Alerte crise virale
Une crise virale de grande ampleur frappe la France et de nombreux autres pays depuis vendredi 12 mai 2017. Un rançongiciel (en anglais: ransomware) se propage et crypte l'ensemble des fichiers de l'ordinateur victime, ainsi que tous les fichiers accessibles depuis cet ordinateur (clés USB et disques durs externes lorsqu'ils sont branchés sur l'ordinateur, partages-réseau sur des serveurs communs, etc).
Les victimes sont nombreuses, variées (PME, grands groupes, hôpitaux, etc) et réparties sur toute la France, l'Europe, la Russie, etc. Il ne s'agit pas d'une attaque ciblée visant délibérément la France ou un secteur géographique en particulier, ni même un secteur d'activité économique spécifique.
Il est rappelé que la mission des unités de gendarmerie départementale n'est pas de conduire des audits informatiques d'entreprises victimes, ni de procéder à des "nettoyages" de réseaux avec remise en route du système dans son état initial.
A défaut de disposer d'un service informatique ad hoc, les entreprises victimes doivent être invitées: - à réinitialiser leurs systèmes et réinstaller des sauvegardes récentes - à faire appel à des prestataires privés spécialisés en sécurité informatique - afin d'éviter toute nouvelle infection: à mettre à jour leurs systèmes informatiques (installation des derniers correctifs de sécurité Windows), - à installer un anti-virus sur les postes de travail individuels (anti-virus avec mise à jour quotidienne) et à installer un anti-virus sur le serveur de messagerie de l'entreprise (anti-virus avec mise à jour quotidienne, scannant automatiquement les pièces jointes d'email)
Au regard du faible coût de la rançon demandé par le virus (environ 300 euros), il peut être tentant pour une victime de payer la rançon. Il est rappelé à tous les destinataires que: - inciter une entreprise à payer la rançon revient à favoriser la réitération des faits ("le crime paye") - payer la rançon ne garantit pas la récupération totale ou partielle des fichiers - l'installation d'un logiciel inconnu, fût-il présenté comme un logiciel de déchiffrement, constitue potentiellement une nouvelle porte d'entrée dans le système informatique de l'entreprise, utilisable à des fins ultérieures malveillantes ("backdoor" / porte dérobée)
En cas d’infection ♦ Il faut déconnecter immédiatement le poste infecté du réseau (arrêt du WiFi, câble Ethernet débranché) et (faire) effectuer une restauration complète du système. L’ensemble du parc informatique doit être vérifié. ♦ Le paiement de la rançon encourage la poursuite de cette activité délictuelle et ne garantit en rien le déchiffrement des données. Il peut en outre compromettre le système si le téléchargement de la clef s'accompagne de l'installation d'un RAT (logiciel de prise de contrôle à distance d'un ordinateur).
Rassembler les renseignements suivants et déposer plainte : • obligatoirement : nom du ransomware (si connu) ou extension des fichiers ainsi chiffrés + adresse bitcoin de paiement de la rançon (adresse bitcoin bénéficiaire) + adresse « .onion » du site de téléchargement du déchiffreur (si paiement de la rançon) ; • éventuellement : email d'infection avec l'ensemble de ses en-têtes techniques complets (format .eml de préférence) + la souche virale, le tout sur clé USB/CD-ROM