Intégrateur et expert
en sécurité du système d’information

Se protéger face à Cryptolocker avec Symantec Endpoint Protection

21 mars 2014
Se protéger face à Cryptolocker avec Symantec Endpoint (...)

Cryptolocker est un malware de type ransomware (ou rançongiciel). Son but est de chiffrer les données présentes sur un ordinateur afin de le rendre inutilisable sans mot de passe adapté. Après le versement d’une rançon, les données sont alors déchiffrées.

Pour se protéger de Cryptolocker, vous devez avoir une solution SEP configurée avec les meilleurs pratiques. Voici les composants en jeu pour faire face à cette menace :

  • Le module Antivirus avec les définitions à jour ;
  • La protections IPS installée et active ;
  • SEP 12.1 avec la protection du navigateur (Browser IPS) ;
  • La configuration de règles de Contrôle d’applications et périphériques.

Depuis fin 2013 et début 2014, 2 vecteurs d’infection ont été découverts :
-  Via Botnet ;
-  Via USB.

Le 1er vecteur d’infection de la dernière version de Cryptolocker se fait via un malware (Trojan.Zbot) qui est sain en apparence et qui a été installé par une pièce jointe dans un email transformant ainsi le poste en zombie ("bot").

Mais comme tout poste zombie appartenant à un Botnet, sa configuration peut changer pour faire du spam, de la découverte réseau et de l’installation de malware. Il contacte son serveur Command & Control (C&C) grâce à des requêtes DNS sur des noms de domaine générés aléatoirement afin de connaître l’action à exécuter.

Dans notre cas, le programme ZBot téléchargera et installera le programme Cryptolocker qui va alors chiffrer les fichiers du disque en échange de ladite rançon.

Le client SEP bloque les actions du malware dès la recherche de domaines et empêche ainsi l’étape d’installation de Cryptolocker grâce à son IPS dont voici la signature que vous pouvez trouver dans les logs et IT Analytics : System Infected : Trojan.Cryptolocker

Le 2nd vecteur d’infection se fait via les média amovibles (clés USB) car c’est une variante de type Vers (Trojan.Cryptolocker.B).

Nous recommandons la mise en place de règle de contrôle d’application pour bloquer ce malware.

Il est possible de configurer 2 types de règles distinctes, veuillez nous contacter pour plus de précisions.

Voici un schéma pour illustrer le cas n°1 :

Suivez-nous