Veuillez lire ce qui suit : Mesures d'urgence Virus "Emotet

Chers utilisateurs*,

Depuis le 16 mai 2019, nous constatons une propagation accrue de virus, en particulier du virus "Emotet", à la TUK.

Par ce mail, nous souhaitons attirer votre attention sur les mesures d'urgence, la gestion du virus et d'autres mesures organisationnelles.

Le virus est introduit dans l'infrastructure de la TUK par des e-mails avec des fichiers Office en pièce jointe. Ces fichiers utilisent des macros qui s'exécutent en "activant le contenu" et infectent ainsi le système.

Ce virus s'attaque en priorité aux systèmes Windows et aux profils d'utilisateurs Windows. Une fois sur un système, il extrait des données et charge d'autres logiciels malveillants (par ex. des cryptotrojans) et tente de se propager de manière autonome au sein du réseau. En raison de la vitesse de propagation élevée qui lui est associée, il s'agit d'un virus présentant un degré de dangerosité très élevé.

C'est pourquoi il convient d'agir rapidement en cas de soupçon fondé d'infection d'un système et d'appliquer immédiatement les mesures suivantes:

• Le système infecté doit être immédiatement déconnecté du réseau (LAN, WLAN et téléphonie mobile).
• Les comptes des utilisateurs (aussi bien le compte RHRK que les éventuels comptes AG) du système qui se sont connectés au système pendant et après l'infection présumée doivent être bloqués. Pour ce faire, contactez accounts(at)rhrk.uni-kl.de et votre administrateur système.

Après ces mesures immédiates, les étapes suivantes doivent impérativement être suivies pour rendre un système exempt de virus :

• tout d'abord, sauvegarderles données qui ne sont stockées que sur ce système sur un support externe (clé USB ; disque dur USB). Ce support ne doit pas contenir d'autres données et doit d'abord être mis de côté pendant 24 heures sans être utilisé (pendant ce temps, les logiciels antivirus sont généralement mis à jour).
• Les systèmes Windows concernés doivent être entièrement réinitialisés, car il n'est pas possible de supprimer ce virus de manière sûre ou aucune procédure n'a été publiée à cet effet.
• Les profils d'utilisateurs enregistrés de manière centralisée doivent être réinitialisés.
• Dès que le compte est débloqué après l'exécution des mesures susmentionnées, l'utilisateur doit immédiatement définir un nouveau mot de passe.
• Les données locales sauvegardées sur le support externe ne peuvent être testées contre les virus qu'au bout de 24 heures au plus tôt et être ensuite transférées sur le système nettoyé. Pour ce faire, un scan de l'ensemble des données doit être effectué sur un système de test avec un antivirus actuel (par ex. Sophos).

Important :

• Vous ne devez en aucun cas vous connecterà un système potentiellement infecté avec un mot de passe d'administration tant que ce système est encore actif sur le réseau. Les mots de passe sont lus par le virus et utilisés pour se propager.
• Toute personne ayant travaillé sur un système infecté doit impérativement modifier tous les autres mots de passe utilisés/enregistrés sur ce système (y compris les mots de passe privés).

Depuis le 16 mai 2019, des mesures techniques de grande envergure sont mises en œuvre par le RHRK afin de prévenir d'autres infections et de détecter les systèmes infectés :

• Le filtre SPAM pour les e-mails a été "renforcé" et configuré de manière à ce que les e-mails contenant des fichiers Microsoft Office en pièce jointe et présentant certaines caractéristiques soient rejetés comme SPAM. L'expéditeur reçoit alors l'information que l'e-mail n'a pas été accepté. Les e-mails ne sont donc pas supprimés, mais simplement renvoyés à l'expéditeur. Cette mesure peut malheureusement entraîner actuellement des 'faux positifs', ce qui signifie que même les e-mails réguliers et attendus par les utilisateurs sont rejetés (cela ne concerne que les e-mails avec des documents Office en pièce jointe).
• Le trafic réseau est contrôlé de manière centralisée en fonction de certaines caractéristiques afin d'identifier les systèmes infectés. Si le RHRK identifie un système comme étant probablement infecté, celui-ci est immédiatement déconnecté du réseau et, s'il est connu, l'utilisateur concerné est informé.
• Certains systèmes infectés ont été mis à la disposition du RHRK par des utilisateurs afin de vérifier le comportement des virus, notamment pour déterminer quel malware a été rechargé par 'emotet'. Jusqu'à présent, deux chevaux de Troie de cryptage ont été trouvés de cette manière.

Mesures organisationnelles :

• N'ouvrez pas de documents Office dont vous n'êtes pas sûr d'attendre le document. Pour les documents dont vous n'êtes pas sûr, demandez à l'expéditeur ou envoyez celui-ci à antivirus(at)rhrk.uni-kl.de. Le RHRK se chargera de vérifier le document pour vous.
• Chaque système Windows devrait disposer d'un scanner antivirus actif. Le RHRK met à disposition le logiciel Sophos de manière centralisée, voir https://www.rhrk.uni-kl.de/software/antivirus/.
• Pour l'échange de documents Office, utilisez à l'avenir davantage les possibilités mises à disposition de manière centralisée par le RHRK, telles que
  • les partages d'espace de stockage
  • le cloud de l'alliance des centres de calcul de Rhénanie-Palatinat "Seafile" ou
  • les gestions de versions
    
    Grâce à cela, vous pouvez collaborer confortablement avec des collègues* même en dehors de la TUK et vous n'avez pas besoin d'envoyer vos documents Office par e-mail.
    

Si vous avez des questions ou si vous avez besoin d 'aide sur le thème 'Emotet', vous pouvez volontiers vous adresser au RHRK (hotline(at)rhrk.uni-kl.de).

Vous trouverezde plus amples informations sur le maliciel 'Emotet' sur la page d'accueil de l'Office fédéral de la sécurité des technologies de l'information (BSI) :
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/E-Mailsicherheit/emotet.html.

On y trouve également une description des mesures supplémentaires qui peuvent être prises par l'administration pour prévenir une infection.

Les informations qui y figurent devraient être mises en œuvre dans votre domaine de compétence dans la mesure du possible.

Votre équipe RHRK