Contacter directement notre équipe de support

CryptoWall : comment s'en protéger ?

CryptoWall est une forme de ransomware qui emploie les mêmes mécanismes de cryptage et de chantage qu'une menace antérieure nommée CryptoLocker.

Les fichiers locaux sont cryptés à l'aide d'une paire de clés RSA 2048 bits générée de façon aléatoire associée à l'ordinateur infecté. Lorsque la clé publique est copiée sur l'ordinateur infecté, la clé privée peut uniquement être obtenue en l'achetant dans le temps imparti. Si aucun paiement n'est effectué, l'on menace de supprimer la clé privée, ce qui ne laisse aucune possibilité de décryptage pour récupérer les fichiers verrouillés.

L'un des vecteurs d'infection les plus courants exploite les attaques drive-by via des publicités infectées sur des sites web légitimes ainsi que via des applications téléchargées infectées.

L'infection de CryptoWall peut être limitée et parfois évitée en adoptant les meilleures pratiques suivantes :

  • Utiliser une solution antivirus constamment actualisée et capable d'effectuer une analyse active
  • Prévoir des sauvegardes de fichier (localement ou dans le cloud) afin de pouvoir récupérer des données en cas d'altération.
  • Suivez les pratiques d'utilisation sécurisée d'Internet : ne consultez pas de sites web douteux, ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes d'e-mails d'origine incertaine. Enfin, n'indiquez pas d'informations permettant de vous identifier sur des forums ou des salles de chat publiques
  • Mettre en place / activer des fonctions de blocage des publicités et des filtres antispam
  • Virtualisez ou désactivez complètement Flash, utilisé à maintes reprises comme vecteur d'infection
  • Former les employés afin qu'ils identifient les tentatives d'ingénierie sociale et les e-mails de spear phishing
  • Appliquer des stratégies de restriction logicielle. Les administrateurs système doivent appliquer les objets de stratégie de groupe dans le registre pour bloquer les exécutables d'emplacements spécifiques. Cela est possible uniquement avec une édition Windows Professionnel ou Windows Server. L'option Stratégies de restriction logicielle se trouve dans l'éditeur de stratégie de sécurité local. Après avoir cliqué sur le bouton Nouvelles stratégies de restriction logicielles sous Règles supplémentaires, les Règles de chemins d'accès suivantes devraient être utilisées avec le Niveau de sécurité non autorisé :

      - "%username%\\Appdata\\Roaming\\*.exe"
      - "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
      - C:\\\*.exe
      - "%temp%\\*.exe"
      - "%userprofile%\\Start Menu\\Programs\\Startup\\*.exe”
      - "%userprofile%\\*.exe”
      - "%username%\\Appdata\\*.exe”
      - "%username%\\Appdata\\Local\\*.exe”
      - "%username%\\Application Data\\*.exe”
      - "%username%\\Application Data\\Microsoft\\*.exe”
      - "%username%\\Local Settings\\Application Data\\*.exe”

Vous ne trouvez pas une solution à votre problème? Envoyez-nous un courriel et nous allons répondre à votre question dès que possible.

Evaluez cet article :

Valider