Support de webinar sur les cryptovirus Locky et Petya et comment protéger vos données. Mesures préventives, curatives et importance de la sauvegarde de données.
2. Protégez vos données et celles de vos clients du crypto virus locky
Sommaire
• Locky, carte d'identité d'un cryptovirus.
• Les mesures préventives de base : que faire ?
• La sauvegarde de données, l'outil
indispensable à la reprise d'activité en cas
d'infection avérée.
• Et Petya ?
3. Protégez vos données et celles de vos clients du crypto virus locky
Locky, carte d'identité d'un cryptovirus
4. Protégez vos données et celles de vos clients du crypto virus locky
Qu’est ce qu’un cryptovirus ?
• Définition :
– Les cryptovirus ou Ransomware sont des
programmes (Trojan) encryptant les données
personnelles des utilisateurs.
– Pour récupérer ses fichiers décryptés, une rançon
est demandée par les cybercriminels qui envoient
alors une clé de déchiffrement (éventuellement).
5. Protégez vos données et celles de vos clients du crypto virus locky
Historique
• Depuis quand existent-ils ?
– Premières infections de ce type détectées en 2000
• Une grande famille
– Famille Gendarmerie
– Cryptolocker
– Crypto Locker (ou CryptoLocker)
– CryptoLocker Copycat (toutes les imitations de CryptoLocker)
– SynoLocker (version attaquant les NAS de la marque Synology sous DSM 4.3 (1)
– PrisonLocker
– PowerLocker
– CTB Locker (Curve-Tor-Bitcoin Locker ou Critroni) : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les
smartphones.
– Locker
– CryptorBit
– TorrentLocker
– CryptoWall
– CryptoDefense
– Gameover Zeus
– KeyBTC
– Koler : un ransomware Android (prétend avoir crypté les fichiers mais, en réalité, ils ne le sont pas)
– OphionLocker : elliptic curve cryptography (cryptographie à courbe elliptique), plus rapide que RSA 2048 sur des petites unités comme les smartphones.
– TeslaCrypt
– Alpha Crypt
– Rector (décriffrement possible sans payer la rançon)
– Xorast (décriffrement possible sans payer la rançon)
– Hanar (décriffrement possible sans payer la rançon)
6. Protégez vos données et celles de vos clients du crypto virus locky
Qui est à l’origine des cryptovirus?
• L’administrateur principal
serait Evgeniy Mikhailovich
Bogachev (sources FBI)
• Autres identités : «
lucky12345 », « Monstr », «
Slavik », « Pollingsoon »
• Administrateur du botnet
Gameover
• Revenu estimé de 100 M$
• Recherché par les autorités
(récompense de 3 millions de
dollars).
Source : Korben.info
7. Protégez vos données et celles de vos clients du crypto virus locky
Propagation des cryptovirus
8. Protégez vos données et celles de vos clients du crypto virus locky
Fonctionnement d’un cryptovirus
• Comment entre-t-il sur votre machine ?
Infection via mail essentiellement
– pièce jointe Microsoft Office (avec macro)
– fichiers zip
9. Protégez vos données et celles de vos clients du crypto virus locky
Infection
• La macro exécutée télécharge le crypto
programme à proprement parler (la charge).
10. Protégez vos données et celles de vos clients du crypto virus locky
Infection
• Installation du programme en démarrage
automatique.
• Masquage du programme.
• Les charges sont très variées (plusieurs
centaines de signatures différentes).
• Programmation furtive contre les analyseurs
heuristiques.
11. Protégez vos données et celles de vos clients du crypto virus locky
Infection
• Actif uniquement sur windows.
• Nécessite la collaboration de l’occupant de la
chaise.
• Possible utilisation d’autres failles de sécurités.
12. Protégez vos données et celles de vos clients du crypto virus locky
Charge explosive
• Comment infecte-t-il la machine ?
– Création d’une clé de chiffrement par un serveur
externe.
– Chiffrement des fichiers de données (doc, xls, jpg,
pdf,…)
13. Protégez vos données et celles de vos clients du crypto virus locky
Actions de locky
• Cryptage de tous les fichiers et renommage en
.locky
• Recherche de cibles sur tous les disques
accessibles (externe, montage réseau, disque
de sauvegarde)
• Suppression des snapshots VSS
• Cryptage AES 128 bits avec une clef propre à
votre machine.
14. Protégez vos données et celles de vos clients du crypto virus locky
Actions de locky
• Nouveau fond d’écran
• Fichier d’information texte dans chaque
dossier
15. Protégez vos données et celles de vos clients du crypto virus locky
Infection
• Rançon entre 0.5
et 1 BTC (200 à 400 €)
• Utilisation de
TOR obligatoire
• NE PAYEZ PAS
16. Protégez vos données et celles de vos clients du crypto virus locky
Que faire en cas d’infection locky
• Isoler immédiatement la machine du réseau.
• Arrêter la machine.
• En cas d’infection sur les disques réseaux,
repérer la machine source.
17. Protégez vos données et celles de vos clients du crypto virus locky
Les mesures préventives de base
• FORMER les utilisateurs
• Sauvegarder
• Antivirus
• Sauvegarder
• Limiter les droits sur les
dossiers partagés.
18. Protégez vos données et celles de vos clients du crypto virus locky
• Protégez la messagerie
• Sauvegarde avec historiques
• Désactiver les macros
• Et surtout des sauvegardes isolées
• Vaccination contre LOCKY
– https://www.lexsi.com/securityhub/comment-
creer-un-vaccin-contre-le-ransomware-locky/
– Ne marchera sur aucune des variantes à venir.
Les mesures préventives de base
Source : Korben.info
19. Protégez vos données et celles de vos clients du crypto virus locky
Les mesures curatives dont la sauvegarde de données
20. Protégez vos données et celles de vos clients du crypto virus locky
Restaurer vos données
• Réinstaller la machine infectée.
• Restaurer tous les fichiers cryptés.
21. Protégez vos données et celles de vos clients du crypto virus locky
Et Petya ?
• Chiffrage non plus des fichiers mais de la MFT
(table de fichiers principale)
• Remplacement du fichier de boot par un
programme Petya qui demande ensuite le
paiement d’une rançon
22. Protégez vos données et celles de vos clients du crypto virus locky
Peyta – le mode de fonctionnement
• Inclus dans des mails de recherche d’emploi en
allemand sous forme d’un lien dropbox
• Le clic sur le lien lance le téléchargement de
l’exécutable pirate et lance le programme
23. Protégez vos données et celles de vos clients du crypto virus locky
Peyta – le mode de fonctionnement
• L’exécutable écrase alors les fichiers de boots
et provoque un écran bleu
• Un faux check disk est lancé mais ce n’est pas
la réparation du disque qui est en cours, c’est
son chiffrement…
24. Protégez vos données et celles de vos clients du crypto virus locky
Petya – la demande de rançon
• Une fois le chiffrement du disque terminé, un
écran rouge s’affiche avec la demande de
rançon
25. Protégez vos données et celles de vos clients du crypto virus locky
Comment se prémunir de Petya ?
• Actions en cours chez Dropbox
• Attention à tout ce que vous téléchargez
• Sauvegardez tous vos fichiers
quotidiennement
• Seule solution une fois infecté : réinstaller le
système, réinstaller les softs et restaurer vos
fichiers
26. Protégez vos données et celles de vos clients du crypto virus locky
Zoom sur Kiwi Backup
Les octets
modifiés Stockage des
incréments pour
créer l’historique
Modif 3 321Modif 2Modif 1
Chez Kiwi backup, le volume pris en
considération est le volume mesurable sur le
poste de votre client et non le volume utilisé sur
nos serveurs.
1 Go
1 Go
Schémanoncontractuel
…
90
27. Protégez vos données et celles de vos clients du crypto virus locky
La déduplication à la source
Un même fichier n’est
stocké qu’une fois pour
toute l’entreprise,
même s’il est
renommé !
Serveurs
kiwi
Schémanoncontractuel
28. Protégez vos données et celles de vos clients du crypto virus locky
Paramétrage des dossiers
à sauvegarder sur chaque
poste client*
L’interface utilisateur personnalisable :
paramétrage par poste
* incluant la sauvegarde des sites distants et des postes nomades
29. Protégez vos données et celles de vos clients du crypto virus locky
L’interface utilisateur personnalisable :
restauration par poste
30. Protégez vos données et celles de vos clients du crypto virus locky
Mail de réussite/échec de sauvegarde
39. Le kit marque blanche
Dans votre espace de gestion, vous pourrez créer votre propre kit
de façon interactive et très didactique.
Présentation des interfaces
42. Mail de synthèse des sauvegardes
Activation par nos soins sur l’interface d’administration générale.
Présentation des interfaces
43. Protégez vos données et celles de vos clients du crypto virus locky
Contact
03 89 333 888
stephanie@kiwi-backup.com
www.kiwi-backup.com
https://www.facebook.com/kiwibackup