Alerte - Campagne de rançongiciel

Le CERT-FR a identifié qu’une campagne touchait actuellement la France (particuliers, PME, mairies). Dénommée CTB-Locker, elle se répand par courriels. Les messages sont accompagnés d’une pièce jointe, parfois présentée comme un fax, qui en réalité contient le rançongiciel.

Publié le 06 Février 2015 Mis à jour le 06 Février 2015

Un rançongiciel est un programme malveillant reçu par courriel ou mis à disposition sur un site Internet, qui provoque le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique). Il existe des moyens de prévenir et de remédier à ce rançongiciel.

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes – ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur ; vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute n’ouvrez pas les pièces jointes.
  • Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER)
  • N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ». Créez un compte « Utilisateur »
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d’incident

  • Déconnectez immédiatement votre poste de l’Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur : il faut reformater le poste et réinstaller un système sain ; puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu’elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

Les utilisateurs plus aguerris pourront aussi :

  • identifier le message malveillant et rechercher d’éventuelles copies envoyées à d’autres destinataires afin de les supprimer ;
  • bloquer sur le serveur mandataire l’accès aux domaines ou URLs identifiés dans le message malveillant.

Pour plus d’informations, vous pouvez consulter l’alerte et le bulletin CERT-FR :