Actuellement, Locky, un cheval de Troie ransomware, fait rage. Il s’introduit dans les systèmes Windows via la fonction macro de Word et y crypte toutes les données utilisateur. Le cheval de Troie ne les libère qu’après le paiement d’une « rançon ». Nous donnons quelques conseils sur les paramètres de macro de Word et donc sur la protection contre de tels fléaux.

En principe, Microsoft Word avec les bons paramètres et un scanner antivirus actuel devraient protéger contre les chevaux de Troie macros. Il y a plusieurs raisons pour lesquelles ce n’est pas le cas :

D’une part, tous les utilisateurs n’utilisent toujours pas l’un des scanners antivirus « corrects » comme par exemple le vainqueur fréquent des tests ESET (dernièrement Computerbild 02 /2016), même si ceux-ci n’offrent pas non plus une protection absolue.

Protection macro

D’autre part, les utilisateurs exécutent souvent des pièces jointes alors qu’ils ne connaissent pas du tout l’expéditeur. La menace actuelle « Locky » montre à quel point cela est dangereux. Ce cheval de Troie utilise les fonctions macro de Microsoft Word, qui sont toutefois configurées par défaut de manière à ne pas exécuter de macros.

Dans Word 2013 ou Word 2016, vous trouverez le paramètre correspondant sous Fichier -> Options -> Paramètres du centre de confiance -> Paramètres des macros.

Pour Office 2016, il est également possible d’interdire l’exécution de macros à l’échelle du système via une stratégie de groupe.

Les anciennes versions d’Office cachent les paramètres sous Fichier -> Options -> Centre de sécurité -> Paramètres du centre de sécurité -> Paramètres pour les macros (Word 2010) ou Office -> Options -> Centre de confiance -> Paramètres du centre de confiance -> Paramètres pour les macros (Office 2007).

Le piège de ce cheval de Troie : après l’ouverture, les pièces jointes demandent à l’utilisateur d’autoriser la fonction macro. Ne le faites que pour les fichiers provenant de sources auxquelles vous faites absolument confiance. Le ct a quelques autres conseils de comportement si vous êtes concerné par le cheval de Troie.

Günter Born s’est récemment penché de manière très détaillée sur le sujet dans son blog et présente dans l’article « Qu’est-ce qui protège contre Locky et d’autres ransomwares ? quelques solutions qui peuvent en partie être mises en œuvre par des utilisateurs moins expérimentés.

Nouvelles portes d’entrée

Comme l’ont révélé les milieux de la sécurité, le cheval de Troie utilise désormais des fichiers Javascript pour se propager, lesquels sont envoyés par e-mail. N’exécutez donc pas non plus les pièces jointes d’expéditeurs auxquels vous ne faites pas absolument confiance. D’autres langages de script comme bat, cmd, vbs et wsf sont également des portes d’entrée typiques.

Protection par des sauvegardes

Un moyen de protection efficace est – comme dans de nombreux autres cas – une sauvegarde actuelle, qui devrait être enregistrée sur des supports de données qui ne sont pas connectés au système actuel : Sinon, Locky serait également actif ici ! En raison de l’actualité, le BSI a également résumé quelques conseils de comportement.

Graphique d’introduction © Chanye – Fotolia.com