Attention au nouveau cryptolocker ODIN !

Nouvelle vague de Cryptolocker / Ransomware depuis quelques jours.

Une nouvelle variante de Locky vient de faire son apparition et ajoute l’extension .ODIN. Tout comme son prédécesseur, il s’agit d’un script dissimulé dans la pièce jointe d’un e-mail. Ce script télécharge, dans le cas de cette variante, un fichier DLL chiffré, le déchiffre et l’exécute en utilisant un programme de prime abord de confiance, le Rundll32.exe de Microsoft.

499979-ransomware-feature

Les technologies de notre partenaire sécurité F-Secure ont déjà pris en compte cette menace. Cependant, voici quelques préconisations qui pourront réduire le risque d’infection de votre machine et de votre réseau :

  1. Informer les utilisateurs pour qu’ils n’ouvrent plus de pièces jointes ou d’URL provenant de personnes inconnues
  2.  Filtrer les flux de messagerie
  3. Désactiver les macros pour Microsoft Office sans notification
  4. Désactiver le Windows Script Host
  5. Utiliser Applocker pour interdire exécution de fichier depuis certains répertoire (corbeille, clé USB, dossier temporaire, …).

Une activité suspecte est détectée ? N’hésitez pas à suivre cette procédure :

  1. Allez sur le poste concerné, déconnectez le du réseau et sauvegardez le message avec sa pièce jointe dans un .ZIP protégé par le mot de passe « infected»
  2. Soumettez le fichier et l’explication en anglais au LAB : https://www.f-secure.com/en/web/labs_global/submit-a-sample. En faisant cette action nos moteurs seront mis à jour en moins de 24h
  3. Créer un case sur notre site web  (onglet assistance ) avec le fichier de diagnostique du poste FSDIAG du poste infecté.

N’oubliez pas de sensibiliser le personnel à la détection d’emails suspicieux et aux bons réflexes en cas d’infection.

Pour toute information supplémentaire,
n’hésitez pas à nous contacter au 03 20 91 44 03

contact

 

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *