Nous vous alertons sur une vague importante d’attaque virale de type rançongiciels (Ransomware), son nom : CTBLocker.
Recommandations :
- Ne pas ouvrir de pièces jointes de type SCR, CAB, ZIP, EXE, TAR.gz.
- Etre particulièrement prudent sur toutes les pièces jointes en général et en cas de doute, ne jamais les ouvrir. Contacter votre support informatique.
- Pour les responsables de la sécurité, consulter le lien suivant afin de bloquer la liste d’url sur vos pare-feu : http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-003/CERTFR-2015-ALE-003.html
Méthode d’attaque :
- la Propagation constatée repose sur une campagne d’hameçonnage*.
- Les messages malveillants reçus prétendent être accompagnés d’un fax en pièce jointe, qui en réalité est un programme malveillant.
Risques :
- Un rançongiciel est un code malveillant qui chiffre les données du poste compromis.
- Il va également cibler les partages de fichiers accessibles en écriture à l’utilisateur dont la session est compromise.
- Les données sont ainsi rendues inexploitables.
- À travers une boîte de dialogue, la victime est ensuite invitée à verser de l’argent afin de récupérer la clé qui permettra de déchiffrer les documents ciblés. Il n’existe pas de moyen fiable pour récupérer la clé utilisée par le code malveillant.
- Attention, le recouvrement des données après paiement n’est en aucun cas garanti.
Sources :
Source de l’alerte : http://cert.ssi.gouv.fr/site/CERTFR-2015-ALE-003
Article en français :
- http://blog.kaspersky.fr/version-amelioree-ransomware-ctb-locker/4244/
- http://www.bitdefender.fr/blog-enterprise/Le-ransomware-CTBLocker-sattaque-aux-entreprises-francaises-1548.html
*hameçonnage : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance banque, administration, etc… afin de lui soutirer des renseignements personnels (source wikipedia.org)