CHU de Rouen : Clop de fin !
25 novembre 2019
Le cryptolocker ayant chiffré les fichiers des utilisateurs était donc… Clop. Les éléments apportés par l’ANSSI montrent que l’attaque subie par le CHU de Rouen se serait concentrée sur les fichiers des utilisateurs, mais aussi – semble-t-il – sur l’Active Directory. Concernant le chiffrement des fichiers, le rançongiciel, toujours selon l’ANSSI, aurait bloqué le mécanisme VSS de restauration d’instantanés, interdisant ainsi un retour rapide à la normale en ce qui concerne les fichiers des utilisateurs.
Je ne sais pas si le CHU de Rouen a utilisé le gestionnaire de ressources du serveur de fichiers (fsrm.msc) au niveau des Windows Server 2012, 2016 et 2019 pour bloquer la propagation du chiffrement de fichiers sur les partages réseau.Vous pouvez d’ailleurs utiliser la liste proposée sur le site FSRM Filters ; elle semble être à jour. Il y aurait une grande simplification à y faire.