► Comment se présente-t-il ? 

Nous avons attiré votre attention il y a 2 semaines sur la faille zéro day détectée dans la suite Office.

Le premier à l’exploiter est le rançongiciel (ransomware) «Locky». Pour mémoire, ce dernier s’est fait connaître en début d’année dernière en explosant tous les records du nombre de victimes.
Il est donc de retour en France depuis lundi dernier et invisible par la plupart des antivirus n’ayant pas encore patché la faille zéro day microsoft.

Le mode opératoire n’a guère changé : le rançongiciel se diffuse via un email incluant en pièce jointe (un prétendu reçu de paiement) contenant lui-même un document au format word ou excel illisible et un message invitant à activer les macros pour que l'affichage du contenu apparaisse.
Comble du raffinement, l’adresse email de l’émetteur appartient au même domaine que celui du destinataire pour mettre en confiance les destinataires.
La Macro embraquée n’a pas d’autre fonction que la récupération puis l'exécution du malware. L'exécution du rançongiciel entraîne le chiffrement des données et tous les fichiers contaminés sont renommés avec l'extension "locky". Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise.
La victime est ensuite invitée au travers d’une boîte de dialogue qui apparaît à l’écran, à verser de l'argent afin que le cybercriminel déchiffre les fichiers infectés.

On note par ailleurs des campagnes en vagues plus courtes et très ciblées géographiquement.

Le taux de blocage de ces pourriels (spams) par les passerelles anti-spams est malheureusement relativement faible.

► Que faire pour se prémunir ? 

• Ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicité.
• Désactiver l'exécution automatique des macros dans les suites bureautiques.
  [Rappel pour la désactivation dans Microsoft Office :
  Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Cochez Désactiver toutes les macros avec notifications]
• Maintenir à jour le système d'exploitation et l'antivirus de vos postes de travail.
• Désactiver la fonction autoplay des clefs USB et disques durs si vous persistez à les utiliser.
• Effectuer des sauvegardes saines et fréquentes des systèmes et des données (postes de travail, serveurs mais aussi ordinateurs portables itinérants) et conserver un minimum de 3 versions pour chaque document sauvegardé.
• Et surtout éduquer vos collaborateurs en diffusant nos bulletins d’alertes en interne !

► Que faire en cas de survenance d’une telle attaque ?

Si vous avez malencontreusement cliqué sur le lien et téléchargé un Locky, nous vous recommandons d’éteindre immédiatement le poste infecté et le déconnecter du réseau.
L’objectif est de bloquer le travail du parasite et si possible sa diffusion sur le réseau ou à vos contacts contenus dans votre messagerie.
Recherchez et supprimez tous les messages similaires dans les boîtes de messagerie des utilisateurs connectés à votre réseau informatique.
Procédez enfin à une réinstallation complète du poste infecté et à la restauration des fichiers à partir d’une sauvegarde réputée saine.

Pour signaler une attaque cybercriminelle ou une escroquerie en France : 
L'Office Central de Lutte contre la Cybercriminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) : http://www.pointdecontact.net/partenaires/oclcticou par courrier ou téléphone : 
SDLC / OCLCTIC
101, rue des 3 Fontanots
92000 NANTERRE
01 47 44 97 55

En Belgique : https://meldpunt.belgie.beEn Italie : Denuncia vi@ web

> Un doute sur l'efficacité de votre dispositif de sauvegarde ? Faîtes un check-up gratuit en 20 minutes avec un de nos conseillers cybersécurité : 

Etre rappelé par un conseiller