Alerte aux rançongiciels (suite)

PRÉAMBULE

D’entrée de jeu, je ne prétends pas être un expert en informatique. S’il y a des correctifs ou des points d’information à apporter à cet article, j’espère que les experts de notre clan se feront un devoir de me corriger.

ATTAQUE PAR RANÇONGICIEL

Jeudi 5 septembre 2019, le système informatique notre entreprise a été victime d’un cryptovirus. Toutes nos fichiers Excel, Word, PDF, JPEG ont été cryptés.

Il s’agit d’un rançongiciel, ransomware, malware, appelez-le comme vous le voulez. Dans les faits, pour obtenir la clé de décryptage, il nous aurait fallu verser une rançon équivalente à 1 500 $US et ce en bitcoins avant 7 jours, sinon l’extorsion grimpait à 3 000 $US.

Comment cela a-t-il pu se produire?

Simple, quelqu’un à ouvert un courriel infecté. Avant de brûler celui-ci ou celle-ci au bûcher de l’inquisition entrepreneurial, il faut voir la qualité de ces courriels. Ils sont très bien faits, une copie parfaite de courriel que vous recevez quotidiennement.

Pourquoi nous?

Parce que Dieu nous hait? Selon moi, Dieu a d’autres choses à faire que de nous haïr. Nous avons été attaqués parce que nous avons les moyens de payer une rançon et que nous pensions comme vous : « Cela n’arrive qu’aux autres! »

Vaniteux et vulnérable

  1. Pour sauver un peu de monnaie, nous n’avions pas acheté un antivirus professionnel. Bitdefender de Windows 10 est gratuit, pourquoi payer?
  2. Nous avions deux firmes de TI se partageant notre sécurité.
  3. De mauvais réglages de sécurité sur Windows 10 nous exposaient, flanc ouvert, à une attaque.
  4. Les mises à jour de programmes remontaient au moment où les néandertaliens ont disparus.
  5. La Loi de Murphy pour l’informatique « S’il y a une chance que cela arrive, cela va arriver. »

Cela me fait penser à une judicieuse remarque faite, par un de nos directeurs, au sujet de la maintenance préventive en mécanique de bâtiment : « Je ne vois pas pourquoi nous continuerions à payer pour de la maintenance préventive puisque, dans les faits, rien ne brise. »

Sauvegarde

Heureusement, il y avait dans notre entreprise une personne paranoïaque qui insistait pour qu’il y ait une sauvegarde quotidienne de notre réseau. Que de bons moments nous avons passés à rire d’elle. Nous rions moins présentement. Mais comme nous sommes, nous aussi, une entreprise non-apprenante, je suis certain que ce bon temps va revenir très rapidement.

L’intrus identifié

Avec l’aide appréciée des sites NoRansom, NoMoreRansom et ID Ransomware nous avons été en mesure d’identifier l’intrus. Il s’agit du rançongiciel baptisé Sodin, également identifié sous les noms de Sodinokibi et REvil. Celui-ci a été découvert en avril 2019 par la société de sécurité Kaspersky. Il n’existe présentement aucune clé de déchiffrement, mais ces sociétés travaillent très fort pour en produire une.

Pourquoi nous n’avons pas payé

  1. Nous avions une sauvegarde récente (backup).
  2. En payant cette rançon nous aurions encouragé le syndicat des rançonneurs et financé leurs activités en matière de recherche et de développement.
  3. Nos recherches auprès d’entreprises québécoises ayant été infectées par REvil, nous a appris que même si la rançon est payée, les pourris ne remettent pas la clé de déchiffrement et que même dans un cas, quelques jours plus tard, les données avaient été de nouveau cryptées et une seconde rançon avait été demandée.
  4. Le processus d’acquisition des bitcoins n’est pas simple.
  5. Nous sommes un clan guerrier.

Vous rêvez de vivres ces moments exaltants

Suivez ces conseils:

  • Ouvre les pièces jointes de messages de sources inconnues, surtout les fichiers .zip.
  • N’installez jamais de logiciel antivirus professionnel à jour et activé.
  • Ne lancez pas régulièrement la fonction analyse de votre antivirus dans le but de déceler et supprimer les logiciels malveillants.
  • Ne gardez pas votre système d’exploitation et vos logiciels à jour.
  • Surtout, ne faites pas régulièrement de copie de sauvegarde de vos fichiers importants.

Post mortem

<

p style=”text-align: justify;”>Malgré le fait que nous avions une copie de sauvegarde, ce moment de vie nous aura coûté en perte de productivité, temps supplémentaire, désinfection informatique, réinstallation et acquisition de matériel de fine pointe ± 12 000 $CD pour six ordinateurs infectés et un serveur NAS infectés.

Des questions ? Des suggestions?