Lignes directrices pour le traitement d'une infection par rançongiciel
Auteur de la fiche IRM : CERT SG / Jean-Philippe Teissier
Version de la fiche IRM : 1.0
Préparation
1- Nécessite une bonne connaissance des politiques de sécurité des systèmes d’exploitation usuels
- Nécessite une bonne connaissance des politiques des profils d’utiisateurs usuels
- Vérifier que les produits de sécurité sur le poste de travail et périmétriques (passerelle mail, serveurs proxies) sont à jour
- Considérant que cette menace est généralement détectée par les utilisateurs finaux, sensibiliser le support informatique à la menace des rançongiciels
- S’assurer d’avoir des sauvegarde exhaustives, récentes et fiables des données utilisateur locales et sur le réseau
Identification
2Signes généraux de la présence d’un rançongiciel
Plusieurs pistes peuvent indiquer la compromission du syst_me par un rançongiciel :
-
réception d’étranges courriels professionnels (souvent sous la forme de factures) porteurs de pièces jointes
-
note de rançon affiché sur le bureau et précisant que des documents ont été chiffrés (ou cryptés) et réclamant une somme d’argent en échange
-
plainte des utilisateurs sur des fichiers indisponibles ou corrompus, sur leur ordinateur ou sur des partages réseaux, avec des extensions de fichiers atypiques (.abc, .xyz, .aaa, …).
-
nombreux fichiers modifiés sur un très court intervale de temps sur des partages réseaux
Identification sur le poste
- Rechercher des fichiers exécutables inhabituels dans les profils utilisateurs (
%ALLUSERSPROFILE%
ou%APPDATA%
) et dansd%SystemDrive%
- Recherche les extensions ci-dessus ou des notes de rançon
- Effactuer si possible une capture de l’image mémoire du système
- Rechercher des processus inhabituels
- Rechercher des motifs atypiques dans les pièces jointes des courriels
- Rechercher une activité réseau ou de navigation web atypique, en particulier des connexions vers Tor ou I2P IP, des passerelles Tor (tor2web…) ou des sites de paiement en Bitcoin
Identification sur le réseau
- Rechercher des motifs de connexion vers des kits d’exploit
- Rechercher des motifs de connexion vers des serveur de Command & Control (C&C) de rançongicies
- Rechercher une activité réseau ou de navigation web atypique, en particulier des connexions vers Tor ou I2P IP, des passerelles Tor (tor2web…) ou des sites de paiement en Bitcoin
- Rechercher des motifs atypiques dans les pièces jointes des courriels
Endiguement
3- Déconnecter du réseau tous les systèmes qui ont été identifiés comme compromis
- Si le système ne peut être isolé, déconnecter tous les disques partagés (
NET USE x: \\unc\path\ /DELETE
) - Bloquer le trafic vers les serveurs C&C du rançongiciel identifié
- Envoyer les échantillons non détectés au fournisseur de la solution de sécurité du poste de travail
- Envoyer les URL, noms de domaines et adresses IP non catégorisés comme malveillant au fournisseur de la solution de sécurité périmétrique
Remédiation
4- Supprimer les exécutables et les éventuelles clés de registre associées des profils utilisateurs compromis (
%ALLUSERSPROFILE%
ou%APPDATA%
) et de%SystemDrive%
- Si l’étape précédent est impossible, remasteriser le poste avec une instalation propre
Rétablissement
5Objective: Rétablir le système à un fonctionnement nominal
- Mettre à jour les signatures antivirales pour que les exécutables malveillants identifés soient bloqués
- S’assurer qu’un exécutable malveillant n’est encore présent avant de reconnecter le poste
- S’assurer que le trafic réseau est redevenu normal
- Restorer les documents des utilisateurs à partir des sauvegardes
Ces différentes étapes doivent être effectuées une par une et sous la supervision des équipes technique.
Suites
6Rapport d’incident
Un rapport d’incident devrait être écrit et mis à disposition de toutes les parties intéressées.
Les points suivants devraient être abordés :
- Détection initiale.
- Actions et chronologies.
- Ce qui s’est bien passé.
- Ce qui s’est mal passé.
- Coût de l’incident.
Capitaliser
Capitaliser en identifiant les actions nécessaire pour améliorer les processus de détection des logiciels malveillants et des intrusions réseau.