[Bulletin d’Alerte Cyberprotect] Campagne Rançongiciel, techniques préventives

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes. Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises. Le courriel contient une pièce jointe, souvent un fichier Javascript « .js »…

Les campagnes de Rançongiciel, notamment Locky (https://www.cyberprotect.fr/nouvelles-vagues-de-rancongiciels-comportement-conseil-solution/), continuent petit à petit à faire des victimes.

Pour rappel, la technique est simple : un courriel parfaitement rédigé en Français, reprenant les logos et couleurs de sociétés existantes est envoyé en masse aux entreprises.

Le courriel contient une pièce jointe, souvent un fichier Javascript « .js » qui une fois ouvert va chiffrer les fichiers présents sur le poste de l’utilisateur ainsi que ceux accessibles via un partage réseau.

Inutile donc de préciser que les dégâts peuvent-être considérables.

Parfois difficile à bloquer via les outils Anti-SPAM, le CERT CYBERPROTECT a cherché une mesure simple pour limiter la portée de l’ouverture de ces pièces jointes.

La première mesure est évidemment de sensibiliser les utilisateurs au traitement de leur courriel : https://www.cyberprotect.fr/labo/conseils/courriel/

La seconde est plus technique mais permet de limiter l’impact si un utilisateur ouvre une pièce jointe : il suffit de changer sur les postes, le programme par défaut qui ouvre les fichiers .js ou .vbs (deux types de fichiers exécutants des scripts).

Il suffit de modifier certaines clés du registre Windows. Pour cela, modifier les entrées « Edit », « Open » et « Open2 » suivantes :

HKEY_CLASSES_ROOT\JSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\JSEFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open\Command
HKEY_CLASSES_ROOT\JSEFile\Shell\Open2\Command

HKEY_CLASSES_ROOT\VBSFile\Shell\Edit\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command
HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command

Modifiez les entrées par défaut « C:\Windows\System32\CScript.exe %1 » et « C:\Windows\System32\WScript.exe %1 »

par « C:\Windows\System32\Notepad.exe %1 »

Ainsi, si un utilisateur ouvre un fichier .js , il ne sera pas exécuté mais simplement ouvert avec le Bloc Note.

Cette solution semble intéressante car elle peut être déployée sur l’ensemble d’un parc via GPO.

Vos paramètres AntiSPAM

Voici nos recommandations de paramétrage pour votre outil de messagerie.

Les extensions devant être considérées comme malveillantes lorsqu’elles sont en pièce jointe :

“.exe”, “.pif”, “.application”, “.gadget”, “.msi”, “.msp”, “.com”, “.scr”, “.hta”, “.cpl”, “.msc”, “.jar”
“.bat”, “.cmd”, “.vb”, “.vbs”, “.vbe”, “.js”, “.jse”, “.ws”, “.wsf”, “.wsc”, “.wsh”, “.ps1”, “.ps1xml”, “.ps2”, “.ps2xml”, “.psc1”, “.psc2”, “.msh”, “.msh1”, “.msh2”, “.mshxml”, “.msh1xml”, “.msh2xml”
“.scf”, “.lnk”, “.inf” , “.reg”, “.dll”
“.wax”, “.wm”, “.wma”, “.wmd”, “.wmv”, “.wmx”, “.wmz”, “.wvx”
“.docm”, “.dotm”, “.xlsm”, “.xltm”, “.xlam”, “.pptm”, “.potm”, “.ppam”, “.ppsm”, “.sldm”

Les extensions suivantes sont souvent légitimes et ne doivent pas subir un blocage mais elles peuvent contenir des éléments malveillants. Il faut donc être prudent lorsqu’on les ouvre :
“.zip”, “.rar”, “.ace”, “.gz”, “.tar”, “.7z”, “.z”, “.bz2”, “.xz”, “.iso”
“.htm”, “.html”
“.pdf”, “.doc”, “.rtf”, “.ppt”, “.xls”, “.docx”, “.rtfx”, “.pptx”, “.xlsx” ,“.odt”

Les sauvegardes

Nous vous rappelons également qu’il est important d’effectuer des sauvegardes régulières des fichiers contenant des données importantes.

Ces sauvegardes doivent-être vérifiées de manière périodique et être conservées séparément du réseau bureautique (sinon lorsqu’un rançongiciel se propage sur le réseau, il va chiffrer vos sauvegardes…)

En cas de doute, n’hésitez pas à nous solliciter.

React