Découvrir dans son journal local que le Béarn (la république des Pyrénées) est victime d’une attaque d’un virus russe m’a fait beaucoup rire sur le coup!
Je ne pense pas que notre belle région soit la cible particulière des pirates russes auteur de ce virus, par contre je suis toujours surpris de voir que les vieilles recettes fonctionnent toujours autant.
TeslaCrypt fait parti de cette famille de virus qui vise à vous rançonner en cryptant vos fichiers.
Selon le CERT-FR (alerte CERTFR-2015-ALE-015-002), le virus arrive (comme souvent) via la messagerie et une piece jointe infectée chargée de télécharger le code malveillant.
Je ne vais pas rappeler la nécessité d’avoir un antivirus à jour et en fonctionnement ni faire les mises à jour systèmes régulièrement (avec Windows 10, il est plus difficile de maitriser ce point puisque tout ce fait tout seul).
Ce virus met en évidence la nécessité de disposer de sauvegarde de ces fichiers et de brider les privilèges des utilisateurs des postes de travail. Le simple fait de maintenir l’UAC actif permet au moins de voir un comportement anormal lors de l’ouverture de la pièce jointe.
En cas d’infection, il est bien sûr préférable de ne pas payer les pirates. Si les ransomwares existent c’est iniquement parce qu’ils sont rentables. Donc il ne faut jamais payer!
En termes de solution, je complète celle du CERT-FR en disant que le mieux (le plus efficace et le plus viable) est la réinstallation complète du poste et la restauration des sauvegardes. Ce sera une excellente occasion de tester son PRA.
Bien sur, on peut trouver des « décrypteurs » sur le Net mais je vous engage à la prudence. Rien qu’avec une recherche Google, on voit bien qu’il faut se méfier:
Vous pouvez regarder ce que propose Cisco sur son blog mais à vos risques et périls: un système compris puis « nettoyé » n’est plus jamais vraiment stable.