LA SOLUTION cryptolocker ET Ransomware : PREVENTION

Cryptolocker est un ransomware - un malware - qui crypte les données en silence afin de réclamer une rançon pour les déchiffrer, un véritable casse-tête pour la plupart des administrateurs système. Il semble que la première version de Cryptolocker a été publiée en Septembre 2013, mais d'autres ransomwares ont été développés depuis.

Le cryptage est très très fort, 4096 bits, et il est tout simplement impossible de récupérer les données sans une clé de décryptage. Vous pouvez payer les criminels, mais il n'existe aucune garantie qu'ils vous donneront une clé de décryptage fonctionnelle. Nous vous déconseillons fortement de nourrir ce marché criminel.

Les bonnes pratiques de sauvegarde et de sécurité sont les seuls outils dont nous disposons pour nous protéger nous et nos clients contre cette menace:

  1. Les données doivent être sauvegardées selon des fréquences adaptées.
  2. De bonnes politiques de conservation des données sont nécessaires, vous devez être en mesure de restaurer des données datant d'au moins deux semaines, voire mieux, de plu d'un mois.
  3. Les vérifications d'intégrité des sauvegardes doivent être effectuées de façon cohérente avec le rythme des sauvegardes et selon vos politiques de conservation, car, en cas d'infection, des fichiers corrompus seront sauvegardés à chaque exécution.
  4. Les dossiers de sauvegarde doivent être inaccessibles aux utilisateurs normaux de votre réseau, de sorte que Cryptolocker ou d'autres ransomwares ne puissent y accéder.
  5. Ne laissez jamais Cryptolocker ou quelque autre ransomware s'exécuter en tant qu'administrateur de domaine ou tout autre compte possédant les pleins priviléges.
  6. Éduquez les utilisateurs ! Sérieusement, c'est la défense la plus puissante ... être en mesure de restaurer les données cryptées par Cryptolocker ou autre ransomware ne vous protége pas contre les coûts d'une telle opération. Les temps de restauration - et donc les coûts - peuvent être réduits mais pas éliminés, il est préférable de prévenir l'infection plutôt que de réparer les dommages.

La plupart des points sont clairs et simples. Peut-être que vous vous demandez comment créer une destination de sauvegarde de sorte que ni un utilisateur normal, ni Cryptolocker ne seront en mesure d'y accéder.

Nous avons trouvé deux moyens efficaces pour créer un dossier de sauvegarde sécurisé pour Uranium Backup :

Il vous revient de choisir le schéma plus efficace dans votre scénario.

Remarque: vous avez besoin de Uranium Backup Base ou version supérieure pour les deux stratégies de sauvegarde.

1. Comment protéger votre dossier de sauvegarde de Cryptolocker et d'autres ransomware dans un Active Directory Domain Services

Nous allons montrer comment créer un dossier sécurisé auquel seul l'administrateur du domaine et l'utilisateur spécifique aux sauvegardes seront en mesure d'accéder.

L'utilisateur de sauvegarde doit être créé uniquement pour Uranium Backup, c'est un compte de service qui n'est pas destiné à être utilisé pour travailler sur les postes clients. Ensuite, nous allons configurer Uranium Backup de telle manière qu'il puisse accéder au dossier, sans qu'il ne partage ses identifiants ni à la machine locale ni à son utilisateur.

Cette stratégie de sauvegarde ne laissera pas une machine infectée par Cryptolocker ou autre ransomware accéder aux données sauvegardées, vous permettant de la restaurer en cas de catastrophe. Rappelez-vous que l'intégrité des sauvegardes doit toujours être vérifiée, en rapport avec le rythme des sauvegardes et votre politique de conservation des données.

Notez également que si Cryptolocker ou autre ransomware infectait une machine utilisée par l'administrateur de domaine, il atteindrait les privilèges maximums, et serait en mesure d'accéder au dossier sécurisé.

La première étape consiste à créer l'utilisateur de sauvegarde :

Ensuite, créez le dossier de sauvegarde. Dans notre exemple, nous avons utilisé un serveur de fichiers basé sur Windows mais il est possible d'utiliser un NAS basé sur Linux sans modifier la stratégie de sauvegarde.

Partagez le dossier :

Ensuite, ouvrez les paramètres avancés de l'onglet Sécurité :

Désactiver l'héritage des autorisations:

La boîte autorisations d'entrée sera vide. Ajoutez une nouvelle entrée d'autorisation pour permettre le contrôle total à l'administrateur de domaine :

Ensuite, laissez le contrôle total à l'utilisateur de sauvegarde :

La destination de sauvegarde est prête. Maintenant, ouvrez Uranium Backup et installez le service spécifiant l'utilisateur de sauvegarde comme le compte de service :

Remarque : vous devez permettre à l'utilisateur de sauvegarde d'accéder aux dossiers contenant les données que vous souhaitez sauvegarder. Les identifiants de l'utilisateur de sauvegarde ne doivent jamais être communiqués à aucun élément de Uranium Backup ni à aucun chemins d'accès de destination. Comme seul le service est configuré pour fonctionner sous l'utilisateur de sauvegarde, seule la sauvegarde planifiée sera en mesure d'accéder au dossier sécurisé. Aucune exécution manuelle ne parviendra à accéder au dossier.

2. Comment protéger votre sauvegarde de Cryptolocker et d'autres ransomware utilisant une destination FTP

Une alternative est de sauvegarder les données vers un NAS via FTP. Un NAS est l'appareil parfait pour stocker vos sauvegardes et les produits récents peuvent se comporter comme un serveur FTP. Si vous ne voulez pas acheter un NAS, vous pouvez en monter un en utilisant FreeNAS ou installer un serveur FileZilla sur une machine Linux ou Windows (dans ce cas, restreignez l'accès à cette machine car en cas d'infection par Cryptolocker vos sauvegardes seront endommagées ).

En utilisant un FTP, le dossier de sauvegarde n'a pas besoin d'être partagée et cela interdit l'accès à la fois aux utilisateurs et à Cryptolocker.

Cette stratégie est plus simple et moins sujette à des erreurs humaines, mais présente un inconvénient : le protocole FTP ralentit les opérations de sauvegarde, en particulier lorsque le nombre de fichiers à sauvegarder est vraiment élevé.

Nous n'expliquons pas comment activer et configurer un serveur FTP sur un NAS, pour une raison simple : il y a trop de marques, de modèles et les procédures sont chaque fois différentes.

Nous allons voir comment configurer la destination FTP avec Uranium Backup.

Ajoutez les éléments que vous souhaitez sauvegarder, puis cliquez sur Cliquez ici pour ajouter une destination FTP :

Spécifiez les identifiants d'accès au serveur FTP :

Vous êtes prêt à lancer votre première sauvegarde :