Le vecteur de l'attaque est un courrier électronique qui contient des liens HTML ou une pièce jointe. Le virus est propagé lorsque l'utilisateur clique sur l'un de ces liens ou ouvre la pièce jointe. Il scanne alors le réseau local de la machine à la recherche de systèmes d'exploitation Microsoft vulnérables (en exploitant une faille corrigée en Mars 2017 par la mise à jour de sécurité MS17-010) et dépose le ransomware qui chiffre les données. Pour tous renseignements complémentaires sur WannaCryptor, nous vous invitons à consulter le site de l'ANSSI : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html
Au vu de la criticité de cette situation, Microsoft a mis à disposition un correctif pour les plateformes Windows XP, 2003 et 8 bien qu'elles ne soient plus supportées : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Afin de vous protéger, nous vous conseillons d'informer vos collaborateurs de ne pas exécuter les pièces jointes contenues dans des mails venant d'expédteurs inconnus.
Il appartient à chacun d'avoir le niveau de vigilance requis au quotidien pour faire face à cette menace importante :
- Disposer d'un antivirus actif et à jour
- Ne pas connecter de périphérique de stockage (USB, disque dur externe,...) sur une machine non protégée
- Tout mail suspect doit être supprimé (expéditeur inconnu, pièce jointe inhabituelle, expéditeur connu dont le contenu est anormal,...)
Si vous constatez une activité inhabituelle sur votre poste de travail, il faut rapidement débrancher le poste du réseau informatique (retirer le câble réseau ou éteindre le Wifi), l'éteindre et prévenir le service informatique. Il ne faut surtout pas transférer le mail douteux à qui que ce soit (service informatique compris).
Nos équipes sont particulièrement vigilantes pendant cette période et se tiennent à votre disposition pour vous aider à renforcer votre politique de sécurité.