Les ransomwares cherchent de nouvelles façons de se propager et après nous avoir pourri la vie à base de pièces jointes contenant des fichiers ZIP et JS (comme Locky), la menace circule désormais avec des fichiers .hta (qui ciblent Windows) ainsi que .docm notamment
En tant qu’utilisateur final pour s’en protéger pensez à :
– Ne pas ouvrir les pièces jointes que vous n’attendez pas, dont l’expéditeur est inconnu etc : le bon sens prime
– Vérifiez que votre antivirus est toujours actif
– Soumettre toute pièce jointe suspecte sur le site Hybrid Analysis
En tant que responsable informatique pour s’en protéger pensez à :
– Interdire les pièces jointes aux formats HTA dans vos systèmes de messagerie (par défaut dans Google Apps et par Outlook.com)
– Avoir un antivirus digne de ce nom
– Sur vos domaines Microsoft Windows, mettre en place une GPO qui force l’exécution des fichiers en .hta et .js avec le bloc note
Le dernier HTA malveillant aperçu dans la nature contacte le nom de domaine dellboy36.mymediapc.net sur le port 3356
Chez Google (Gmail et Google Apps) les extensions suivantes sont bloquées de base : .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .jse, .lib, .lnk, .mde, .msc, .msp, .mst, .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh
