Crypto GrandCrab ou comment déchiffrer les fichiers cryptés ?

Retour au listing

Blog

Enfin un antidote au virus GrandCrab, après que le ransomware aux pinces d’or ait fait des ravages !

Blog

30avr. 2019

Le Retour du Ransomware GrandCrab

Qu'est-ce que GrandCrab 5.2 ?

GrandCrab 5.2 est un ransomware propagé par les organisations cybercriminelles dans le but de crypter les données stockées sur le(s) serveur(s) ou station(s) de travail des victimes et d’obtenir une rançon en échange d’un hypothétique outil de déchiffrement.

 

Comment se propage-t-il ?

    Pour l’heure, le rançoncigiel se propage via deux canaux principaux :
  • Téléchargement depuis un site web contaminé,
  • Téléchargement via une pièce jointe ou un lien cliquable inséré dans un mail adressé aux victimes ; souvent avec usurpation d’identité par l’émetteur (Opérateur Telecom, FAI, Banque, un prétendu fournisseur, un l’adresse mail d’un collaborateur interne...).

 

Mes serveurs et postes de travail sont équipés d'un antivirus, suis-je à l'abri ?

Ce n’est pas certain... Le taux de blocage de ces pourriels (spams) par les passerelles anti-spams est malheureusement relativement faible. Malheureusement cela dépend du type d’antivirus que vous utilisez et de sa version !

Vous pouvez obtenir cette information auprès de votre prestataire ou vous rapprocher d’un de nos conseillers.

Sachez simplement que les antivirus conventionnels ne vous protègent que des malwares connus.

Seuls les antimalwares de nouvelle génération combinant plusieurs dispositifs préventifs sont à même de vous mettre à l’abri des virus les plus sophistiqués existants ou en cours d’élaboration car ils sont, pour la plupart, dopé à l’intelligence artificielle.

 

J'ai une sauvegarde, suis-je à l'abri ?

Ce n’est pas certain non plus... Veillez à ce que votre serveur de sauvegarde (ou appliance) n’apparaisse pas comme un disque dans l’arborescence de vos postes de travail !

Si tel est le cas, GrandCrab cryptera tous les fichiers stockés.

 

Je suis équipé(e) d'une box Wooxo, suis-je à l'abri ?

Oui, notre applliance n’est pas visible depuis les postes de travail.

Veillez tout de même à paramétrer vos sauvegardes pour conserver un minmum de 3 versions.

Si vous avez le moindre doute, envoyez un email à support@wooxo.fr pour obtenir une confirmation sur le bon paramétrage de votre solution.

 

Quel est le mode opératoire des cybercriminels ?

GrandCrab 5.2 scanne votre système et détecte les fichiers générés par l’utilisateur : documents, photos, musique, bases de données, archives... puis il les crypte.

    Le rançongiciel édite un fichier texte vous expliquant votre situation et vous donne les instructions pour y remédier :
  • une invitation à installer le pack de navigation Tor,
  • d’ouvrir un lien fourni dans la note exigeant la rançon,
  • ouverture d’une page web contenantt plus d’informations sur le paiement dont le montant est généralement
    de 1200 USD $ payable le plus souvent en Bitcoin,
  • un ultimatum pour payer la rançon rapidement faute de quoi le montant sera doublé !

 

Bref, tout est réuni pour faire monter la pression et vous faire réagir à chaud !

 

A ne pas faire !

NE JAMAIS PAYER !

Et pour au moins 3 bonnes raisons :

  1. Vous n’avez aucune garantie d’obtenir le code de déchiffrement.

  2. Si le cybercriminel vous le livre, il vous le livrera de façon partielle pour obtenir de nouveaux règlements et l’addition va flamber sans aucune garantie de rétablissement.

  3. En payant la rançon, vous venez de vous inscrire sur la liste des BONS PIGEONS PAYEURS et vos coordonnées seront revendues à tous les cybercriminels !

 

Que faire si vous êtes infecté par GrandCrab 5.2 ?

  1. Si vous avez malencontreusement téléchargé Grandcrab 5.2, nous vous recommandons d’éteindre immédiatement le poste infecté du réseau et déconnecter du réseau.
    L’objectif est de bloquer le travail du parasite et si possible sa diffusion sur le réseau ou à vos contacts contenus dans votre messagerie.

  2. Recherchez et supprimez tous les messages similaires dans les boîtes de messagerie des utilisateurs connectés à votre réseau informatique.

  3. Procédez enfin à une réinstallation complète du poste infecté à partir d’une image volume récente et saine et à la restauration des fichiers à partir d’une sauvegarde réputée propre.

  4. Si vous n'avez pas pu restaurer vos fichier, voici un lien vers un outil de déchiffrement offert par NomoreRansom.org

Télécharger l'outil de déchiffrement

Que faire pour se prémunir ?

  • ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicité
  • désactiver l'exécution automatique des macros dans les suites bureautiques
    [Rappel pour la désactivation dans Microsoft Office : Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Cochez Désactiver toutes les macros avec notifications]
  • s’équiper d’un antimalware de nouvelle génération [En savoir plus : Lien vers Yooshield]
  • maintenir à jour le système d'exploitation et l'antivirus de vos postes de travai
  • désactiver la fonction autoplay des clés USB et disques durs si vous persistez à les utiliser
  • effectuer des sauvegardes saines et fréquentes des systèmes et des données (postes de travail, serveurs mais aussi ordinateurs portables itinérants) et conserver un minimum de 3 versions pour chaque document sauvegardé
  • et surtout éduquer vos collaborateurs en diffusant nos bulletins d’alertes en interne !

 

Un doute sur l’efficacité de votre dispositif de votre antivirus ou de votre dispositif de sauvegarde ?

Contacter un conseiller

Retour au listing