Bandeau
8 déc. 2014

[Alerte] Propagation de messages frauduleux

La propagation d'une nouvelle forme de mails frauduleux contenant des virus de type "cryptolocker" (ransomware ou rançongiciel) est en forte augmentation.
Ce type de mail détourné prend la forme de commandes, de remboursements ou de factures de sites marchands, institutionnels ou bancaires légitimes (Darty, Orange, EDF, CNAM, etc.) avec une pièce jointe ou un lien pointant vers un fichier au format ".zip", ".pdf" ou ".exe" (voir exemple de fichier détourné ci-dessous) contenant un virus qui s'exécutera à l'ouverture du fichier ou après un clic sur le lien.

Le virus encrypte les fichiers locaux ainsi que ceux des disques réseaux qui sont montés sur le poste. Une fois cryptés, les fichiers ne sont plus lisibles.
Un message avec un compte à rebours apparaît sur le poste réclamant le versement d'une somme (rançon) pour obtenir la clé de décryptage des fichiers (voir exemple de message de rançon ci-dessous):

pishing

pishing 2

 

Pour éviter ce piratage :

  • Vérifier systématiquement lorsque vous recevez un mail faisant référence à une commande, un remboursement, une facture, etc., qu'il vous concerne réellement à titre professionnel ou privé ;
  • S'il contient un lien, bien vérifier que ce lien redirige bien vers le site légitime avant de cliquer dessus (le lien frauduleux contient souvent une adresse qui pointe vers un site étranger délictueux) ;
  • Ne jamais ouvrir un mail, cliquer sur un lien ou ouvrir une pièce jointe provenant d'une source inconnue ou sur laquelle vous avez un doute. 

Si vous avez ouvert une pièce jointe infectée ou cliqué sur ce type de lien, et que vous constatez un comportement inhabituel de votre poste ou qu'un message inapproprié (en anglais généralement) apparaît :

  • Ne procéder à aucune versement d'argent. Il n'y a aucune garantie que le code soit remis ;
  • Débrancher immédiatement le poste du réseau et l'éteindre ;
  • Prendre contact avec la plateforme d'assistance de la DSI de l'académie de Paris - par mail  ou par téléphone 01 40 32 34 70.

Si vous avez le moindre doute, ne faites aucune action sur votre poste de travail et prenez immédiatement contact avec la plateforme d'assistance de la DSI qui sera en mesure de vous indiquer les mesures à prendre.