30 janvier 2015
comments 2

Lutter contre les ransomwares

Ransomware-Featured

C’est la panique un peu partout en ce moment !
D’abord « c’est quoi ça un ransomware ? »

Le ransomware prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leurs propriétaires d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. (oui copier-coller de Wikipédia)

Ce virus a déjà fait beaucoup de dégâts dans les mairies et lycées de ma région.

La plupart des ransomwares n’ont pas besoin d’être en Administrateur pour s’exécuter, le ransomware se contente de se lancer et de crypter tout les fichiers *.doc *.jpg *.pdf…  accessibles en écriture par l’utilisateur. Cela va très très vite ! Il scan non seulement les documents présent sur l’ordinateur mais aussi tout les documents sur les lecteurs réseaux.

Clairement, une fois arrivé, il est trop tard pour réagir, la rançon ne vous permettra de récupérer vos fichiers que par petits bouts pour des sommes astronomique.

Votre seule option est de faire en sorte d’empêcher son exécution.
virus-computer
Quelques options :

  • Interdire le téléchargement des .exe, .bat, .vbs, .msi…
  • Si vous êtes avec Samba 3 ou 4, cacher les .exe présents sur les partages
  • Interdire avec des GPOs l’exécution des .exe dans certains répertoires

Cette dernière option est la plus efficace :
Je part de ce principe : Un utilisateur ne doit pas pouvoir exécuter des .exe dans les dossier auquel il a accès en écriture.

Le gros soucis en revanche est que cette GPO est extrêmement mal gérée sous Windows XP. (il ne fait pas la différence entre les .lnk et le reste)

Forcément les petits logiciels portables pratiques des utilisateurs seront bloqué. Mais l’avantage c’est que tous les logiciels du genre TOR/ophcrack/mimikatz seront bloqués également.

Vous trouverez des tutos pour les 3 options sur le wiki ici (en cour de rédaction)

Si vous avez d’autres idées, postez-les en commentaire !

Édit 13/03/2016 :

Je me contente ici de décrire techniquement et froidement les méthodes.

K3nny a retranscris plus proprement ce que j’ai écris ici :

http://reseaux85.fr/index.php?title=Strat%C3%A9gie_de_Restriction_Logiciel_et_Applocker

et ici :

http://reseaux85.fr/index.php?title=S%C3%A9curit%C3%A9_-_Crypto-Locker/Ransomware

Démonstration vidéo:

2 Comments

Leave a Reply