Comment gérer un problème de “Wanna Cry“ ransomware dans Office 365

Comment gérer un problème de “Wanna Cry“ ransomware dans Office 365

Qu'est-ce que le Ransomware?

Le Ransomware est un type de malware ou de virus qui empêche l'accès des utilisateurs aux périphériques, fichiers ou applications, ce qui oblige la victime à payer une rançon (argent ou information) pour retrouver son accès. Le ransomware que nous voyons le plus souvent crypte les fichiers de l'utilisateur (par exemple: Crowti, Tescrypt et Locky) et demande ensuite à l'utilisateur de payer une rançon dans les bitcoins (ou méthode de paiement similaire). Si vous souhaitez en savoir plus sur le ransomware en général, consultez les articles et les articles de blog répertoriés dans la section références à la fin de cette publication.

Comment puis-je protéger mes utilisateurs de Ransomware?

Office 365 dispose de plusieurs protections intégrées contre les logiciels malveillants qui sont activés par défaut, mais nous voyons toujours que les clients sont affectés par des menaces de ransomware. Il y a plusieurs raisons pour lesquelles cela pourrait se produire. Par exemple, lorsque les utilisateurs visitent un site Web infecté par ransomware ou ouvrent une pièce jointe de courrier électronique infectée par ransomware à partir de leurs comptes de courrier électronique personnels ou d'entreprise. Certaines pièces jointes possibles pourraient être :

  • Exécutables (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, Msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif, etc.)
  • Fichiers Office prenant en charge les macros (doc, xls, docm, xlsm, pptm, etc.)

 

Voici quelques recommandations pour protéger vos utilisateurs contre cette menace :

Fournir une sensibilisation et une éducation en matière de sécurité

Fournir une sensibilisation à la sécurité et l'éducation à vos utilisateurs est une bonne pratique et peut être utilisé comme un mécanisme de prévention efficace. Si les utilisateurs sont en mesure d'identifier les menaces de sécurité telles que le ransomware, ils seront moins sensibles à la menace. En outre, éduquer les utilisateurs sur la façon de réagir dans un incident de sécurité ou si leur appareil a été infecté par un système de ransomware rendra le processus de récupération moins pénible et réduira au minimum le risque de propagation de l'infection.

Gardez les solutions antivirus / antimalware en cours d'exécution et à jour

L'installation d'une solution antivirus comme Windows Defender et la mise à jour empêchera de nombreuses instances de ransomware et de logiciels malveillants affectant votre organisation. Windows Defender et Microsoft Security Essentials aideront à protéger vos utilisateurs et élimineront de manière proactive de nombreuses attaques de ransomware connues telles que Crowti, Tescrypt, Nymaim, Troldesh, Reveton, etc.

Activer la protection basée sur le cloud, Microsoft Active Protection Service (MAPS)

Microsoft Active Protection Service (MAPS) est un service basé sur le cloud qui fournira une plus grande protection contre les logiciels malveillants grâce aux décisions de blocage des logiciels malveillants livrés par le cloud et tirera parti des dernières techniques de détection de l'écosystème offertes par le cloud. Pour en savoir plus sur MAPS et comment l'activer, consultez la publication "MAPS in the cloud: Comment peut-elle aider votre entreprise?".

Sauvegardez régulièrement vos fichiers

Comme recommandé par le Microsoft Malware Protection Center (MMPC) dans leur "sauvegarde de la meilleure défense contre les fichiers bloqués (Cri)", vous devez sauvegarder régulièrement vos fichiers en activant System Restore, en utilisant des méthodes de synchronisation manuelle ou même en déplaçant manuellement vos fichiers vers un lecteur séparé. Nous recommandons que vos sauvegardes soient conservées dans un stockage externe, non mappé ou non synchronisé.

Utilisez OneDrive pour les entreprises

OneDrive pour les Entreprises peut être utilisé comme mécanisme de protection contre le ransomware. Si votre organisation utilise OneDrive pour les Entreprises, OneDrive vous permettra de récupérer les fichiers stockés dans celle-ci. Plus d'infos dans la section "Récupérer vos fichiers dans votre OneDrive for Business" ci-dessous.

Méfiez-vous des e-mails de phishing et des pièces jointes malveillantes

Soyez prudent lorsque vous ouvrez des courriels et que vous recherchez des indicateurs de phishing, surtout s'ils contiennent une pièce jointe qui peut être utilisée comme ransomware (exe, js, vbs et ps ou types de documents Office prenant en charge les macros .doc, .xls ou .xlm). Pour plus de détails sur les courriels d'hameçonnage et sur la façon de les atténuer, veuillez consulter la précédente publication sur "Comment examiner et atténuer l'impact des attaques de phishing dans Office 365".

Gardez Windows et les logiciels installés à jour

Vous devez utiliser les dernières versions de votre système d'exploitation et de votre logiciel installé (navigateur Internet, client de messagerie, etc.). La dernière version de Windows et d'autres logiciels fonctionnant dans votre ordinateur prennent en charge les nouvelles fonctionnalités et fonctionnalités qui vous aideront à prévenir les menaces de sécurité. Par exemple, Windows 10 inclut déjà des protections par défaut contre ransomware, comme Windows Defender avec MAPS (Cloud-based Protection). Un autre exemple est que les dernières versions des navigateurs Web de Microsoft permettront à SmartScreen d'empêcher vos utilisateurs de visiter des sites malveillants connus ou de télécharger des fichiers malveillants connus. Il est essentiel que le logiciel utilise par vos utilisateurs (navigateurs, Java, Flash, etc.) soit mis à jour. Les mises à jour et les correctifs corrigent les vulnérabilités de sécurité connues et ajoutent de nouvelles fonctionnalités de sécurité réseau.

Activer l'historique des fichiers ou la protection du système

Si vous êtes infecté par ransomware, vous devez vous assurer que vous pouvez récupérer les fichiers en utilisant l'historique des fichiers comme décrit à l'étape 4 ci-dessous. Pour pouvoir récupérer la version précédente de vos fichiers dans vos appareils Windows 10 ou Windows 8.1, vous devez avoir activé votre historique de fichiers et vous devez configurer un lecteur pour l'historique des fichiers. Si vous utilisez Windows 7 ou Windows Vista, la fonctionnalité s'appelle la protection du système. Notez que certains systèmes de ransomware crypteront ou supprimeront les versions de sauvegarde qui ne feront pas de cette solution une solution viable.

Utilisez les règles de transport Exchange pour protéger les utilisateurs contre les courriels avec des pièces jointes vulnérables à Ransomware

Une attaque de ransomware commune permet d'utiliser des macros ou des exécutables dans des pièces jointes pour infecter les périphériques de leurs victimes. Les règles de transport Exchange peuvent être utilisées pour protéger vos utilisateurs par :

  1. Avertissement des utilisateurs sur le risque de macros si elles reçoivent des fichiers joints avec des extensions de fichiers compatibles avec les macros.
  2. Suivi des utilisateurs qui ont reçu une extension de fichier prenant en charge les macros.
  3. Blocage du courrier qui permet aux utilisateurs d'exécuter des macros (en particulier des extensions de fichiers hérités comme .doc) ou des exécutables.

 

En outre, vous pouvez désactiver les macros dans les documents Office pour prévenir les infections dans vos appareils. Pour savoir comment mettre en œuvre les mesures d'atténuation mentionnées ci-dessus, regardez la section pratique à la fin de cette publication.

Comment puis-je corriger une attaque de ransomware?

La plupart des attaques de ransomware sont assez sophistiquées et les utilisateurs peuvent encore en être victimes indépendamment des mesures de protection. Si vous ou quelqu'un de votre organisation est victime d'une attaque de ransomware, n'oubliez pas qu'il n'y a aucune garantie que la remise de la rançon vous permette d'accéder à vos fichiers et que de payer la rançon peut également vous définir comme une cible de plus de logiciels malveillants. Lorsqu'il s'agit de ransomware, réagir en temps opportun est essentiel. Vous devez agir le plus tôt possible et ne pas attendre pour résoudre le problème. Si vous attendez plus de deux semaines, votre capacité à corriger efficacement le problème est considérablement réduite. Les étapes ci-dessous incluent des instructions qui supposent que vous utilisiez Office 365 et OneDrive pour Entreprises. Si vous n'êtes pas un abonné, les étapes locales de restauration de fichier peuvent être utiles.

Étape 1 : Assurez-vous d'avoir une sauvegarde de vos fichiers
Nous ne pouvons garantir que vous pourrez récupérer vos données. Assurez-vous que vous avez une sauvegarde comme nous l'avons déjà mentionné dans la section "Configurez régulièrement vos fichiers" de cette publication sur le blog.

Étape 2 : Désactiver ActiveSync & OneDrive Sync
Désactivez Active Sync et mettez en pause la synchronisation de OneDrive pour Entreprise. Si vous les avez activés, il est possible qu'ils écrasent vos fichiers.

ActiveSync est le service qui permet à votre courrier électronique dans Exchange Online de se synchroniser avec Office 365. Si vous pensez que vos données par courrier électronique pourraient être ciblées par Ransomware, vous devez désactiver temporairement ActiveSync pour protéger les données sur le cloud. Pour désactiver ActiveSync, vous pouvez exécuter le script suivant dans PowerShell :

OneDrive Sync est le service qui synchronise les données de document avec OneDrive pour Entreprise. La désactivation de Sync sur le service protégera vos données cloud quant à la mise à jour à partir d'autres périphériques potentiellement infectés. Si vous savez qu'il n'y a qu'un seul périphérique touché, vous pouvez utiliser la fonction "Pause Synchronisation" intégrée au client local.

Étape 3 : Supprimez le logiciel malveillant des périphériques concernés
Exécutez une analyse complète avec votre antivirus et supprimez le ransomware (logiciels malveillants) de tous les périphériques que vous soupçonnez d'être touchés. Cela peut inclure tous les périphériques avec lesquels vous synchronisez du contenu ou avez des lecteurs mappés. Si vous ne disposez pas d'une solution antivirus ou que votre solution n'est pas capable de la détecter, utilisez Windows Defender ou Microsoft Security Essentials. Une autre alternative qui vous aidera à supprimer le ransomware ou les logiciels malveillants est l'outil de suppression de logiciel malveillant (MSRT). Dans le cas où aucune de ces solutions n'est suffisante, vous pouvez exécuter Windows Defender en mode hors connexion ou suivre les instructions de dépannage avancées.

Étape 4 : récupérez les fichiers dans votre appareil
Après avoir terminé l'étape précédente, essayez de récupérer vos fichiers afin d'éviter le cryptage ou la suppression de votre fichier Ransomware. Si vous avez précédemment tourné l'historique des fichiers sur les appareils Windows 10 et Windows 8.1 ou la Protection du système dans les périphériques Windows 7 et Windows Vista, vous pouvez (dans certains cas) récupérer vos fichiers et dossiers locaux.

Pour restaurer vos fichiers ou dossiers dans Windows 10 et Windows 8.1 :

  • Faites glisser le curseur à partir du bord droit de l'écran, appuyez sur Rechercher (ou si vous utilisez une souris, pointez vers le coin supérieur droit de l'écran, déplacez le pointeur de la souris vers le bas, puis cliquez sur Rechercher). Entrez "restaurer vos fichiers" dans la zone de recherche, puis appuyez sur ou cliquez sur Restaurer vos fichiers avec l'historique des fichiers.
  • Entrez le nom du fichier que vous recherchez dans la zone de recherche ou utilisez les flèches gauche et droite pour parcourir différentes versions de vos dossiers et fichiers.
  • Sélectionnez ce que vous souhaitez restaurer à son emplacement d'origine, puis appuyez sur ou cliquez sur le bouton Restaurer. Si vous souhaitez restaurer vos fichiers dans un emplacement différent de l'original, appuyez et maintenez enfoncé ou cliquez avec le bouton droit de la souris sur Restaurer, appuyez sur ou cliquez sur Restaurer, puis choisissez un nouvel emplacement.

Source: Restaurer des fichiers ou des dossiers à l'aide de l'historique des fichiers

Pour restaurer vos fichiers sous Windows 7 et Windows Vista

  • Cliquez avec le bouton droit sur le fichier ou le dossier, puis cliquez sur Restaurer les versions précédentes. Vous verrez une liste des versions précédentes disponibles du fichier ou du dossier. La liste comprendra les fichiers sauvegardés sur une sauvegarde (si vous utilisez Windows Backup pour sauvegarder vos fichiers) ainsi que des points de restauration. Remarque : pour restaurer une version précédente d'un fichier ou d'un dossier inclus dans une bibliothèque, cliquez avec le bouton droit de la souris sur le fichier ou le dossier dans l'emplacement où il est enregistré, plutôt que dans la bibliothèque. Par exemple, pour restaurer une version précédente d'une image incluse dans la bibliothèque Images, mais stockée dans le dossier Mes images, cliquez avec le bouton droit sur le dossier Mes images, puis cliquez sur Restaurer les versions précédentes. Pour plus d'informations sur les bibliothèques, voir Inclure les dossiers dans une bibliothèque.
  • Avant de restaurer une version précédente d'un fichier ou d'un dossier, sélectionnez la version précédente, puis cliquez sur Ouvrir pour l'afficher pour vous assurer que c'est la version souhaitée. Remarque : Vous ne pouvez pas ouvrir ou copier des versions précédentes de fichiers créés par Windows Backup, mais vous pouvez les restaurer.
  • Pour restaurer une version précédente, sélectionnez la version précédente, puis cliquez sur Restaurer.
    Attention : le fichier ou le dossier remplacera la version actuelle sur votre ordinateur et le remplacement ne pourra pas être annulé. Remarque : si le bouton Restaurer n'est pas disponible, vous ne pouvez pas restaurer une version précédente du fichier ou du dossier dans son emplacement d'origine. Cependant, vous pourriez l'ouvrir ou l'enregistrer dans un autre emplacement.

 

Source: versions antérieures de fichiers: questions fréquemment posées

Important : Certains systèmes de ransomware crypteront ou supprimeront les versions de sauvegarde et ne vous permettront pas de faire les actions décrites précédemment. Si tel est le cas, vous devez compter sur des sauvegardes dans des lecteurs externes (non affectés par le ransomware) ou OneDrive (étape suivante).

Avertissement : si le dossier est synchronisé avec OneDrive et que vous n'utilisez pas la dernière version de Windows, il peut y avoir certaines limitations à l'aide de l'historique des fichiers.

Étape 5 : récupérez vos fichiers dans votre OneDrive for Business
OneDrive pour Entreprises vous permettra de récupérer tous les fichiers que vous avez stockés. Voici les deux options que vous pouvez utiliser pour faire cela.

Restauration des fichiers à l'aide du portail

Les utilisateurs peuvent restaurer la version précédente du fichier via l'interface utilisateur. Pour ce faire, vous pouvez :

  1. Allez à OneDrive for Business dans le portail office.com
  2. Cliquez avec le bouton droit sur le fichier que vous souhaitez récupérer et sélectionnez Historique des versions.

  3. Cliquez sur la liste déroulante de la version que vous souhaitez récupérer et sélectionnez la restauration

Si vous souhaitez en savoir plus sur cette fonctionnalité, consultez la section Restaurer une version précédente d'un document dans OneDrive pour Entreprises.

Demande de service de restauration de la collection de sites

Si un grand nombre de fichiers a été impacté, l'utilisation de l'interface utilisateur dans le portail ne sera pas une option viable. Dans ce cas, créez une demande de support pour une «Restauration de la collection de sites». Cette demande peut restaurer jusqu'à 14 jours dans le passé. Pour en savoir plus, consultez l'option Restaurer dans la publication du blog SharePoint Online.
Étape 6 : récupérer les éléments supprimés du serveur

Dans le cas rare où le ransomware a supprimé tous vos courriels, vous pouvez les récupérer à partir du serveur à l'aide de la fonctionnalité 'Récupérer des éléments supprimés du serveur' dans Outlook :

  1. Accédez aux dossiers des éléments supprimés.
  2. Cliquez sur le bouton Récupérer les éléments supprimés du serveur :
  3. Sélectionnez les éléments que vous souhaitez récupérer. Dans le cas où vous souhaitez récupérer tout, sélectionnez le bouton "Sélectionner tout", assurez-vous que le bouton radio Restore Selected Items est sélectionné, puis cliquez sur OK.

Si vous souhaitez en savoir plus sur cette fonctionnalité, consultez l'article "Récupérer les éléments supprimés dans Outlook pour Windows".

Étape 7 : réactivez la synchronisation active et OneDrive pour Entreprise
Maintenant que vous avez déjà nettoyé vos appareils et récupéré vos fichiers, vous pouvez activer la synchronisation active.

Et vous pouvez réactiver votre synchronisation OneDrive pour Entreprise en inversant le processus identifié ici : Vidéo: Arrêtez ou suspendez les bibliothèques de synchronisation avec OneDrive pour Entreprise
Étape 8 (facultatif) : synchronisation de blocs pour les extensions de fichiers malveillants dans l'avenir
Maintenant que vous avez complètement récupéré, vous pouvez empêcher votre client local OneDrive for Business de synchroniser les fichiers concernés par ce malware à l'avenir en bloquant le type de fichier Ransomware lors de la synchronisation avec votre service cloud.

Et si j'ai déjà payé?

Si vous avez déjà payé, et que vous avez réussi à récupérer vos fichiers sans avoir à utiliser la résolution de l'attaquant, vous devez appeler votre banque pour savoir s'ils peuvent bloquer la transaction. Nous vous recommandons également de signaler l'attaque de ransomware aux sites Web de l'application de la loi, de l'évaluation des fraudes et de Microsoft.

Signaler l'attaque

 

Contacter les organismes chargés de faire respecter la loi
Vous devriez contacter vos organismes d'application de la loi locaux ou fédéraux. Par exemple, si vous êtes aux États-Unis, vous pouvez contacter le bureau local du FBI, IC3 ou les Services Secrets.

Soumettre un rapport de fraude sur le site Web de déclaration de votre pays
Les sites Web de déclaration frauduleuse fournissent des informations sur la façon de prévenir et d'éviter les escroqueries. Ils fournissent également des dispositifs pour signaler si vous étiez victime d'arnaque. Voici quelques-uns d'entre eux :

 

Soumettre un rapport à Microsoft

Vous pouvez aider Microsoft à signaler tout courrier électronique de phishing contenant ransomware en envoyant un courrier électronique à «phish@office365.microsoft.com» ou à la suite de l'article «Soumettre des courriers indésirables, non-spam et fraudes de phishing à Microsoft pour analyse».

Références:

Comment utiliser les règles de transport Exchange pour suivre ou bloquer les courriels avec des extensions de fichier utilisées par ransomware

  • Accédez au portail d'administration

  • Aller à Admin / Exchange

  • Créez une nouvelle règle en cliquant sur "+", Créer une nouvelle règle ...

  • Entrez le nom de la règle (par exemple, "Règle Anti-Ransomware") et cliquez sur d'autres options.

  • Modifier Appliquer cette règle si ... Toute extension de fichier Attachment ... inclut ces mots ...

  • Entrez les extensions de fichier que vous souhaitez suivre en cliquant sur l'icône "+", puis cliquez sur OK. Vous devriez considérer:

    • Exécutables (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, Msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif, etc.)

    • Fichiers Office prenant en charge les macros (doc, xls, docm, xlsm, pptm, etc.)

  • Faites ce qui suit:

    • Suivre les courriels : générer un rapport d'incident et l'envoyer à ... Votre compte ... Contenu personnalisé: Sélectionnez tous.

    • Avertir les utilisateurs : Ajouter une action, ajouter la clause de non-responsabilité (par exemple: "N'ouvrez pas ce type de documents de personnes que vous ne connaissez pas, car elles peuvent contenir des macros qui permettront d'exécuter un code malveillant dans votre machine. Merci.") Et Sélectionnez une action de repli (par exemple, Wrap)

    • Bloquer les messages : Ajouter une action, Bloquer le message ... Utilisez cette option uniquement si vous êtes certain que votre organisation n'utilise pas ce type de fichiers.

       

  • Gardez à l'esprit que vous pouvez créer de multiples règles. Par exemple, vous pouvez créer une règle de blocage pour les exécutables et une règle distincte pour suivre et alerter les utilisateurs sur les documents Office prenant en charge les macros.

Comment désactiver les macros dans vos PC

Pour savoir comment désactiver les macros dans vos appareils, regardez "Nouvelle fonctionnalité dans Office 2016 peut bloquer les macros et aider à prévenir l'infection" ou "Activer ou désactiver les macros dans les documents Office".

 

 

CONTACTEZ-NOUS MAINTENANT AU 514-316-8896 #2 OU ENVOYEZ-NOUS UN MESSAGE


  • This field is for validation purposes and should be left unchanged.