Des conseils pour éviter un virus qui détruit tout sur son passage

P. V.C.

On transpire ces jours-ci au sein de la société slovaque Eset, spécialisée dans la protection informatique. C’est qu’ici, on cherche, comme chez les concurrents, à stopper l’invasion du "ransomware" (ou rançongiciel), et à aider les clients à récupérer leurs données. Les infos collectées arrivent au compte-gouttes, sur la manière dont le virus pourrait circuler au sein des réseaux, après être entré par le biais de banals messages. Ce que l’on sait du mode opératoire du virus NotPetya, c’est qu’il s’installe sur la zone d’amorçage du disque dur (MBR ou Master Boot Record) des machines touchées, via un cheval de Troie (Win32/Diskcoder. C Trojan) et qu’ensuite, il encrypte tous les fichiers contenus sur le disque. Son origine ? Des documents attachés à des courriers, et aussi, le code de programmes gratuits téléchargés sur la Toile. Comme ce fut le cas en mai dernier lors de l’attaque WannaCry, c’est une fois encore une faille dans le code du système d’exploitation (OS) Windows qui est utilisée par le virus. Mais, cette fois, la réaction des autorités a été rapide et a permis de bloquer les adresses utilisées par les pirates. Ce qui a réduit l’ampleur de l’attaque, mais qui a aussi un inconvénient pour la récupération éventuelle des données : l’adresse de paiement de la rançon en bitcoin a également été bloquée. Impossible dès lors d’obtenir une clé de déblocage. Bref, en attendant une hypothétique procédure de récupération des données, les données encryptées sont perdues à jamais.

Windows : attention aux anciennes versions

Comme en mai, les spécialistes conseillent d’isoler des réseaux autant que faire se peut, les machines tournant sous d’anciennes versions de Windows. Si ce n’est pas possible, dans tous les cas, Eset recommande de ne travailler que sur des machines dont le système d’exploitation (Windows en l’occurrence), a été correctement mis à jour ("patché"). Autre conseil évident : utiliser un antivirus lui aussi mis à jour. Dans le cadre d’un réseau, il est recommandé aux administrateurs d’utiliser des comptes différents de ceux qu’ils utilisent pour les sessions de travail en tant qu’utilisateurs de base. Ces derniers devraient aussi supprimer les comptes définis par défaut pour la gestion à distance des ordinateurs du réseau. Eset propose de désactiver les protocoles "Server Message Block" (SMB) version 1 sur les versions XP 2003 qui ne peuvent utiliser la version suivante. Apparemment, il serait possible, dès les premiers signes d’une activité anormale, de retrouver des données du disque infecté en… tirant la prise d’alimentation du PC et en ne le rallumant pas. Pas évident !