Alerte Ransomware : ZCRYPTOR

ZCRYPTOR est un rançongiciel qui, en plus de crypter vos données, se propage via les clés USB et les Disques durs externes.

Le blog Wooxo

bannière zcryptor

Il est le dernier né des virus de ce type et s’attrape généralement comme ses prédécesseurs via une pièce jointe infectée attachée à un courriel (principalement des pourriels à cette date…).

► Un Rançongiciel aux allures de ver

ZCRYPTOR a la spécificité de détecter les supports amovibles de type clé USB ou disque dur externe et copie ses fichiers dans la séquence d’initialisation de ces derniers. Les fichiers sont alors modifiés et rendus invisibles à l’utilisateur.

 

L’infection va ainsi se propager et infecter de nouvelles machines lorsque l'appareil infecté sera branché sur un nouvel ordinateur.


En ouvrant le fichier contaminé, ou en connectant l'appareil infecté, le destinataire libère le rançongiciel qui va alors chiffrer le contenu de son ordinateur.

 

Une demande de paiement d’une rançon (généralement 1,2 bitcoins, soit environ 500 euros au cours actuel) s’affiche à l’écran au travers d’une boîte de dialogue et le montant réclamé à la victime augmente si la somme n’est pas réglée rapidement.

Boite de dialogue Zcryptor

Boite de dialogue du Ransomware Zcryptor


Nous vous alertons régulièrement sur le fait que les supports de stockage USB, trop souvent utilisés comme support de sauvegarde dans les petites et moyennes organisations, doivent être bannis d’une utilisation professionnelle.

 

A minima, veiller à désactiver la fonction autoplay des clés USB et disques durs afin de limiter la possibilité pour ZCRYPTOR d’infecter d’autres stations de travail.


► Que faire en cas de survenance d’une telle attaque ?

Si vous avez malencontreusement cliqué sur un lien contenu dans une pièce jointe, nous vous recommandons d’éteindre immédiatement le poste infecté et de le déconnecter du réseau.

 

L’objectif est de bloquer le travail du parasite et si possible sa diffusion sur le réseau.

 

Recherchez et supprimez tous les messages similaires dans les messageries des utilisateurs connectés à votre réseau.

 

Procédez enfin à une réinstallation complète du poste infecté et à la restauration des fichiers à partir d’une sauvegarde réputée saine.

 

Si vous disposez d’un Plan de reprise d’activité, vous pourrez récupérer toutes vos données après un reformatage complet de votre disque dur et une restauration complète de vos sauvegardes.

Apprenez-en plus en lisant notre Livre Blanc sur le
Plan de Reprise d'Activité :

Télécharger

Vous avez été victime d’une attaque cybercriminelle, besoin d'un conseil ?

CONTACTEZ-NOUS