Retour sur l’attaque par cryptolocker au Grand Cognac

L’agglomération du Grand Cognac semble avoir mis en cause l’absence d’efficacité des outils Kaspersky lors de l’attaque par cryptolocker dont elle a été l’objet dans la nuit du 11 au 12 octobre, selon LMI. Il faut bien trouver un bouc émissaire !

Former les utilisateurs à la sécurité informatique

Je voudrais, ici, vous relater une expérience datant de 2004. Je travaillais alors pour le compte de la société Scripta. Alexandre Briet m’avait contacté pour former à la sécurité informatique les utilisateurs de la DIREN de Basse Normandie située à Caen. L’informaticien de la délégation, Dominique Lecluse, souhaitait que nous axions la formation sur l’emploi de la messagerie Lotus Notes. J’ai fait alors une toute autre proposition : former les utilisateurs à la sécurité informatique dans leur environnement domestique personnel. Le directeur de l’époque, malgré l’opposition de son responsable informatique, avait validé le projet. Il voyait précisément où je voulais en venir. J’avais fourni une liste d’outils aux salariés de la DIREN pour sécuriser leur informatique domestique personnelle. Après l’action de formation, le ministère de l’environnement fut l’objet d’une attaque massive par la messagerie. La seule délégation qui n’avait pas été infectée était celle où j’avais fait la formation.

Solutions techniques

L’utilisateur est le dernier rempart en matière de sécurité informatique. Quels que soient les outils mis en œuvre, rien n’empêchera une attaque du type de celle que le Grand Cognac a subie, en s’accrochant à la technique telle une moule à son rocher. Un outil de chiffrement n’est pas un virus en soi. Et jeter la faute de l’attaque à la solution Kaspersky me semble relever de la parfaite et totale mauvaise foi, surtout si le Grand Cognac dispose d’un serveur Exchange. Sur le plan des solutions techniques, j’avais évoqué, il y a quelques temps, comment se prémunir des cryptolockers, notamment par la mise en place de la gestion du filtrage de fichiers dans le gestionnaire de ressources du serveur de fichiers.

Attaque par cryptolocker au Grand Cognac

Le blocage du chiffrement des fichiers

Pensez également, dans votre infrastructure à base de Windows Server 2016/2019,  à installer le rôle Gestionnaire de ressources du serveur de fichiers :

Install-WindowsFeature -Name FS-Resource-Manager, RSAT-FSRM-Mgmt

Pour empêcher les cryptolockers de chiffrer les fichiers sur les partages Windows, ajoutez cette liste d’extensions à l’aide de l’instruction PowerShell New-FsrmFileGroup :

New-FsrmFileGroup -Name "RansomwareExtensions" –IncludePattern @("#_RESTORING_FILES_#.TXT","*.0x0","*.1999","*.aaa","*.abc","*.AZER","*.bleep","*.ccc","*.CIop","*.CK","*.Clop","*.CNC","*.code","*.crinf","*.crjoker","*.cryp1","*.crypt","*.crypto","*.CRYPTOSHIELD","*.crypz","*.CTB2","*.CTBL","*.ecc","*.EnCiPhErEd","*.encoderpass","*.encrypted","*.encryptedRSA","*.ERROR","*.EXTE","*.exx","*.ezz","*.good","*.HA3","*.k","*.key","*.keybtc@inbox_com","*.LeChiffre","*.lesli","*.locked","*.locky","*.LOL!","*.magic","*.micro","*.MOLE","*.mole00","*.mole02","*.mole03","*.NOOB","*.odin","*.OGONIA","*.OMG!","*.PIRATE","*.pzdc","*.R16M01D05","*.r5a","*.RDM","*.rdmk","*.rmd","*.RRK","*.rscl","*.RZWDTDIC","*.scl","*.SHARK","*.SUPERCRYPT","*.toxcrypt","*.ttt","*.vault","*.vvv","*.WALLET","*.wallet","*.x1881","*.XRNT","*.xrtn","*.XTBL","*.xxx","*.xyz","*.ZAYKA","*.ZERO","*.zzz","*_crypt","*_how_recover.txt","*_Locky_recover_instructions.txt","*_secret_code.txt","*About_Files.txt","*Coin.Locker.txt","*CRYPTENDBLACKDC*","*DECRYPT_INSTRUCTION.TXT","*DECRYPT_INSTRUCTIONS.TXT","*DECRYPT_ReadMe.TXT","*DecryptAllFiles.txt","*encryptor_raas_readme_liesmich.txt","*FILESAREGONE.TXT","*HELLOTHERE.TXT","*Help_Decrypt.txt","*help_decrypt_your_files.html","*HELP_RECOVER_FILES.txt","*help_recover_instructions+*.txt","*HELP_RESTORE_FILES.txt","*HELP_TO_DECRYPT_YOUR_FILES.txt","*HELP_TO_SAVE_FILES.txt","*HELP_YOUR_FILES.TXT","*HELPDECRYPT.TXT","*HELPDECYPRT_YOUR_FILES.HTML","*HOW_TO_DECRYPT_FILES.TXT","*How_To_Recover_Files.txt","*howrecover+*.txt","*howto_recover_file.txt","*Howto_Restore_FILES.TXT","*HowtoRestore_FILES.txt","*HowtoRESTORE_FILES.txt","*HowtoRestore_FILES.txt","*IAMREADYTOPAY.TXT","*IHAVEYOURSECRET.KEY","*INSTRUCCIONES_DESCIFRADO.TXT","*Read.txt","*ReadDecryptFilesHere.txt","*ReadMe.txt","*READTHISNOW!!!.TXT","*recoverfile*.txt","*RECOVERY_FILE*.txt","*RECOVERY_FILE.TXT","*RECOVERY_FILES.txt","*RECOVERY_KEY.txt","*recoveryfile*.txt","*restorefiles.txt","*SECRET.KEY","*SECRETIDHERE.KEY","*YOUR_FILES.HTML","*YOUR_FILES.url","_secret_code.txt","DECRYPT_INSTRUCTION.HTML","DECRYPT_INSTRUCTION.TXT","DECRYPT_INSTRUCTION.URL","HELP_YOUR_FILES.HTML","HELP_YOUR_FILES.TXT","INSTALL_TOR.URL")

Configurez alors la gestion du filtrage de fichiers au travers de la console fsrm.msc.

Sécurité  / Formateur Sécurité informatique 

Commentaires

Denis,
Je suis un lecteur assidu de ton blog et parfois je poste un comment, petit depanneur WS (je passe mon temps a reconfigurer/Installer cette daube de WS10 et conseiller les clients de laisser tomber Chrome, de passer sur Mint/Debian ou autres etc.)J’ai 1 p’tite question qui n’a pas grand chose à voir avec ton post (1000 excuses). Apparement mon compte « Diaspora » a subit une « attaque » du type CSRF, est ce un faux et comment le savoir ? certaines de mes extensions ? J’ai désactivé java script pour + de sécu mais je ne sais si c’est suffisant…Que me conseillerais tu, extensions ? (A noter que je suis censuré à tour de bras sur FB pour mes prises de positions « politico numérique », flicage de masse, dénonciation des lois numériques à venir etc…)Je te remercie.

@Jean

Peux-tu, d’abord, me fournir la liste de tes extensions utilisées ?

Ou avais-je la tête, Bien sur et merci,
Sur Firefox :
canvas blocker, cookiebro, css exfil protection, google search link fix, https, load from cache, noScript (par moment) redirector, refcontrol, self-destructing cookies, temporary containers, Tracking token stripper, Ublock (avec tes réglages) Unlazy et un speed dial.

Sur Vivaldi :
canvas defender, cookie autodelete, privacy manager, cookies search link fix, decentraleyes, http user agent switcher, privacy manager, scriptSafe, referer control, redirector, uBlock, Web RTC network limiter, Stop social, tracking token stripper, Block yourself from analytics.

@Jean

Sur Firefox, tu n’as plus besoin de Canvas Blocker. C’est intégré depuis la version 67, me semble-t-il (Options> Vie privée et sécurité > Détecteurs d’empreinte numérique). Pas très inspiré par ton Tracking token stripper. C’est quelle extension ton Speed Dial ? Ça m’inspire pas non plus.

Oui exact tu en avais parlé ici de Canvas, utilisation plus necessaire, ce doublon est un oubli de ma part…Yay!Another speed dial…Je vais creuser au sujet de Tracking token

Laisser un commentaire

(requis)

(requis)