La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a reçu ces derniers jours plusieurs annonces concernant un rançongiciel nommé Synolocker. Une fois infecté, l’utilisateur verra ses données cryptées et une rançon lui sera demandée, selon un communiqué de presse diffusé jeudi.
Cette méthode rappelle ce qui avait été observé avec le maliciel Cryptolocker. Une différence est cependant que ce maliciel cible exclusivement les utilisateurs de NAS (Network Attachead Storage) de la marque Synology, précisent les experts en sécurité de la Confédération.
La suite du communiqué de presse (italique):
Les recommandations de MELANI pour Cryptolocker s’appliquent ici aussi. En particulier, il est recommandé d’effectuer des sauvegardes régulières des données importantes sur un support externe, qui sera connecté à l’ordinateur uniquement lors de la sauvegarde des données. Par ailleurs, les supports utilisés devront être changés, par exemple chaque semaine ou chaque mois, afin d’avoir à disposition différentes versions des sauvegardes sur différents supports.
Il est désormais établi que seuls les NAS de Synology sur lesquels sont installés des anciens systèmes d’exploitation sont touchés. Il convient donc d’y installer immédiatement les dernières mises à jour de sécurité. MELANI recommande comme règle générale de toujours veiller à utiliser le système d’exploitation le plus récent.
En plus de cela, Synology a publié d’autres recommandations, de même qu’un formulaire de contact, sur son site web.
Mise à disposition d’un outil de décryptage pour les victimes de Cryptolocker
De meilleures nouvelles font également l’actualité: les entreprises FireEye et Fox-IT ont annoncé la mise en ligne d’un service gratuit permettant aux victimes de Cryptolocker de récupérer leurs fichiers encore cryptés par le maliciel. Comme cela avait été reporté par les médias, des mesures ont été prises par le FBI contre le Botnet de Cryptolocker en juin dernier. De nombreuses victimes ont cependant des fichiers encore inaccessibles.
Le service est disponible à l’adresse suivante: https://www.decryptcryptolocker.com. Son fonctionnement est aisé et ne nécessite pas de paiement ou d’inscription préalable. Nous recommandons de veiller à bien utiliser l’URL exacte figurant ci-dessus.
La marche à suivre est la suivante:
- Identifiez un fichier crypté par Cryptolocker sur votre machine. Veillez à choisir un fichier ne contenant pas d’informations sensibles
- Transmettez le fichier à travers la plateforme https://www.decryptcryptolocker.com. Votre adresse E-mail vous sera également demandée, sur laquelle la solution de décryptage vous sera envoyée
- Vous recevrez par E-mail une clef et un lien pour télécharger et installer un programme de décryptage
- Démarrez le programme localement sur votre machine en utilisant la clef reçue
- Les fichiers se trouvant sur l’ordinateur concerné seront ensuite décryptés
- Dans le cas de Synolocker également, il n’est pas à exclure qu’une telle solution émerge dans le futur. Il est ainsi conseillé de conserver les données cryptées par Synolocker.
La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI décline toute responsabilité quant à d’éventuels dommages survenus suite à l’utilisation du service proposé sur https://www.decryptcryptolocker.com. La mise en œuvre de la procédure décrite ci-dessus a lieu sous la responsabilité individuelle de l’utilisateur.