Rançongiciel (ransomeware) | Incident Ninja Response Methodologies

Lignes directrices pour le traitement d'une infection par rançongiciel

Auteur de la fiche IRM : CERT SG / Jean-Philippe Teissier
Version de la fiche IRM : 1.0

Préparation

Nécessite une bonne connaissance des politiques de sécurité des systèmes d’exploitation usuels
Nécessite une bonne connaissance des politiques des profils d’utiisateurs usuels
Vérifier que les produits de sécurité sur le poste de travail et périmétriques (passerelle mail, serveurs proxies) sont à jour
Considérant que cette menace est généralement détectée par les utilisateurs finaux, sensibiliser le support informatique à la menace des rançongiciels
S’assurer d’avoir des sauvegarde exhaustives, récentes et fiables des données utilisateur locales et sur le réseau

Plusieurs pistes peuvent indiquer la compromission du syst_me par un rançongiciel :

réception d’étranges courriels professionnels (souvent sous la forme de factures) porteurs de pièces jointes
note de rançon affiché sur le bureau et précisant que des documents ont été chiffrés (ou cryptés) et réclamant une somme d’argent en échange
plainte des utilisateurs sur des fichiers indisponibles ou corrompus, sur leur ordinateur ou sur des partages réseaux, avec des extensions de fichiers atypiques (.abc, .xyz, .aaa, …).
nombreux fichiers modifiés sur un très court intervale de temps sur des partages réseaux

Rechercher des fichiers exécutables inhabituels dans les profils utilisateurs (%ALLUSERSPROFILE% ou %APPDATA%) et dansd %SystemDrive%
Recherche les extensions ci-dessus ou des notes de rançon
Effactuer si possible une capture de l’image mémoire du système
Rechercher des processus inhabituels
Rechercher des motifs atypiques dans les pièces jointes des courriels
Rechercher une activité réseau ou de navigation web atypique, en particulier des connexions vers Tor ou I2P IP, des passerelles Tor (tor2web…) ou des sites de paiement en Bitcoin

Rechercher des motifs de connexion vers des kits d’exploit
Rechercher des motifs de connexion vers des serveur de Command & Control (C&C) de rançongicies
Rechercher une activité réseau ou de navigation web atypique, en particulier des connexions vers Tor ou I2P IP, des passerelles Tor (tor2web…) ou des sites de paiement en Bitcoin
Rechercher des motifs atypiques dans les pièces jointes des courriels

Déconnecter du réseau tous les systèmes qui ont été identifiés comme compromis
Si le système ne peut être isolé, déconnecter tous les disques partagés (NET USE x: \\unc\path\ /DELETE)
Bloquer le trafic vers les serveurs C&C du rançongiciel identifié
Envoyer les échantillons non détectés au fournisseur de la solution de sécurité du poste de travail
Envoyer les URL, noms de domaines et adresses IP non catégorisés comme malveillant au fournisseur de la solution de sécurité périmétrique

Supprimer les exécutables et les éventuelles clés de registre associées des profils utilisateurs compromis (%ALLUSERSPROFILE% ou %APPDATA%) et de %SystemDrive%
Si l’étape précédent est impossible, remasteriser le poste avec une instalation propre

Objective: Rétablir le système à un fonctionnement nominal

Mettre à jour les signatures antivirales pour que les exécutables malveillants identifés soient bloqués
S’assurer qu’un exécutable malveillant n’est encore présent avant de reconnecter le poste
S’assurer que le trafic réseau est redevenu normal
Restorer les documents des utilisateurs à partir des sauvegardes

Ces différentes étapes doivent être effectuées une par une et sous la supervision des équipes technique.

Un rapport d’incident devrait être écrit et mis à disposition de toutes les parties intéressées.

Les points suivants devraient être abordés :

Capitaliser en identifiant les actions nécessaire pour améliorer les processus de détection des logiciels malveillants et des intrusions réseau.