Retour sur l’attaque par cryptolocker au Grand Cognac

L’agglomération du Grand Cognac semble avoir mis en cause l’absence d’efficacité des outils Kaspersky lors de l’attaque par cryptolocker dont elle a été l’objet dans la nuit du 11 au 12 octobre, selon LMI. Il faut bien trouver un bouc émissaire !

Former les utilisateurs à la sécurité informatique

Je voudrais, ici, vous relater une expérience datant de 2004. Je travaillais alors pour le compte de la société Scripta. Alexandre Briet m’avait contacté pour former à la sécurité informatique les utilisateurs de la DIREN de Basse Normandie située à Caen. L’informaticien de la délégation, Dominique Lecluse, souhaitait que nous axions la formation sur l’emploi de la messagerie Lotus Notes. J’ai fait alors une toute autre proposition : former les utilisateurs à la sécurité informatique dans leur environnement domestique personnel. Le directeur de l’époque, malgré l’opposition de son responsable informatique, avait validé le projet. Il voyait précisément où je voulais en venir. J’avais fourni une liste d’outils aux salariés de la DIREN pour sécuriser leur informatique domestique personnelle. Après l’action de formation, le ministère de l’environnement fut l’objet d’une attaque massive par la messagerie. La seule délégation qui n’avait pas été infectée était celle où j’avais fait la formation.

Solutions techniques

L’utilisateur est le dernier rempart en matière de sécurité informatique. Quels que soient les outils mis en œuvre, rien n’empêchera une attaque du type de celle que le Grand Cognac a subie, en s’accrochant à la technique telle une moule à son rocher. Un outil de chiffrement n’est pas un virus en soi. Et jeter la faute de l’attaque à la solution Kaspersky me semble relever de la parfaite et totale mauvaise foi, surtout si le Grand Cognac dispose d’un serveur Exchange. Sur le plan des solutions techniques, j’avais évoqué, il y a quelques temps, comment se prémunir des cryptolockers, notamment par la mise en place de la gestion du filtrage de fichiers dans le gestionnaire de ressources du serveur de fichiers.

Attaque par cryptolocker au Grand Cognac

Le blocage du chiffrement des fichiers

Pensez également, dans votre infrastructure à base de Windows Server 2016/2019,  à installer le rôle Gestionnaire de ressources du serveur de fichiers :

Install-WindowsFeature -Name FS-Resource-Manager, RSAT-FSRM-Mgmt

Pour empêcher les cryptolockers de chiffrer les fichiers sur les partages Windows, ajoutez cette liste d’extensions à l’aide de l’instruction PowerShell New-FsrmFileGroup :

New-FsrmFileGroup -Name "RansomwareExtensions" –IncludePattern @("#_RESTORING_FILES_#.TXT","*.0x0","*.1999","*.aaa","*.abc","*.AZER","*.bleep","*.ccc","*.CIop","*.CK","*.Clop","*.CNC","*.code","*.crinf","*.crjoker","*.cryp1","*.crypt","*.crypto","*.CRYPTOSHIELD","*.crypz","*.CTB2","*.CTBL","*.ecc","*.EnCiPhErEd","*.encoderpass","*.encrypted","*.encryptedRSA","*.ERROR","*.EXTE","*.exx","*.ezz","*.good","*.HA3","*.k","*.key","*.keybtc@inbox_com","*.LeChiffre","*.lesli","*.locked","*.locky","*.LOL!","*.magic","*.micro","*.MOLE","*.mole00","*.mole02","*.mole03","*.NOOB","*.odin","*.OGONIA","*.OMG!","*.PIRATE","*.pzdc","*.R16M01D05","*.r5a","*.RDM","*.rdmk","*.rmd","*.RRK","*.rscl","*.RZWDTDIC","*.scl","*.SHARK","*.SUPERCRYPT","*.toxcrypt","*.ttt","*.vault","*.vvv","*.WALLET","*.wallet","*.x1881","*.XRNT","*.xrtn","*.XTBL","*.xxx","*.xyz","*.ZAYKA","*.ZERO","*.zzz","*_crypt","*_how_recover.txt","*_Locky_recover_instructions.txt","*_secret_code.txt","*About_Files.txt","*Coin.Locker.txt","*CRYPTENDBLACKDC*","*DECRYPT_INSTRUCTION.TXT","*DECRYPT_INSTRUCTIONS.TXT","*DECRYPT_ReadMe.TXT","*DecryptAllFiles.txt","*encryptor_raas_readme_liesmich.txt","*FILESAREGONE.TXT","*HELLOTHERE.TXT","*Help_Decrypt.txt","*help_decrypt_your_files.html","*HELP_RECOVER_FILES.txt","*help_recover_instructions+*.txt","*HELP_RESTORE_FILES.txt","*HELP_TO_DECRYPT_YOUR_FILES.txt","*HELP_TO_SAVE_FILES.txt","*HELP_YOUR_FILES.TXT","*HELPDECRYPT.TXT","*HELPDECYPRT_YOUR_FILES.HTML","*HOW_TO_DECRYPT_FILES.TXT","*How_To_Recover_Files.txt","*howrecover+*.txt","*howto_recover_file.txt","*Howto_Restore_FILES.TXT","*HowtoRestore_FILES.txt","*HowtoRESTORE_FILES.txt","*HowtoRestore_FILES.txt","*IAMREADYTOPAY.TXT","*IHAVEYOURSECRET.KEY","*INSTRUCCIONES_DESCIFRADO.TXT","*Read.txt","*ReadDecryptFilesHere.txt","*ReadMe.txt","*READTHISNOW!!!.TXT","*recoverfile*.txt","*RECOVERY_FILE*.txt","*RECOVERY_FILE.TXT","*RECOVERY_FILES.txt","*RECOVERY_KEY.txt","*recoveryfile*.txt","*restorefiles.txt","*SECRET.KEY","*SECRETIDHERE.KEY","*YOUR_FILES.HTML","*YOUR_FILES.url","_secret_code.txt","DECRYPT_INSTRUCTION.HTML","DECRYPT_INSTRUCTION.TXT","DECRYPT_INSTRUCTION.URL","HELP_YOUR_FILES.HTML","HELP_YOUR_FILES.TXT","INSTALL_TOR.URL")

Configurez alors la gestion du filtrage de fichiers au travers de la console fsrm.msc.

Sécurité  / Formateur Sécurité informatique