Introduction

Nous sommes de plus en plus confrontés a la menace des ransomware ou Rançon-giciel,
des logiciels malicieux cachés dans des pièces jointes le plus souvent qui ont pour objectif :

• De chiffrer tous les documents accessibles
• De vous demander une rançon contre laquelle vous pourrez déchiffrer vos fichiers

Bon nombre de sites spécialisés, blogueurs, institutions ont fait des dossiers a ce sujet :

• ZDNet.fr - "Le ransomware Locky se diffuse via de fausses factures Free Mobile"
• ANSSI CERT-FR - "Campagne de messages électroniques non sollicités de type Locky"
• Korben.info - "Locky – Tout ce qu’il y a à savoir sur le malware du moment"
• LeMondeInformatique.fr - "Le ransomware Locky propagé par des macros Word fait des ravages"

Pour éviter ce genre de cas de figure dans nos établissements, voici quelques conseils et bonnes pratiques à adopter.

Mesures Préventives

Filtrage sur proxy - Bloquer les téléchargements des exe avec squid3

On peut interdire tout accès au téléchargement d’exécutables directement depuis la passerelle de cache/filtrage Ajouter l'ACL suivante :

acl url_exe url_regex -i \.exe$ \.msi$ \.dll$

Avec le http_access correspondant

http_access deny url_exe

Cette solution est radicale mais elle ne bloque pas le téléchargement lorsque le lien est en https et n’empêche pas le téléchargement d'archives zip puisque c'est un format utilisé par de nombreuses personnes.

Stratégie de Restrictions Logiciels / AppLocker

En domaine Microsoft Active Directory

Voir l'article existant à ce sujet sur le Wiki : Stratégie_de_Restriction_Logiciel_et_Applocker

En domaine EOLE Scribe

Exécuter l'éditeur de stratégie local du poste

gpedit.msc

Puis configurer les stratégie de restriction logiciel expliquée dans l'article cité précédemment

Configuration Ordinateur\Paramètre\Windows\Paramètre de sécurité\Stratégie de restriction logiciel\

Ensuite pour copier déployer cette configuration d'un poste a un autre, il suffit de copier le dossier %systemroot%\system32\grouppolicy sur le poste qui n'a pas cette configuration.

Cette copie peux être automatisée avec un paquet wapt ou un script de démarrage. (ne pas oublier de faire un gpupdate /force pour forcer l'application des paramètres)

Bloquer l'execution des Macros

Les documents Office avec macros étant les principaux vecteurs de ransomware voici la démarche a suivre pour interdire leur execution

Domaine Microsoft Active Directory ou Samba 4

Télécharger les administrative Template files (ADMX/ADML) sur le site officiel de Microsoft:

• Pour Office 2007 : https://www.microsoft.com/fr-fr/download/details.aspx?id=22666
• Pour Office 2010 : https://www.microsoft.com/en-us/download/details.aspx?id=18968
• Pour Office 2013 : https://www.microsoft.com/en-us/download/details.aspx?id=35554
• Pour Office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030

Lancez l'installation et indiquez le bureau comme répertoire d'installation

Vous trouverez sur le bureau un dossier ADMX contenant les modèles de stratégies à copier/coller dans :

\\domain.lan\sysvol\domain.lan\Policies\PolicyDefinitions

Créez une nouvelle stratégie dans votre domaine et devrait apparaître dans :

 Configuration Utilisateur/Ordinateur > Stratégies > Modèles d'Administration 

Descendez dans l'arborescence comme suit selon le produit Office (Excel,Word,Powerpoint) et la version (2010,2013) :

 Modèles d'Administration > Microsoft Produit Version > Options Produit > Sécurité > Centre de gestion de la confidentialité > Paramètres de notification de macro VBA

Choisissez les paramètres suivants :

 Activé >  Désactiver tous sans notification : l’application désactive toutes les macros, signées ou non, et les utilisateurs ne reçoivent pas de notification.

Vous pouvez le faire pour les autres composants Office Excel,Publisher,Word etc..

Attention a ne pas désactiver complètement le VBA, cela peut paraître être une bonne idée mais si cela est activé les formule mathématique ne fonctionnerons plus.

Résultat attendu

Vous pouvez télécharger un fichier avec Macro tout a fait inoffensif sur ce site : Applications Excel "Jeux", à télécharger

Voici le résultat attendu

Trend Micro OfficeScan - Activation de la protection contre les logiciels de rançon

Pré-requis

• Vous devez avoir installé le SP1 d'OfficeScan 11 : http://files.trendmicro.com/products/officescan/OSCE_11.0_WIN_SP1_(fr)_GM_B3569.exe
• Vous devez avoir installé le Patch de sécurité 1 du SP1 d'OfficeScan 11 : http://files.trendmicro.com/products/officescan/EMEA/11/OSCE_11.0_WIN_SP1_P1_(fr)_GM_4664_R1.exe

Pour activer cette protection rendez vous dans le menu

 Agents > Gestion des Agents

Ensuite dans l'onglet

 Paramètres > Paramètres de surveillance des comportements

Activez les options suivantes :

• Activer le blocage du comportement des programmes malveillants pour les menaces connues et potentielles
• Protection des documents contre toute opération de chiffrement ou de modification non autorisée
• Bloquer les processus généralement associés à des logiciels de rançons

Et Appliquez ensuite cette stratégie à tous les agents