Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Publication : 27 juin 2017, 21h / Mise à jour 1 : 28 juin 2017, 12h / Mise à jour 2 : 28 juin 2017, 20h / Mise à jour 3 : 29 juin 2017 – 12h30 / Mise à jour 4 : 29 juin 2017 – 21h
La brève sera actualisée régulièrement en fonction de l’évolution des analyses techniques.
Note : L’ANSSI invite à la plus grande prudence quant à la communication relative à la propagation du programme malveillant. À ce jour, il convient de rester prudent sur le nombre et l’identité de certaines victimes du présent rançongiciel.
De nouvelles recommandations ainsi qu’une mise à jour des marqueurs techniques sont intégrées dans le dernier bulletin d’alerte diffusé par le CERT-FR.
Le CERT-FR y confirme qu’en cas de chiffrement de la table de fichiers principale (MFT), la clé est immédiatement détruite, rendant probablement impossible la récupération des fichiers présents sur la machine, même en échange du paiement de la rançon.
Depuis le 27 juin, l’ANSSI constate l’installation et la propagation d’un programme malveillant se présentant sous l’apparence d’un rançongiciel.
Ce logiciel malveillant dispose de plusieurs capacités pour se propager sur le réseau des victimes. Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l’application de mises à jour, ne restreignent pas la propagation d’une machine à l’autre.
Les rançongiciels (ransomware en anglais) constituent une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au paiement de la rançon.
Lorsqu’un ordinateur est infecté, les fichiers de cet ordinateur peuvent être bloqués, mais les conséquences peuvent aussi s’étendre au reste du système d’information. Si l’infection initiale arrive souvent (mais pas nécessairement) par un courrier électronique piégé, le programme peut aussi chercher à se propager de manière autonome sur le reste du système d’information et au travers de ses interconnexions en exploitant des vulnérabilités à distance.
À noter : il importe de consulter la liste exhaustive actualisée des recommandations techniques de sécurité sur le dernier bulletin d’alerte du CERT-FR.
De manière préventive, s’il n’est pas possible de mettre à jour un serveur ou un ordinateur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires. En complément, les bases de signatures d’anti-virus doivent être mises à jour.
Si le code malveillant est découvert sur vos systèmes :
Pour plus d’informations, vous pouvez consulter :
