Prévention et protection contre les ransomwares avec
Symantec Endpoint Protection
et Symantec Endpoint Security

Qu'est-ce qu'un ransomware ?

Un ransomware est une catégorie de malware qui chiffre des documents pour les rendre inutilisables et laisse les autres éléments sur l'ordinateur accessibles. Les pirates à l'origine du ransomware obligent les victimes à leur verser une rançon via des méthodes de paiement spécifiques avant de leur donner ou non accès à leurs données.
Les ransomwares ciblés sont plus complexes que les attaques par ransomware initiales et impliquent d'autres risques que la simple infection.Les attaquants ont mis en place d'autres procédés pour extorquer les organisations victimes à l'aide des différentes méthodes de distribution suivantes :
  • Hameçonnage 
    : messages électroniques camouflés en courrier lié au travail et envoyés aux employés
  • Publicité malveillante 
    : compromission de sites Web de média visant à envoyer des publicités contenant des logiciels malveillants contenant une structure JavaScript, appelée SocGish, qui se fait passer pour une mise à jour logicielle
  • Exploitation des vulnérabilités
     : exploitation des logiciels vulnérables exécutés sur des serveurs publics
  • Infections secondaires 
    : utilisation de réseaux de bots existants pour s'introduire dans le réseau de la victime
  • Services mal sécurisés 
    : attaques contre des organisations via des services RDP mal sécurisés, tirant parti d'informations d'identification divulguées ou faibles

Protection contre les ransomwares à l'aide de
 instance de Symantec Endpoint Protection Manager
ou de Symantec Endpoint Security

Les attaques par ransomware ciblées peuvent être divisées en phases majeures : compromission initiale, escalade des privilèges et vol d'informations d'identification, déplacement latéral et chiffrement et suppression des sauvegardes.La meilleure défense consiste à bloquer les différents types d'attaques et connaître la chaîne d'attaque utilisée par la plupart des groupes de cybercriminalité pour identifier les priorités de sécurité.Malheureusement, la déchiffrement de ransomwares n'est pas possible avec les outils de suppression.
Dans
 instance de Symantec Endpoint Protection Manager
ou Symantec Endpoint Security, déployez et activez les fonctionnalités suivantes. Certaines d'entre elles sont activées par défaut.
Fonction
Symantec Endpoint Protection
Symantec Endpoint Security
Protection basée sur les fichiers
Symantec met en quarantaine les types de fichiers suivants : Ransom.Maze, Ransom.Sodinokibi et Backdoor.Cobalt.
La protection contre les virus et les spywares est activée par défaut.
Prévention et traitement des attaques de virus et de spyware sur les ordinateurs client
La politique Antimalware est activée par défaut.
SONAR
La protection SONAR basée sur le comportement constitue une autre défense cruciale contre les malwares. SONAR empêche l'exécution des noms de fichiers exécutables des variantes de ransomware en double comme CryptoLocker.
Dans une politique de protection antivirus et antispywares, cliquez sur
SONAR
>
Activer SONAR
(activée par défaut).
Gestion de SONAR
Dans une politique Antimalware, cliquez sur
Enable behavioral analysis
(Activer l'analyse comportementale, activée par défaut).
Diagnostic des téléchargements ou Protection intensive
Modifiez Symantec Insight pour mettre en quarantaine les fichiers qui n'ont pas encore été identifiés comme sécurisés par la base de clients Symantec.
La fonction Diagnostic des téléchargements est incluse dans la politique
Virus et spywares - Sécurité élevée
par défaut.
La fonction Diagnostic des téléchargements est toujours activée et est incluse dans la politique
Protection intensive
. Pour modifier les paramètres de protection intensive, reportez-vous à la section suivante :
Système de prévention d'intrusion (IPS)
 :
  • IPS bloque certaines menaces que les définitions de virus traditionnelles n'arrivent pas à arrêter. IPS est la meilleure défense contre les téléchargements non sollicités, qui se produisent lorsqu'un logiciel est téléchargé en ligne sans le consentement de l'utilisateur. Les pirates utilisent généralement des kits d'exploits pour réaliser une attaque web de type CryptoLocker, par le biais d'un téléchargement non sollicité.
  • Dans certains cas, l'IPS peut bloquer le chiffrement de fichier en interrompant la communication de commande et de contrôle (C&C).Un serveur C&C est un ordinateur contrôlé par un attaquant ou un cybercriminel et utilisé pour envoyer des commandes aux systèmes compromis par un malware et recevoir des données volées à partir d'un réseau cible.
  • La fonction
    Réputation d'URL
    empêche les menaces Web basées sur le score de réputation d'une page Web.L'option
    Activer la réputation d'URL
    bloque les pages Web dont les scores de réputation sont inférieurs à un seuil spécifique. (14.3 RU1 et versions ultérieures)
Prise en main de la prévention d'intrusion
La réputation d'URL n'est pas activée par défaut.
Block PDF files and scripts
(Bloquer les fichiers PDF et les scripts)
Sous la stratégie Exceptions, cliquez sur
Windows Exceptions
>
File Access
(Exceptions Windows > Accès au fichier).
Utilisez les politiques Liste d'autorisation et Liste d'interdiction pour empêcher l'accès de fichiers et domaines non connus.Cliquez sur
Paramètres
>
Liste d'autorisation et Liste d'interdiction
.
Téléchargez les derniers correctifs pour les infrastructures d'application web, les navigateurs Internet et les plug-ins de navigateurs.
  1. Utilisez la politique de contrôle des applications et des périphériques pour empêcher l'exécution des applications dans les répertoires de profils d'utilisateurs, tels que Local et LocalLow.Outre Local\Temp\Low, les applications de ransomware s'installent dans de nombreux autres répertoires.
  2. Utilisez Endpoint Detection and Response (EDR) pour identifier les fichiers qui présentent un comportement de ransomware :
    1. Désactivez les scripts de macro des fichiers MS Office transmis par courrier électronique.
    2. Cliquez avec le bouton droit de la souris sur les terminaux détectés et sélectionnez
      Isoler
      . Pour isoler et réintégrer des terminaux à partir de la console, vous devez assigner une politique de pare-feu de quarantaine dans Symantec Endpoint Protection Manager à une politique d’intégrité de l'hôte.
  • Analyses de détection : la console cloud fournit une vue complète des fichiers, applications et exécutables présents dans votre environnement. Vous pouvez afficher des informations sur les risques, les vulnérabilités, la réputation, la source et d'autres caractéristiques associées aux éléments détectés.
  • Utilisez les éléments détectés lorsqu'EDR est activé ; l'agent de détection sur SES est similaire au détecteur de périphériques non gérés sur SEP, excepté qu'il fournit bien plus d'informations sur des fichiers et applications spécifiques.
  • La politique de contrôle des applications contrôle et gère l'utilisation des applications non sollicitées et non autorisées dans votre environnement.La politique de contrôle des applications sur SES est une fonction différente de celle de SEP.
    Prise en main de la politique de contrôle des applications
    • Pour les agents Symantec 14.3 RU1 et des versions ultérieures, utilisez la fonction Behavioral Isolation (Isolement comportemental) pour les terminaux qui n'utilisent pas la fonction d'isolement d'application ni la politique de contrôle des applications. La politique d'isolement d'application comportemental identifie le mode de traitement des comportements suspects liés à des applications approuvées.Vous recevez des alertes dans la console cloud et un message dans la politique lorsqu'une signature de comportement nouvelle ou existante est disponible dans la politique. Vous déterminez si le comportement est le résultat de l'attaque contre un fichier et spécifiez une action à appliquer.
Partie de Symantec Endpoint Security Complete
Protection Web et de l'accès au cloud
et Web Security Service
Utilisez les paramètres
Protection Web et de l'accès au cloud
et de connexion sécurisée pour permettre aux terminaux, qu'ils soient dans un réseau d'entreprise, un réseau privé ou déconnectés, de s'intégrer à Symantec Web Security Service (WSS). NTR redirige le trafic Internet du client vers Symantec WSS, où il sera autorisé ou bloqué en fonction des politiques WSS.
Prévention contre les exploits en mémoire
Fournit une protection contre les vulnérabilités connues dans les logiciels non corrigés (par ex. : serveur Web JBoss ou Apache) que les attaquants exploitent.
Analyse AMSI et sans fichier
Les développeurs d'applications tierces peuvent protéger leurs clients contre les malwares basés sur un script dynamique et contre les sources de cyberattaques non traditionnelles. L’application tierce appelle l’interface AMSI de Windows pour demander une analyse du script fourni par l’utilisateur, qui est routé vers le client Symantec Endpoint Protection. Le client répond par un verdict afin d’indiquer si le comportement du script est malveillant ou non. Si le comportement n'est pas malveillant, le script est exécuté. S'il est malveillant, le script n'est pas exécuté. Sur l’ordinateur client, la boîte de dialogue Detection Results (Résultats de détection) affiche l'état « Access Denied » (Accès refusé). Windows PowerShell, JavaScript et VBScript sont quelques exemples de scripts tiers. La fonction Auto-Protect doit être activée. Cette fonctionnalité est disponible sur les ordinateurs tournant sous Windows 10 et versions ultérieures.
Versions 14.3 et ultérieures
Non disponible.
Endpoint Detection and Response (EDR)
EDR analyse les comportements plutôt que les fichiers et peut renforcer la protections contre le harponnage et l'utilisation d'outils traditionnels. Par exemple, si en temps normal, Word ne lance pas PowerShell dans l'environnement du client, ce programme doit être placé en mode de blocage. L'interface utilisateur d'EDR permet aux clients de déterminer facilement les comportements communs qui doivent être autorisés, les comportements visibles mais qui doivent cependant faire l'objet d'une alerte et ceux moins fréquents qui doivent être bloqués. Vous pouvez également rechercher les alertes d'incident et les traiter pour gérer ces points de manière réactive. L'alerte d'incident affichera tous les comportements observés lors de la violation et permet de les placer en mode de blocage directement à partir de la page des détails de l'incident.
Partie de Symantec Endpoint Security Complete
Threat Hunting Guide (Manuel de repérage de menaces)
Protection basée sur l'IA
L'analyse cloud ciblée de Symantec utilise l'apprentissage automatique avancé pour repérer les tendances d'activité associées aux attaques ciblées.
Partie de Symantec Endpoint Security Complete
Utilisez les outils d'audit pour obtenir des informations relatives à vos terminaux présents sur votre réseau d'entreprise et en dehors de celui-ci et éviter que le ransomware puisse se propager.
Utilisez la politique de prévention contre les exploits en mémoire pour tester les faux positifs.
Protection des clients Windows contre les falsifications en mémoire à l'aide d'une politique de Prévention contre les exploits en mémoire

Recommandations relatives à la prévention contre les ransomwares

Hardening Your Environment Against Ransomware (Renforcer votre environnement face aux ransomwares)
Outre l'activation de la protection SEP ou SES, suivez la procédure ci-après pour éviter l'infection par ransomware.
Etape
Description
1. Protéger votre environnement local
  1. Assurez-vous de disposer de la dernière version de PowerShell
    et que la journalisation est activée.
  2. Limitez l'accès aux services RDP.
    Autorisez uniquement le protocole RDP à partir d'adresses IP connues spécifiques et veillez à utiliser l'authentification multifactorielle. Utilisez le gestionnaire des ressources du serveur de fichiers pour verrouiller l'écriture des extensions de ransomware connues sur des partages de fichiers sur lesquels l'accès en écriture utilisateur est requis.
  3. Créez un plan pour envisager de notifier les parties externes
    . Afin de notifier adéquatement les organisations pertinentes, telles que le FBI ou d'autres autorités chargées de l'application de la loi, veillez à mettre en place un plan de vérification.
  4. Créez un "archivage de secours" contenant des copies aux formats papier et électronique de toutes les informations administratives critiques
    . Pour vous protéger contre la compromission de la disponibilité de ces informations critiques, stockez-les dans un archivage de secours avec le matériel et les logiciels nécessaires pour résoudre les problèmes. Stocker ces informations sur le réseau n'est pas utile si les fichiers réseau sont chiffrés. Implémentez un contrôle et un audit appropriés de l'utilisation des comptes d'administrateur. Vous pouvez également implémenter des informations d'identification à usage unique pour des tâches administratives afin d'éviter le vol et l'utilisation des informations d'identification administrateur.
  5. Créez des profils d'utilisation pour les outils d'administration
    . Plusieurs de ces outils sont utilisés par des attaquants pour se déplacer latéralement sans être détectés sur un réseau. Un compte d'utilisateur qui présente un historique d'exécution en tant qu'administrateur à l'aide de PsInfo/PsExec sur un nombre limité de systèmes est probablement authentique, mais un compte de service exécutant PsInfo/PsExec sur tous les systèmes est suspect.
2. Protéger votre système de messagerie
  1. Activez l'authentification à deux facteurs (2FA) pour empêcher la compromission des informations d'authentification lors d'attaques par hameçonnage.
  2. Renforcez l'architecture de sécurité des systèmes de messagerie
    pour réduire le nombre de courriers indésirables qui parviennent aux boîtes de réception d'utilisateurs finals et vous assurer que les recommandations sont appliquées à votre système de messagerie, y compris l'utilisation de SPF et d'autres mesures préventives contre les attaques par hameçonnage.
3. Effectuer des sauvegardes
Sauvegardez régulièrement les fichiers sur les clients et les serveurs. Vous pouvez soit sauvegarder les fichiers lorsque les ordinateurs sont hors ligne, soit utiliser un système auquel les ordinateurs et serveurs en réseau n'ont pas accès en écriture. Si vous n'avez pas de logiciel de sauvegarde dédié, vous pouvez également copier les fichiers importants sur des médias amovibles. Ensuite, éjectez et déconnectez le média amovible. Ne le laissez pas connecté.
  1. Implémentez le stockage hors site des copies de sauvegarde
    .Organisez le stockage hors site d'au moins quatre semaines de sauvegardes incrémentielles hebdomadaires complètes et quotidiennes.
  2. Implémentez le mode hors ligne des sauvegardes sur site.
    Veillez à disposer de sauvegardes non connectées au réseau pour empêcher leur chiffrement par un ransomware.Il est recommandé d'effectuer la suppression lorsque le système est déconnecté des réseaux pour éviter la propagation potentielle de la menace.
  3. Vérifiez votre solution de sauvegarde de niveau serveur et testez-la.
    Cette mesure doit déjà faire partie de votre processus de reprise après sinistre.
  4. Sécurisez les autorisations de niveau fichier pour les sauvegardes et les bases de données de sauvegarde.
    Ne permettez pas le chiffrement de vos sauvegardes.
  5. Testez les fonctionnalités de restauration.
    Assurez-vous que les fonctionnalités de restauration prennent en charge les besoins de votre activité.
Verrouillez les lecteurs réseau mappés en les sécurisant par mot de passe et restrictions du contrôle d'accès. Utilisez un accès en lecture seule pour les fichiers sur les lecteurs réseau, sauf si vous avez absolument besoin d'un accès en écriture. Les restrictions d'autorisation utilisateur limitent le nombre de fichiers pouvant être chiffrés par les menaces.

Que faire si vous recevez un ransomware ?

Il n'existe aucun outil de suppression de ransomware.Aucun produit de sécurité ne peut déchiffrer les fichiers chiffrés par un ransomware. En revanche, si vos ordinateurs clients sont infectés par un ransomware et que les données sont chiffrées, procédez comme suit :
  1. Ne payez pas la rançon.
    Si vous payez la rançon :
    • Il n'y a aucune garantie que le pirate fournira une méthode de déverrouillage de l'ordinateur ou de déchiffrement des fichiers.
    • Le pirate utilise l'argent de la rançon pour financer d'autres attaques contre d'autres utilisateurs.
  2. Isolez l'ordinateur infecté avant que le ransomware puisse attaquer les lecteurs réseau auxquels il a accès.
  3. Utilisez
     instance de Symantec Endpoint Protection Manager
    ou SES pour mettre à jour les définitions de virus et analysez les ordinateurs client.
    Les nouvelles définitions sont susceptibles de détecter et de résoudre le ransomware.
     instance de Symantec Endpoint Protection Manager
    télécharge automatiquement des définitions de virus sur le client, à condition que celui-ci soit géré par le serveur de gestion ou la console cloud et qu'il y soit connecté.
    • Dans
       instance de Symantec Endpoint Protection Manager
      , cliquez sur
      Clients
      , puis cliquez avec le bouton droit de la souris sur le groupe et cliquez sur
      Exécuter une commande sur le groupe
      >
      Mettre à jour le contenu et analyser
      .
    • Dans Symantec Endpoint Security, exécutez la commande
      Analyser maintenant
      .
      Exécution de commandes sur des périphériques client
  4. Effectuez une nouvelle installation.
    Si vous restaurez des fichiers chiffrés à partir d'une sauvegarde, vous pourrez obtenir vos données restaurées, mais il est possible qu'un autre malware ait été installé au cours de l'attaque.
  5. Envoyez le malware à Symantec Security Response.
    Si vous parvenez à identifier le message électronique ou le fichier exécutable malveillant, envoyez-le à Symantec Security Response. Grâce à ces éléments, Symantec peut créer de nouvelles signatures et améliorer ses défenses contre les ransomwares.