Comment répondre à un ransomware infection
Articles techniques ID:
KB89805
Date de la dernière modification : 2022-07-12 20:22:41 Etc/GMT
Environnement
Endpoint Security (ENS) Prévention contre les menaces 10.x
Host Intrusion Prevention (Host IPS) 8.0
VirusScan Enterprise (VSE) 8.8
Synthèse
Cet article fournit des conseils généraux pour les premiers intervenants au cours d’une attaque ransomware.
Les ransomware sont des logiciels malveillants qui utilisent le chiffrement asymétrique pour stocker les informations de la victime à l’adresse de l’ransomware. Le chiffrement asymétrique (Public-Private) est un chiffrement qui utilise une paire de clés pour chiffrer et déchiffrer un fichier. L’attaquant génère de manière unique une paire de clés publiques-privées pour la victime, avec la clé privée pour déchiffrer les fichiers stockés sur le serveur de l’attaquant. L’utilisateur compromis doit payer un ransomware pour obtenir les clés privées afin de déchiffrer les fichiers.
Actuellement, il existe de nombreuses variantes différentes de ransomware. En général, ransomware et d’autres logiciels malveillants sont distribués à l’aide de campagnes spam, d’e-mails de phishing ou d’attaques ciblées. Nos produits de sécurité utilisent plusieurs technologies qui permettent d’empêcher les ransomware.
Suivez la procédure ci-dessous pour répondre à une attaque ransomware dans votre environnement :
- Identifiez et isolez les systèmes concernés.
L’isolation des systèmes concernés contribue à empêcher la propagation de la menace. Ce comportement ne s’affiche pas pour toutes les menaces ou variantes de ransomware. Pour plus d’informations, reportez -vous à la section KB81336-How to Build un rapport source de menace pour VirusScan Enterprise dans ePolicy Orchestrator.
- Appliquez les mises à jour des vulnérabilités et assurez-vous la conformité de l’environnement :
- Appliquez les mises à jour du fournisseur ou du système d’exploitation sur tous les systèmes. Cette action est essentielle pour atténuer la vulnérabilité que le logiciel malveillant exploite. Si vous laissez un seul système non mis à jour, vous exposez à votre environnement un trou dont les logiciels malveillants peuvent tirer parti.
- Assurez-vous que l’environnement est conforme à la stratégie de sécurité existante. Toutes les variantes des ransomware exploit application ou des vulnérabilités du système d’exploitation.
- Appliquez les règles ENS/Host IPS/VSE liées aux systèmes en ligne pour tous les comportements ransomware connus. Pour plus d’informations, consultez les articles associés :
- Vérifiez que les meilleures pratiques recommandées sont en place. Pour plus d’informations, consultez les articles associés :
- Appliquez, testez et déployez le fichier extra .DAT associé (si disponible).
Un fichier extra .DAT est un fichier de détection temporaire qui est fourni pour détecter et supprimer les menaces. Il s’agit d’un fichier qui n’a pas encore été ajouté aux fichiers DAT standard. Si McAfee Labs fournissait un fichier extra. DAT, la meilleure pratique consiste à l’appliquer et à le tester localement sur un système infecté. Après avoir testé correctement le fichier extra. DAT, appliquez-le pour exécuter une analyse complète du système à la demande (ODS).
- Exécutez une analyse ODS complète sur tous les systèmes.
- Confirmez le contrôle de l’environnement.
Vérifiez si des menaces ont été détectées au cours des dernières 24 heures. Pour plus d’informations, reportez-vous aux Articles connexes :
- Remettez les systèmes isolés en ligne une fois qu’ils sont confirmés.
Une fois que les systèmes isolés ont été confirmés, il est conseillé de les replacer en ligne dans de petits groupes et de surveiller étroitement leur comportement par la suite.
- Restaurez les fichiers concernés à partir d’une sauvegarde.
Lorsque tous les systèmes sont nettoyés et de nouveau sur le réseau, restaurez les fichiers application concernés à partir d’une source de sauvegarde correcte connue ou Windows volume de cliché instantané.
- Exécutez une réponse aux incidents et des mesures proactives.
Le blocage des types de fichiers au niveau de la passerelle est la ligne de défense la plus simple et la plus facile (voir les types de fichiers indiqués ci-dessous). Les ransomware, les téléchargeurs et les JS/Nemucod sont tous fictifs. En règle générale, les téléchargeurs arrivent dans spam ou les e-mails de phishing sous la forme DOC ou XLS, et moins souvent en tant que JS. JS/Nemucod arrive dans spam ou les e-mails de phishing que J. ransomware est arrivé en tant que JS, EXE, TMP, SCR et WSF. La plupart des programmes d’installation déposent un fichier EXE dans le répertoire du profil utilisateur. Il est plus facile de se protéger contre les ransomware si vous vous protégez également contre ses programmes d’installation et ses injecteurs.
Pour les téléchargeurs et Nemucod (chevaux de Troie), créez des règles de pare-feu pour empêcher Microsoft Word, les Microsoft Excel, les scripts et PowerShell d’effectuer des appels sortants. Vous devez également créer des listes d’autorisation appropriées en fonction du trafic légitime généré par ces applications.
Par exemple, si une organisation utilise Office 365, reportez-vous au document Microsoft documents office 365 URL et intervalles d’adresses IP. Les postes clients incluent les noms de domaine complets, les ports, les URL, les intervalles d’adresses IPv4 et les intervalles d’adresses IPv6 à inclure dans vos listes d’autorisation sortantes. Ces postes clients garantissent que vos ordinateurs peuvent utiliser Office 365 avec succès.
Il est également recommandé de bloquer les fichiers d’archive, s’ils ne sont pas dépendants des stratégies de l’entreprise. Les fichiers d’archive sont par exemple ZIP, RAR, TAR et JAR.
- Pensez à mettre en œuvre d’autres recommandations :
- Mettez en œuvre la sensibilisation et la formation à la sécurité :
- Simulez une campagne de phishing/spam pour sensibiliser la sécurité aux utilisateurs qui sont concernés par les attaques d’ingénierie sociale.
- Rappelez à vos utilisateurs de réfléchir deux fois avant de cliquer sur les liens envoyés par e-mail.
- Demandez aux utilisateurs de ne pas ouvrir de pièces jointes inconnues ou non sollicitées, sauf si elles sont demandées à l’expéditeur. Affichez l’en-tête de l’e-mail ou envoyez un e-mail distinct pour valider l’expéditeur avant d’ouvrir les pièces jointes.
- Signaler un e-mail suspect au centre d’exploitation de sécurité de l’organisation. Rappelez à vos utilisateurs comment et où envoyer des e-mails suspects en toute sécurité.
- Désactivez les macros dans Microsoft Office applications. Les macros peuvent s’exécuter dans les applications Office si l’une des actions ci-dessous est effectuée :
- Sélectionnez l’option activer toutes les macros sous paramètres des macros.
- Cliquez sur manuellement une macro.
Remarque : Les macros sont désactivées par défaut. Il est conseillé de sélectionner l’option désactiver toutes les macros avec notification sous paramètres des macros.
- Les utilisateurs doivent sauvegarder les données métier dans les dossiers partagés de l’organisation. Les données résidant sur les équipements utilisateur peuvent être perdues définitivement lors d’une infection ransomware.
- Bloquer .EXE , .RAR , .SCR.JS.CAB.VBS.BAT.WSF ,,,,, et les pièces jointes similaires au niveau de la messagerie et de Web Gateway.
- Empêche l’exécution de PowerShell sur les systèmes sur lesquels PowerShell n’est pas conçu pour s’exécuter.
- Assurez-vous qu’il n’existe aucune stratégie liste d’autorisation qui exempte .doc , .xlsx.docx.xls , ou .JS non les pièces jointes de l’analyse antispam ou antivirus.
- Installez le plug-in du navigateur SiteAdvisor Enterprise pour détecter les pièces jointes spam et bloquer l’accès aux domaines malveillants.
- Utilisez les produits email and Web Gateway qui identifient les liens malveillants et bloquent les e-mails contenant des liens ou des pièces jointes.
- Cliquez sur le filtrage d’spam.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|