Comment protéger votre entreprise contre les attaques WannaCry : recommandations pour les utilisateurs des solutions de sécurité pour les entreprises
Nous avons analysé les informations sur les cas de l'infection par le ransomware WannaCry qui a attaqué un certain nombre d'entreprises à travers le monde le 12 mai 2017.
Pour l'attaque, la vulnérabilité réseau connue Microsoft Security Bulletin MS17-010 a été utilisée. Ensuite, un rootkit a été installé sur les ordinateurs infectés, par l'intermédiaire duquel le ransomware a été exécuté.
Toutes les solutions de Kaspersky détectent ce rootkit comme MEM:Trojan.Win64.EquationDrug.gen. Les solutions de Kaspersky détectent également les ransomwares qui ont été utilisés dans cette attaque sous les noms suivants :
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Trojan.Win64.EquationDrug.gen
- PDM:Trojan.Win32.Generic
- Intrusion.Win.DoublePulsar.a
Nous recommandons aux entreprises de prendre les mesures suivantes afin de minimiser le risque de l'infection :
- Installez le correctif officiel de Microsoft qui élimine la vulnérabilité :
- Assurez-vous que le module System Watcher (Surveillance du système) et tous ses composants sont activés :
- Mettez à jour les bases de données des applications de Kaspersky que vous utilisez.
Nos experts analysent les échantillons du logiciel malveillant pour trouver les options de décryptage.
Pour en savoir plus sur les attaques de WannaCry, consultez le rapport de Kaspersky.
Comment désinfecter le réseau si vous utilisez une solution de sécurité de Kaspersky
Kaspersky Endpoint Security 8 et 10 :
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module System Watcher (Surveillance du système) et tous ses composants sont activés :
- Pour apprendre comment activer le System Watcher, consultez cet article.
- Assurez-vous que le module Prévention des intrusions est activé.
- Assurez-vous que le module Antivirus Fichiers est activé.
- Lancez la tâche Analyse des zones critiques pour détecter une éventuelle infection.
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
- Lancez l'analyse complète de l'ordinateur.
- Reconnectez l'ordinateur au réseau.
Kaspersky Security 10 for Windows Server
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module Protection des fichiers en temps réel est activé.
- Configurez l'application conformément aux recommandations afin de protéger le serveur contre le chiffrement à distance à partir des ordinateurs qui ont accès à ses ressources réseau.
- Lancez la tâche Analyse des zones critiques pour détecter une éventuelle infection.
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
- Lancez l'analyse complète de l'ordinateur.
- Reconnectez l'ordinateur au réseau.
Kaspersky Anti-Virus 8.0 for Windows Servers EE
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module Protection des fichiers en temps réel est activé.
- Lancez la tâche Analyse des zones critiques pour détecter une éventuelle infection.
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
- Lancez l'analyse complète de l'ordinateur.
- Connectez l'ordinateur au réseau.
Comment désinfecter le réseau si vous utilisez une solution de sécurité tierce
Utilisez les utilitaires gratuits de Kaspersky pour analyser et réparer les ordinateurs infectés.
Kaspersky Virus Removal Tool
En local :
- Téléchargez l'utilitaire Kaspersky Virus Removal Tool.
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Lancez l'analyse avec Kaspersky Virus Removal Tool. Pour les instructions, consultez cet article.
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
- Lancez l'analyse complète de l'ordinateur.
- Connectez l'ordinateur au réseau.
À distance :
- Installez le correctif officiel de Microsoft :
- Placez le fichier exécutable de Kaspersky Virus Removal Tool dans un dossier partagé.
- Lancez l'utilitaire sur l'ordinateur distant (en ligne de commande, à l'aide d'une stratégie de groupe ou via Kaspersky Security Center à l'aide d'un fichier BAT) en utilisant la commande suivante :
\\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
- où share est le nom du dossier partagé.
- Après l'exécution de cette commande l'analyse sans désinfection sera lancée sur l'ordinateur distant et le journal du processus sera enregistré dans \\share\logs\
- Pour la désinfection, ajoutez les paramètres suivants à la commande : -adinsilent -processlevel 1
\\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
Kaspersky Rescue Disk
- Téléchargez l'utilitaire Kaspersky Rescue Disk.
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Démarrez l'ordinateur depuis le disque de démarrage Kaspersky Rescue Disk. Pour les instructions sur la création d'un disque de démarrage Kaspersky Rescue Disk, consultez cet article.
Kaspersky Rescue Disk 10 est incompatible avec l'architecture RAID. Pour en savoir plus, consultez la configuration requise de l'utilitaire.
- Lancez l'analyse. Pour les instructions, consultez cet article.
- Une fois MEM:Trojan.Win64.EquationDrug.gen détecté, redémarrez le système.
- Lancez l'analyse complète pour supprimer le logiciel malveillant.
- Connectez l'ordinateur au réseau.
Comment éviter l'infection du réseau
Kaspersky Endpoint Security 10
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module System Watcher (Surveillance du système) et tous ses composants sont activés :
- Pour apprendre comment activer le System Watcher, consultez cet article.
- Assurez-vous que le module Prévention des intrusions est activé.
- Assurez-vous que le module Antivirus Fichiers est activé.
- Mettez à jour les bases de données de l'application. Pour les instructions, consultez cet article.
Kaspersky Security 10 for Windows Server
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module Protection des fichiers en temps réel est activé.
- Configurez l'application conformément aux recommandations afin de protéger le serveur contre le chiffrement à distance à partir des ordinateurs qui ont accès à ses ressources réseau.
- Lancez la mise à jour des bases de l'application.
Kaspersky Anti-Virus 8.0 for Windows Servers EE
- Déconnectez l'ordinateur infecté du réseau de l'entreprise.
- Installez le correctif officiel de Microsoft :
- Assurez-vous que le module Protection des fichiers en temps réel est activé.
- Mettez à jour les bases de données de l'application. Pour les instructions, consultez cet article.
Comment diffuser les mises à jour de Microsoft via Kaspersky Security Center
Méthode principale
- Installez le correctif officiel de Microsoft :
- Créez un répertoire temporaire sur le disque local et déplacez-y les fichiers téléchargés (MSU).
- Créez un fichier BAT dans le répertoire temporaire et tapez la commande suivante dans ce fichier :
wusa.exe "%cd%\updatename.msu" /quiet /warnrestart
-
où updatename est le nom du fichier de mise à jour.
-
Exemple de la commande :
wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart
- Cette commande lance l'installation silencieuse de la mise à jour. Une fois l'installation de la mise à jour terminée, elle signale à l'utilisateur que le redémarrage est requis et donne environ une minute pour enregistrer les fichiers ouverts. Il n'y a pas d'option pour continuer sans redémarrage.
Si vous tapez « forcerestart » au lieu de « warnrestart », l'ordinateur va redémarrer immédiatement et les applications ouvertes seront fermées. Les données non enregistrées seront perdues.
Si vous exécutez la commande sur un ordinateur sur lequel la mise à jour est déjà installée ou avec lequel elle est incompatible, il n'y aura pas de conséquences négatives.
- Dans Kaspersky Security Center accédez à la section Installation à distance → Paquets d'installation. Cliquez sur Créer un paquet d'installation et sélectionnez l'option Générer un paquet d'installation pour l'application indiquée par l'utilisateur.
- Créez un paquet d'installation avec le fichier BAT. Cochez la case Copier le dossier entier dans le paquet d'installation pour inclure les fichiers MSU dans le paquet.
Dans le fichier BAT vous pouvez également spécifier l'installation de plusieurs mises à jour et de les placer dans le dossier temporaire mais cela augmentera la taille du paquet.
- Installez le paquet créé sur les ordinateurs :
- Sélectionnez le groupe d'ordinateurs et sélectionnez Installer une application dans le menu contextuel.
- Dans le nœud Appareils administrés sélectionnez un groupe ou le nœud entier, accédez à l'onglet Tâches et créez une tâche d'installation
- Installez le paquet en local sur chaque appareil.
Méthode alternative
Requis :
- Une licence étendue pour le produit.
- L'utilisation de la tâche Recherche de vulnérabilités et de mises à jour requises. Pour les instructions détaillées, consultez cet article.
Procédé :
- Accédez à Avancé → Administration des applications → Mise à jour.
- Dans la ligne de recherche trouvez la mise à jour de Microsoft requise.
- Dans le menu contextuel de la mise à jour sélectionnez Installer la mise à jour.
- Installez la mise à jour sur les ordinateurs nécessaires.
Comment démarrer en toute sécurité les ordinateurs sans la mise à jour Microsoft installée
Pour démarrer en toute sécurité les ordinateurs sans la mise à jour Microsoft :
- Déconnectez l'ordinateur du réseau de l'entreprise (déconnectez le câble réseau).
- Dans la liste des services trouvez le service Serveur et ouvrez ses propriétés. Dans la liste déroulante Type de démarrage sélectionnez Désactivé et cliquez sur OK.
- Connectez le câble réseau et lancez la mise à jour du système d'exploitation.
Assurez-vous qu'il n'y a plus de mises à jour disponible pour le système d'exploitation et que le redémarrage n'est pas requis.
- Activez le service Serveur.
- Assurez-vous que les modules suivnats sont activés dans Kaspersky Endpoint Security :
- Antivirus Fichiers,
- System Watcher (Surveillance du système),
- Prévention des intrusions.