Les ransomwares peuvent être propagés via des e-mails de phishing, des téléchargements de logiciels malveillants ou des vulnérabilités dans des logiciels non mis à jour.
Qu’est-ce qu’un ransomware ?
Les ransomwares sont des virus qui ont la capacité de chiffrer les documents accessibles par les personnes et ordinateurs infectés :
- Documents présents sur l’ordinateur de la victime;
- Dossiers de partage réseaux connectés à l’ordinateur infecté;
- Documents présents sur les ordinateurs sur lesquels la victime a des droits d’administration;
- Dans de rares cas, tous les ordinateurs accessibles depuis l’IP de l’ordinateur infecté (cas de « worms » se propageant via des attaques exploitantes des vulnérabilités systèmes. Ex : le ransomware wannacry utilisant la faille eternal blue pour infecter tous les ordinateurs.).
Voici à quoi ressemblent des fichiers chiffrés par un ransomware :
Une fois chiffré, il est impossible pour l’utilisateur d’ouvrir ces fichiers.
Une demande de rançon lui est souvent présentée :
Pour déchiffrer ces fichiers, la victime est alors obligée de payer une rançon en bitcoin.
Les chances de déchiffrer ces fichiers via ce procédé sont aléatoires et il n’y a aucune garantie que les pirates ne reviendront pas quelques jours après pour chiffrer à nouveau les documents et demander une seconde rançon encore plus élevée.
Que faire si vos données sont chiffrées ?
Définir par ou est entré le ransomware :
Regardez qui, à l’origine, a créé les fichiers chiffrés par le ransomware.
Cette personne est la personne qui a été infectée par le ransomware :
Une fois identifiée, il convient de déconnecter son ordinateur du réseau et de changer ses mots de passe.
Détecter les fichiers qui ont été chiffrés sur le parc informatique :
Il conviendra ensuite de vérifier les dossiers partagés qui étaient accessibles par cette personne. Ces fichiers sont probablement chiffrés.
Souvent, les fichiers chiffrés partagent la même extension. Une recherche des fichiers comportant des extensions telles que «. thor, ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, etc » sera nécessaire pour détecter d’autres fichiers potentiellement chiffrés.
Tenter de restaurer les données chiffrées :
Votre meilleure arme contre les ransomwares est la restauration des documents à une date antérieure à leur chiffrement.
Si aucune sauvegarde n’est disponible, il conviendra d’essayer un des multiples outils de déchiffrement disponible sur internet :
Et si vous n’arrivez toujours pas à déchiffrer vos fichiers ?
Si vous n’arrivez pas à déchiffrer vos fichiers et que vous en avez absolument besoin très rapidement, nous vous conseillons de prendre contact avec le pirate et de négocier le prix du déchiffrement.
Cette recommandation n’est pas conseillée par l’ANSSI, mais soyons clair avec vous : si les données chiffrées sont vitales à votre société alors il faut agir vite.
Nous vous conseillons toutefois de faire appel à des professionnels pour vous assister dans cette démarche afin de vous assurer que l’intervention du pirate ne rendra pas la situation encore plus catastrophique.
Si le temps vous est moins compté, vous pouvez demander à un analyste de « ransomware » d’analyser l’ordinateur à l’origine de l’infection.
Dans certains cas, la clé de déchiffrement est présente dans un fichier caché sur l’ordinateur à l’origine de l’infection.
Un analyste en « ransomware » pourra donc peut-être déchiffrer vos documents.
Enfin, en cas d’attaque réussie, nous vous conseillons toujours de faire appel à une société spécialisée en réponse à incident comme Oppidum.
En effet, des attaques bénignes peuvent ouvrir des brèches dans les défenses de votre organisation. Il convient donc de bien cadrer et traiter les incidents de sécurité afin qu’ils ne se reproduisent pas.