TISI
Petite méthode pour se protéger de Locky - Version imprimable

+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Petite méthode pour se protéger de Locky (/showthread.php?tid=456)

Petite méthode pour se protéger de Locky - BQRT - 30-03-2016

<r><SIZE size="150"><s></s><B><s></s></B></SIZE><ALIGN align="center"><s>
</s><SIZE size="150"><B>Locky, le ransomwares du moment !</B></SIZE><e>
</e></ALIGN><i></i><br/>
<br/>
Les ransomwares sont des logiciels particulièrement malveillants qui chiffrent les données présentes sur l'ordinateur et demandent une rançon à son propriétaire afin de les récupérer, c'est du moins ce qui est promis. <br/>
<br/>
<B><s></s><SIZE size="150"><s></s>Comment se protéger contre Locky ?<e></e></SIZE><e></e></B><br/>
<br/>
Heureusement, il existe plusieurs méthodes pour se protéger de Locky, en plus de l'hygiène que l'on devrait toujours avoir face à un email d'une provenance douteuse (éviter à tout prix d'ouvrir les pièces jointes et de cliquer sur un lien). Sur son blog, le cabinet de conseil en sécurité Lexsi donne quatre méthodes plus ou moins complexes pour bloquer ou limiter les dégâts de Locky.<br/>
<br/>
La plus simple consiste à prendre les devants en créant une clé dans la base de registre avant Locky. Pour cela, il suffit de suivre quelques étapes :<br/>
<br/>
- Lancer la commande Executer de Windows avec la combinaison de touches « Windows + R »<br/>
- Entrer « regedit » et valider en appuyant sur OK afin de lancer l'éditeur de registre<br/>
- Aller dans HKEY_CURRENT_USER puis dans SOFTWARE<br/>
- Cliquer sur Edition > Nouveau > Clé<br/>
- Nommer cette nouvelle clé Locky<br/>
- Effectuer un clic droit sur cette dernière, puis cliquer sur Autorisation...<br/>
- Cocher la case Refuser pour l'option Contrôle total<br/>
- Valider et quitter l'éditeur de registre<br/>

<ALIGN align="center"><s>
</s><URL url="http://www.hostingpics.net"><s></s><IMG src="http://img15.hostingpics.net/pics/624976160023.png"><s>[img]</s>http://img15.hostingpics.net/pics/624976160023.png<e>[/img]</e></IMG><e></e></URL><e>
</e></ALIGN>

Lorsque la clé est déjà présente dans le système, Locky se termine immédiatement sans autre action. On peut néanmoins supposer qu'une variante plus sophistiquée arrivera un jour, y compris pour les autres méthodes de protection décrites par la société. Il ne s'agit donc que d'une prévention, en aucun cas d'une protection définitive. <br/>
<br/>
<SIZE size="150"><s></s><B><s></s>Locky base de registre<e></e></B><e></e></SIZE><br/>
<br/>
De son côté, le SGDSN a publié une (très) longue liste des URL utilisées par Locky pour télécharger ses binaires. Comme vous pouvez le constater, les adresses sont très nombreuses, mais l'agence de sécurité indique que « la mise en liste noire de ces adresses est à considérer dans le cadre d'une protection contre le rançongiciel Locky ».<br/>
<br/>
Il est également possible de désactiver les macros d'Office qui sont régulièrement utilisées pour infecter une machine. Microsoft s'est d'ailleurs fendu d'un billet de blog il y a quelques jours afin d'expliquer cela en détail. Dans tous les cas, il reste d'autre manière de piéger une pièce jointe...<br/>
<br/>
Quitte à enfoncer des portes ouvertes, « le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution ». Il ajoute en outre qu'il « convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée par ce dernier ».<br/>
<br/>
<B><s></s><SIZE size="150"><s></s>Et si je suis infecté, que faire ?<e></e></SIZE><e></e></B><br/>
<br/>
La première chose à faire est de déconnecter la machine du réseau et débrancher tous les périphériques de stockage externes afin d'éviter que le virus ne se propage sur vos autres ordinateurs. Par mesure de précaution, vous pouvez également placer tous les fichiers partagés en lecture seule afin d'éviter qu'ils ne soient chiffrés.<br/>
<br/>
Si vous avez une sauvegarde saine, c'est le moment de la restaurer sur le poste infecté, en prenant soin de supprimer les mails avec les pièces jointes vérolées pour éviter un clic malheureux. Si vous en avez la possibilité et le besoin, conserver les données chiffrées au cas où un moyen de les récupérer soit découvert plus tard. <br/>
<br/>
Quoi qu'il en soit, pour les spécialistes la bataille ne fait que commencer, car les ransomwares ont le vent en poupe chez les pirates, et ils devraient de plus en plus nombreux en 2016. Et effectivement, la relève est déjà là avec un nouveau ransomware : Petya. Pour rappel, la meilleure des préventions et des protections est d'éviter d'ouvrir des pièces jointes et de cliquer sur des liens provenant de personnes que l'on ne connait pas, ou dont l'email semble étrange.</r>