Bonjour,
 
Situation
Nous sommes une petite entreprise avec un réseau (serveur NAS pour le stockage des données) et nous venons de nous fait attaquer par un ransomware.  
Tous les fichiers word et excel du serveur ont été cryptés. Heureusement, nous avons une sauvegarde propre des données sur un autre support à la date d’hier soir.
Le PC à l’origine de l’attaque sur le serveur est clairement identifié : les données sur son disque dur sont également touchés et le « message » nous informant de la situation (fichier html s’exécutant au démarrage du PC) est sur celui-ci. Les fichiers des disque durs des autres PC du réseau ne sont pas touchés.
 
Questions
- Y a-t-il quelquechose à faire sur le serveur NAS avant de remettre les fichiers sains sur celui-ci (formatage ou autre) ?
- Y a-t-il quelquechose à faire sur le PC à l’origine de l’attaque avant de remettre les fichiers sains sur le serveur (anti-malware, réinstallation de windows, autre) ?
- Y a-t-il quelquechose à faire sur les autres PC avant de remettre les fichiers sains sur le serveur ?
- Comment se prémunir à l’avenir de façon efficace vis-à-vis de ce type d’attaques ?
- Comment se retrouve-t’on, de façon générale, avec ce type d’attaque sur nos PC ? (On ne sais pas trop d’où cela vient)
 
 
Merci !

 
Non, le propre des ransomware et la raison pour laquelle ils sont difficilement détectable est le fait qu'ils ne se propagent pas.
 
 

 
Dans l'absolu, juste le nettoyer.
Chez nous la policy implique une reinstall complete du système, pas forcément utile, mais ça rassure tout le monde.
 

 
Eventuellement un scan préventif, juste manière d'être sûr.
 

 
La grande question.
Il y a un topic dédié si tu veux : http://forum.hardware.fr/hfr/syste [...] 7158_1.htm
Il n'y a aucune solution magique autre que bouger le curseur entre autonomie utilisateur et securité.
La solution la plus reconnue est d'empecher l'execution d'exe non-autorisés, mais ça implique que les utilisateurs ne peuvent plus rien faire sans appeler le support.  
 
Certainsn ouveaux AV comportementaux et basés sur des listes blanches (ex : Traps) semblent s'en sortir plutot bien.
 

 
Dans 99% des cas, c'est une piece jointe ou un lien dans un mail qui télécharge l'exe.
Et c'est lancé manuellement par l'utilisateur (raison encore une fois pour laquelle c'est dur à detecter), ce ne sont pas des trucs qui arrivent à l'insu du plein gré.
Dans la plupart des cas l'exe a une icone de pdf ou de fichier excel, et les mecs tombent tous dans le piege.

Merci beaucoup !
 
Aurais-tu une idée des outils à utiliser pour le nettoyage/scan ?

Je te conseille de faire passer tous les messages par un antispam, cela a de grandes chances de bloquer les programmes malveillants.
L'antivirus arrivera en 2ème protection.
 
Pour le nettoyage, il y a très peu de chances qu'il y ait quelques choses à nettoyer mais si tu veux être sur:
malwarebyte / adwcleaner et une analyse manuelle de l'antivirus sur le poste.

Ok ,merci encore pour vos réponses.

 
Il y a aussi les exploits web, les infections USB, les cracks,...
 
Pour se protéger des scripts malicieux exécutés à travers les pièces jointes, on peut utiliser le programme Marmiton pour bloquer Windows Script Hosts et les macro malicieuses des programmes Office. Il faudrait aussi bloquer PowerShell ou au moins, bloquer dans le pare feu la connexion sortante pour qu'il ne puisse pas télécharger de fichier exécutable malveillant, le cryptoware.
 
Ces ransomwares ne sont actifs qu'une fois (enfin pour l'instant dans les versions recensées), ils cryptent tout ce qu'ils peuvent à partir du PC où ils sont été exécutés et se ferment, hit and run !  
 
 
Pour vérifier s'il reste une trace du ransomware, on peut utiliser par exemple des logiciels comme  FRST ou Autoruns qui listent les exécutions automatiques de programmes au démarrage du PC.

 
Bof tu peux jamais proteger les utilisateurs de leur connerie, même avec les meilleurs outils.
 
Le mec il voit dans le rapport de l'antispam un mail intitulé "order", il va quand même demander à le recuperer à l'antispam, voire à le whitelister.
L'antispam peut gueuler, lui dire que "non mais vraiment, serieux, là j'en suis sûr, c'est vraiment un spam dangereux, c'est sur à 100%", le mec insistera, parceque tu comprends, y'a marqué order dedans, imagine qu'on manque une commande client...

il y en aura toujours et on ne pourra rien faire pour les empêcher,
mais les clients sans antispam représentaient la plus part des cas des postes contaminés.

À mon avis, la seule façon de protéger contre ransomware est d’installer la protection http://myspybot.com/wallet-file-virus/. Surtout si de tenir de nouvelles récentes de compte http://www.bbc.com/news/technology-39901382

Non.

 
j'ai vu ça hier sur le forum
 
un gars qui a ouvert un fichier joint du genre 873869456948698989856.docx dans un mail qui était catalogué dans les spams.... et ban! wannacrypt!
l'admin système de la boite qui racontait ça avait l'air un poil énervé, surtout qu'il avait mis en garde tout le monde!

Bnsoir
 
est-ce le virus qu s'est propagé récemment à 200 000 personnes?
 
je suis sous kasperky, windows 10, et mozilla
 
quelles précautions prendre svp?

garde ton windows 10 à jour.