Dernièrement, nous avons constaté une augmentation importante d’e-mails avec une pièce jointe au format zip d’expéditeurs qui ne sont pas connus.
Ces e-mails ressemblent à de vrais e-mails, et sont souvent basés sur un vrai e-mail d’Avocat, de Comptable, ou de Fournisseur; ils peuvent même reprendre les entêtes de l’e-mail d’origine.
Définition :
Un ransomware est un logiciel malveillant qui prend en otage des données personelles. Pour ce faire, le ransomware chiffre des données personelles puis demande à leur propriétaire d’envoyer de l’argent en échange d’une clé qui permettra de les déchiffrer.
Nous vous rappelons l’importance de ne jamais ouvrir une pièce jointe qui n’est pas attendue. Si vous ne connaissez pas l’expéditeur, supprimez l’e-mail. Si vous connaissez l’expéditeur, mais n’attendiez pas cette pièce jointe, appelez-le pour vérifier qu’il vous a bien envoyé cet e-mail.
Ces e-mails sont très difficiles à bloquer pour plusieurs raisons :
- Leur contenu ne ressemble pas à un spam, la majorité de ces e-mails sont basés sur de vrais e-mails qui ont réellement été envoyés d’un fournisseur, avocat ou comptable vers un client, il n’est donc pas possible de les bloquer pour leur contenu.
- Les adresses IP qui envoient ces e-mails n’ont pas envoyé de spam auparavant. Chaque envoi part d’une nouvelle adresse IP. Il n’est donc pas possible de bloquer ces e-mails en fonction de l’adresse IP de l’expéditeur.
- La pièce jointe au format zip contient un fichier au format .js qui ne contient pas de virus. Le code du fichier JavaScript peut-être partiellement encrypté ou compressé, une pratique rendant le code du fichier illisible à l’œil, utilisé dans presque tous les projets utilisant du JavaScript. Ce fichier contient un lien (qui change à chaque fois) et le fichier JavaScript télécharge et lance le fichier exécutable du ransomware qui n’est pas joint directement dans l’e-mail afin d’éviter les antivirus.
Pourquoi ces spams sont-ils envoyés ?
Une fois la pièce jointe ouverte et le ransomware installé, celui-ci planifie un cryptage complet ou partiel de votre ordinateur, essaie d’infecter tous les autres ordinateurs de votre réseau, puis vous demande de payer pour récupérer un accès à vos données. Le but est donc financier.
Que faire si vous avez ouvert une de ces pièces jointes ?
Si vous savez à quel moment vous avez ouvert la pièce jointe, nous vous conseillons de formater votre ordinateur et de restaurer une sauvegarde de celui-ci datant d’avant l’ouverture de ce fichier. Si vous ne le faites pas, vous prenez un risque pour tous les autres ordinateurs de votre réseau sans compter que votre ordinateur peut aussi parfois être contrôlé à distance par l’auteur du ransomware.
Mon ordinateur n’est pas sous Windows, il est sous OS X ou Linux, suis-je concerné ?
Oui.
Le fichier JavaScript appelle une URL, cette URL peut détecter votre système d’exploitation et le serveur qui héberge le virus peut donc vous envoyer un virus spécialisé pour votre système d’exploitation. Il existe des virus de type Ransomware pour tous les systèmes d’exploitation. Sous OS X ou Linux, vous êtes un peu moins vulnérable, mais vous l’êtes quand même.
Comment éviter de recevoir ces spams ?
Si vous ne souhaitez pas recevoir ce type d’e-mails, le seul moyen pour les bloquer actuellement est d’interdire les pièces jointes au format ZIP. Nous ne pouvons pas prendre la décision de les bloquer pour tous nos clients, vous devez donc nous en faire la demande, par e-mail, ticket support ou par téléphone.
Demandez dès maintenant le blocage des e-mails avec des pièces jointes au format ZIP
Nous avons déjà appliqué cette mesure pour nos propres adresses e-mail, n’essayez donc pas de nous transférer ces e-mails avec leur pièce jointe.
Est-ce infaillible ?
Non.
En ce moment ces e-mails sont envoyés avec une extension au format zip, si beaucoup de prestataires bloquent les zip, ils choisiront un autre format. Vous devez donc rester vigilant et faire des rappels à votre personnel ou famille de ne pas cliquer sur un lien ou ne pas ouvrir une pièce jointe qui n’est pas attendue.