Ransomware de type Zepto dans les messages électroniques non sollicités
SURTOUT NE PAS OUVRIR UNE PIÈCE JOINTE
DANS LES E-MAILS ENVOYÉS PAR UN INCONNU.
ATTENTION : CRYPTAGE DE VOS DONNÉES
ET DEMANDE DE RANÇON
SURTOUT NE PAS OUVRIR UNE PIÈCE JOINTE
DANS LES E-MAILS ENVOYÉS PAR UN INCONNU.
ATTENTION : CRYPTAGE DE VOS DONNÉES
ET DEMANDE DE RANÇON
Depuis le début septembre 2016, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Zepto.
Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l'utilisateur. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés.
Dans le cadre de cette campagne, et d'après les échantillons que le CERT-FR a observés, la diffusion de Zepto s'effectue par l'intermédiaire d'un pourriel contenant une archive. Cette archive contient un script Windows (extension .wsf) exécutant du Javascript. Le Javascript va ensuite contacter un domaine pour récupérer le Rançongiciel Zepto.
Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle.
