Le 12 mai 2017, de très nombreuses organisations ont été frappées par le crypto-ransomware WannaCry. . Il a déjà infecté plus de 200 000 victimes (individus, entreprises, institutions) dans 150 pays, dont par exemple Renault en France, qui a vu sa chaîne de production interrompue, mais aussi FedEx ou le National Health Service en Grande-Bretagne. Les victimes se sont retrouvées dans l’incapacité d’utiliser leur machine et d’accéder à leurs fichiers, ces derniers ayant été chiffrés. Ces types de cryptoloker sont actuellement les plus évolués et dangereux. Il se propage par courrier électronique, par l'ouverture d'une pièce jointe, un lien vers un site web ou une faille de sécurité. Il s'attaque à vos fichiers et crypte l'ensemble de vos données puis un message d'alerte vous menace pour payer une rançon et sois disant récupérée vos fichiers. 

Un nombre accrue d'attaques au cours des 24 derniers mois

« Ces attaques de type ransomware sont généralement résolues très rapidement : si la victime dispose d’une bonne maintenance de son système informatique et d’un process de sauvegarde régulier, elle pourra récupérer ses données sans avoir à payer la rançon (et ainsi prendre le risque d’une nouvelle demande) ; dans le cas contraire, ses données seront souvent irrémédiablement perdues.

Dans le cas de Wannacry, le ransomware se propage via un exploit de la NSA qui avait fuité il y a quelques mois, qui a lui a permis de se répandre plus facilement, et s’attaque à une faille connue du système Microsoft Windows.

Ainsi, cette opération de piratage d’ampleur mondiale affecte potentiellement tout ordinateur fonctionnant sur ce système d’exploitation et qui n’aurait pas installé le patch de sécurité disponible depuis le mois de mars (bulletin MS17-010). »

 Plus de la moitié des entreprises ne sont pas protégées face à une cyber-attaque

Une étude menée par Hiscox auprès de 3000 entreprises en Grande-Bretagne, USA et Allemagne montre que plus de la moitié des entreprises ne sont pas protégées face à une cyber-attaque. Pourtant, si les hackers sont toujours plus habiles pour déceler les faiblesses informatiques, certaines mesures peuvent être instaurées pour les éviter.

L’ANSSI a émis un bulletin d’alerte spécial qui détaille des mesures préventives et en cas d’incident, et auquel il est fortement recommandé de se référer. 

Les mesures préventives essentielles à mettre en place 

1. Sensibiliser régulièrement les collaborateurs 
2. Installer le patch de sécurité mis à disposition par Microsoft.
3. Sauvegarder régulièrement ses données critiques et s'assurer de leur viabilité, dans l’idéal quotidiennement, à l’extérieur de son système d’information.
4. Prendre l’habitude de mettre systématiquement à jour les logiciels utilisés, que ce soit dans un cadre professionnel ou à titre privé (les machines sur lesquelles le correctif de mars 2017 a été installé sont, pour l’instant du moins, protégées contre Wannacry).
5. Désactiver les macros exécutables automatiquement 
6. Installer et mettre à jour les antivirus et antimalware 
7. Si la pièce jointe infectée est ouverte, il convient d'isoler immédiatement l'ordinateur compromis afin de bloquer la poursuite du chiffrement et la destruction des dossiers 

Extensions de fichiers cryptés par Crypto-locker Crypto-virus Crypto-locky Ransomware :

.ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto, _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .good, .LOL!, .OMG!, .RDM, .RRK, .encryptedRSA, .crjoker, .erydoag, .EnCiPhErEd, .LeChiffre, .keybtc@inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky