procédure pour les postes infectés

Conduite à tenir en cas de compromission d'un poste de travail.

  1. Déconnecter
  2. Identifier l'utilisateur
  3. Diagnostiquer
  4. Mots de passe
  5. Informer
  6. Alerter
  7. Les montages
  8. Réparer

Déconnecter

Déconnecter immédiatement du réseau la machine identifiée comme compromise (l’objectif est de bloquer la poursuite du chiffrement et la destruction des partages réseau) en désactivant toutes les cartes réseaux (filaire et wifi). Se déplacer, notamment pour demander de vive voix les symptômes observés par l'utilisateur. Inventorier les supports amovibles qui ont pu être branchés sur le poste infecté (clé USB, carte SD, DD externe,...). Ils sont suspectés d'être infectés et contaminants. Si la suspiccion se confirme lors du scan du PC ou d'un des supports amovibles, il faudra les diagnostiquer un à un et les formater le cas échéant.

Identifier l'utilisateur

Selon la source de signalement de compromission, on sait ou on ne sait pas quel est l'utilisateur du poste compromis. Il faut parfois passer par l'identification d'utilisateur à partir de l'adresse IP et de l'heure d'une activité réseau caractéristique d'un poste compromis.

Diagnostiquer

Avant d'appliquer la procédure complète, effectuer un premier diagnostic par téléphone voire en prise en main distante pour évaluer la situation (type de compromission, risque de propagation via les lecteurs réseaux). Si l'analyse permet de diagnostiquer un spyware ou malware ne pouvant atteindre un partage réseau ⇒ procéder au nettoyage du poste avec les outils mis à disposition (boite à outil API). En cas de doute, appliquer la procédure ci dessous :

Mots de passe

Demander à l'utilisateur de changer ses mots de passe (en premier Sésame sur le web depuis une machine supposée saine, mais pas seulement :  les comptes externes professionnels (exemple compte CNRS) doivent être chengés. Il convientd e donner ce même conseil pour tous les comptes personnels (banque, autres comptes mails, réseaux sociaux...) qui auraient été utilisés depuis le PC infectés. Tous les mots de passe mémorisés dans le (les) navigateur(s) dovent être considérés comme non sûrs.

Informer

Informer l'utilisateur sur les erreurs à ne pas commettre :

  • Ne pas brancher sur la machine infectée des périphériques de stockage.
  • Ne pas connecter la machine infectée dans un autre environnement réseau.
  • Ne pas ouvrir de session sur une autre machine (risque d'infecter cette machine à partir d'un malware présent dans le home_dir de la personne ou dans sa messagerie).
  • Il doit surveiller sépcifiquement les achats faits sur des sites ou il aurait pu enregistrer un moyen de paiement (paypal, amazon, rb&b etc).

Alerter

Alerter le RSSI (Responsable Sécurité du Système d'Information), si le poste est à l'ENSCR inviter aussi le RSSI de l'ENSCR : A cet effet, en créant un deuxième ticket dans la rubrique SSI sur lequel l'utilisateur n'est pas invité (car la présence de l'utilisateur sur le ticket peut être gênante) lier les deux tickets en indiquant dans le titre du deuxième ticket le numéro du ticket d'origine. Indiquer sur le deuxième ticket tous les éléments techniques, notamment ceux recueillis auprès de l'utilisateur : extension des fichiers modifiés, fenêtre rançon, heure de constatation

Les montages

Lister tous les montages de l'utilisateur (personnels et partagés) sur le poste de travail (non connecté)

  • Indiquer sur le ticket la caractérisation des montages : nature des données, nombre d'utilisateurs impactés
  • dans le cas des ransomware de la famille des crypto-locker. Tenter à tout hasard de décrypter les fichiers touchés avec l'outil https://success.trendmicro.com/solution/1114221 . Cela ne change pas le reste de la procédure.

Demander à l'équipe Système d'appliquer la série de mesures  suivantes :

  • Coupure totale des accès aux montages personnels de l'utilisateur (H: et S:)
  • Mise en lecture seule ou coupure totale des accès aux montages partagés, sans attendre une position du groupe RSSI.
  • Communiquer à l'ensemble des personnes impactées par cette restriction des droits d'accès. Voir document en cours de rédaction par Odile sur un outil de communication assez universel, basé sur Grouper et sur Sympa pour contacter les utilisateurs d'un service quelqu'il soit. FIXMEE lien vers ce document.
  • Analyser les volumes réseau concernés avec un antivirus, au besoin restaurer un état sain à partir d'un snapshot ou d'une sauvegarde.
  • Réouvrir les accès à ces volumes sans attendre que le poste de l'interessé ait été réparé (il est en cours de traitement ou au minimum déconnecté).
  • Même analyse sur la boite à lettres de l'utilisateur. Nettoyage de la boite à lettres de l'utilisateur et des boites de fonction utilisées.
  • Reporter dans le ticket ce qui a a été découvert et ce qui a été fait.

Réparer

La méthode privilégiée est le "Sulfatage complet" du poste de travail (refaire l'OS avec la configuration du moment gérée par la proxi) et des périphériques de stockage potentiellement infectés, puis remise du poste refait à l'utilisateur (équipe API).

Mise à jour : 05/05/2020 - 11:14