des Ransomwares en cas d’infection, plusieurs éléments sont importants à mettre en place :

–          Utiliser un système anti spam à jour afin d’éviter la réception de mail de SPAM ou Fishing contenant des Ransomwares connus

–          Utiliser des logiciels antivirus utilisant des méthodes d’analyse heuristique et non uniquement basée sur les signatures virales afin de limiter le plus possible la propagation d’un Ransomware exécuté sur un poste utilisateur et qui ne serait pas forcément renseigné dans les bases antivirales

–          Activer sur les postes utilisateurs les stratégies de restrictions logiciels afin d’éviter l’exécution de process non autorisés.

–          Réaliser des sauvegardes régulières des systèmes de fichiers en conservant des copies hors site, hors du réseau pour éviter une propagation du Ransomware sur les sauvegardes

–          Surveiller les modifications d’appartenances à des groupes d’administration ou des groupes avec des privilèges élevés et des accès à beaucoup de partages sur les serveurs de fichiers pour limiter la propagation du Ransomware sur les serveurs de fichier

–          Vérifier les permissions appliquées sur ces différents partages pour limiter l’accès des utilisateurs uniquement à ce qu’ils doivent accéder pour limiter la propagation du Ransomware sur les serveurs de fichier

–          Utiliser les nouvelles fonctionnalités Windows sur les serveurs de fichiers afin de laisser les utilisateurs voir uniquement les partages auxquels ils ont accès pour circonscrire la propagation du Ransomware sur les serveurs de fichiers

–          Former les utilisateurs à détecter les mails potentiellement dangereux afin d’éviter l’infection de votre système par les Ransomwares

Netwrix Auditor, un outil de prévention proactif contre les Ransomwares

Netwrix Auditor est un outil d’audit du changement aussi simple à installer que les Ransomwares sont difficiles à arrêter. Il va permettre d’agir sur l’ensemble du système d’information et ainsi aider à limiter la propagation, identifier les fichiers infectés et devenir proactif face aux Ransomwares.

Avec ses fonctionnalités de reporting et d’audit des serveurs de fichiers, Netwrix Auditor permet en cas d’infection par un Ransomware, d’identifier avec précision tous les fichiers qui ont été cryptés par le logiciel malveillant et ainsi faciliter la restauration de ces fichiers.

Il permet aussi de sécuriser le système d’information afin de limiter la propagation d’un Ransomware sur l’ infrastructure en cas de nouvelle infection en alertant par exemple sur les modifications des appartenances à des groupes à privilèges sur les serveurs de fichiers ou en décelant les mauvaises permissions appliqués sur les partages réseaux.

Mais ce qui rend Netwrix Auditor si unique, c’est sa capacité à rendre les administrateurs proactif, à être alerté lorsqu’un Ransomware est exécuté sur un poste utilisateur ce qui permet de réagir rapidement pour mettre hors ligne le poste utilisateur infecté est ainsi limiter la propagation de l’infection sur les partages réseau. Tout cela est possible grâce aux alertes en temps réel proposées par Netwrix Auditor et sa granularité dans les actions déclenchant ces alertes.

 

Contactez-moi à l’adresse dbrenot@solutions-exchange.fr pour plus de détails sur les alertes Netwrix sur les postes utilisateurs lors de l’exécution d’un Ransomware.

 

 
A propos de l'auteur

admin

Laisser un commentaire