Alerte rançongiciel Wannacry

Afin de limiter la propagation du rançongiciel, le CERT-FR insiste sur la nécessité d’appliquer immédiatement les mesures décrites dans l’alerte publiée sur son site Internet le vendredi 12 mai 2017 : http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html.

A savoir :

– l’application des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010) ;
– l’isolation ou l’extinction, lorsque possible, de tout serveur ne pouvant être mis à jour.

Microsoft a publié un correctif qu’il convient d’appliquer pour les versions obsolètes de Windows, telles que XP et 2003 : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
A noter qu’il est possible de connaître l’état de mise à jour d’une machine Windows grâce aux commandes suivantes:
– systeminfo
– wmic qfe get hotfixid

Certaines mesures additionnelles sont recommandées :
– désactiver SMBv1. La procédure est décrite à cette adresse: https://aka.ms/disablesmb1.
– mettre à jour les signatures des solutions anti-virales utilisées sur les postes et serveurs, mais aussi sur les passerelles anti-spam.
– désactiver par défaut les macros dans les logiciels Microsoft Office.
– ne pas bloquer les noms de domaine de serveurs relatifs au rançongiciel sans consigne préalable du CERT-FR.

Le CERT-FR recommande également l’application des recommandations rappelées dans son bulletin d’actualité CERTFR-2015-ACT-004 : http://cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/

Les fichiers importants doivent être sauvegardés sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées par des sauvegardes plus récentes.

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines compromises pour bloquer la poursuite du chiffrement et la destruction des documents partagés. Il s’agit aussi de se préparer à activer le plan de continuité d’activité.

Enfin, le CERT-FR recommande la sensibilisation du personnel au bon usage d’Internet et de la messagerie, suivant les guides de bonnes pratiques disponibles sur le site Internet de l’ANSSI. En particulier:
– une vigilance accrue au courriels reçus. En cas de doute, ne pas ouvrir les pièces jointes ni suivre les liens Internet y figurant;
– minimiser les navigations vers des sites Internet n’ayant pas de rapport avec l’activité professionnelle;
– rendre compte immédiatement aux responsables locaux de la sécurité des systèmes d’information de tout comportement anormal du poste de travail.

Share Button

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *