Les attaques ransomware et les façons de les gérer

On parle beaucoup des ransomwares de nos jours. Il est surprenant de voir le nombre de gens qui ignorent de quoi il s’agit, et des conséquences en cas d’attaque.

Voici une liste des mesures que vous pouvez prendre pour vous protéger, et quoi faire si vous êtes victime d’une attaque.

Qu’est-ce qu’un ransomware ?

Le ransomware est une catégorie de malware utilisé pour soutirer de l’argent aux victimes avec une demande de rançon. La plupart des programmes sont conçus pour attendre patiemment dans votre système et crypter vos fichiers. C’est seulement après le cryptage que vous recevez un message : payer ou perdre vos fichiers à tout jamais.

Aucun système de sécurité n’est infaillible. Les malwares ont souvent un coup d’avance. Si vous en êtes victime, voici de quoi vous aider :

Étape 1 : minimiser les dégâts

Tout d’abord, isolez le système qui a été touché, surtout s’il est connecté à votre réseau, pour empêcher les autres systèmes d’être infectés.

Si vous êtes administrateur et que vos serveurs sont infectés, déconnectez tous les câbles Ethernet.

N’essayez pas de copier les fichiers sur un disque externe. Vous pourriez penser que c’est une bonne idée de sauver les fichiers pas encore cryptés, mais cela pourrait propager le malware. Quand vous insérez un disque dur ou une clé USB dans un ordinateur infecté, le malware peut se cloner sur le nouvel élément connecté.

Quand le disque ou la clé est ensuite inséré sur un autre ordinateur, le malware pourrait infecter ce nouvel ordinateur. Ou pire, vous pourriez réinfecter votre propre système après avoir réussi à vous débrasser du malware. C’est mieux de mettre l’ordinateur infecté en quarantaine.

Étape 2 : identifier le type de ransomware

Il existe plusieurs types de ransomware, certains plus dangereux et difficiles à éliminer que d’autres. Vous pouvez utiliser différentes stratégies pour vous en débarrasser, selon le type d’attaque et ses caractéristiques. Les plus communs sont classés dans les catégories suivantes :

  1. Scareware/Faux antivirus
    Les Scareware, qu’on appelle aussi un faux antivirus, est une catégorie de malware qui fait croire aux utilisateurs que leur système est défaillant.
    Ils doivent ensuite acheter un autre logiciel pour nettoyer le système. Bien évidemment, rien ne cloche avec l’ordinateur et la plupart du temps, le logiciel nécessaire au nettoyage infecte davantage l’ordinateur.
    La plupart du temps, vous recevez une popup avec un message vous annonçant des problèmes comme un nouveau virus, un ralentissement du système ou des problèmes de registre, avec un gros texte en gras en plein milieu de l’écran. Voici un exemple
    Les scareware sont probablement les plus simples des malwares à gérer. Il vous suffit de fermer votre navigateur et la popup disparaît. Si vous recevez des popup sur votre système d’exploitation, il faudra identifier le fichier coupable grâce au gestionnaire de tâches ou un explorateur avancé. Ensuite, supprimez ou désinstallez-le. Si vous avez encore des problèmes, scannez votre système avec un antivirus ou un programme anti-malware.
  2. Les ransomware verrouillage d’écran
    Cette catégorie de ransomware vous empêche d’utiliser votre ordinateur tant que vous n’avez pas payé de rançon. La plupart du temps, la fenêtre prend tout l’écran et affiche un message d’avertissement. Ils affirment parfois faire partie du FBI et agir à la suite de téléchargements illégaux. Dans d’autres cas, une image pornographique s’installe en fond d’écran et ne peut être changée. Tout ça a pour but de faire en sorte que la victime paye la rançon. Des programmes plus avancés suivent les activités d’un utilisateur pendant plusieurs jours et affichent un avertissement personnalisé, rendant le tout encore plus crédible et intimidant. Voici un exemple :
    Si vous êtes infecté par l’un de ces virus, essayez d’identifier l’exécutable qui le cause. La plupart du temps, appuyer sur CTRL + ALT + DEL vous conduira sur le gestionnaire de tâches, où vous pourrez fermer le programme.
    Même après avoir supprimé l’exécutable, il est préférable de lancer une analyse antivirus complète pour en supprimer toutes les traces. Si ces solutions ne fonctionnent pas, vous aurez peut-être besoin de restaurer ou récupérer Windows pour le ramener à un état ou le malware n’était pas présent ou pas actif.
  3. Ransomware de cryptage de fichier
    Cette dernière catégorie, qui est la plus dangereuse, inclut les programmes qui cryptent tous vos fichiers et les rendent inutilisables à moins de payer une rançon. En général, ils pénètrent dans le système de la victime et crypte tous ses fichiers, les rendant complètement inaccessibles.
    Ensuite, ils exigent une rançon pour les décrypter. À notre époque, les crypto devises comme le bitcoin et l’anonymat qu’elles offrent sont une excellente manière pour les coupables d’obtenir un paiement. Voici l’image que les victimes de Wannacry ont reçu :
    Il peut également être intéressant de comprendre comment fonctionne le cryptage. Cela peut vous donner des indices sur la façon de décrypter vos fichiers.
    La plupart des programmes utilisent un mélange de cryptage symétrique et asymétrique quand ils tournent (cliquez ici pour plus d’informations sur les types de cryptage). Le cryptage symétrique est utile parce qu’il permet aux hackeurs de crypter les fichiers plus rapidement qu’avec un cryptage asymétrique. Le cryptage asymétrique, toutefois, permet aux attaquants de ne protéger qu’une seule clé privée. Dans les autres cas, ils devraient protéger une clé symétrique par victime.

Les serveurs de Commande et contrôle (C&C) sont généralement utilisés pour la communication de programme. C’est comme ça que les ransomwares qui cryptent vos fichiers utilisent les deux types d’attaques :

  • Une clé privée/publique est générée du côté des attaquants avec un algorithme de cryptage comme RSA-256.
  • Les clés privées sont protégées par l’attaquant, tandis que les clés publiques sont intégrées au programme de ransomware.
  • Le système d’une nouvelle victime est infecté par le ransomware. Il envoie les informations et l’identifiant du système ou de la victime au serveur C&C.
  • Grâce à l’un des algorithmes de cryptage symétrique (comme AES), le serveur génère et envoie la clé symétrique spécifique au système de cette victime. La clé symétrique est ensuite cryptée grâce à la clé privée.
  • Le programme de ransomware utilise la clé publique intégrée pour décrypter la clé symétrique, puis commence à crypter les fichiers.

Maintenant que vous savez comment fonctionne un ransomware, voyons vos options si votre système est infecté.

Étape 3 : choisir une stratégie

Nous avons parlé des différentes méthodes plutôt faciles de suppression des ransomwares des deux premières catégories.

Les programmes qui cryptent vos fichiers sont beaucoup plus difficiles à supprimer. D’abord, vous devez identifier le type de malware auquel vous êtes confronté. Les informations peuvent être rares, puisque de nouveaux programmes sont créés tous les jours. Mais dans la plupart des cas, vous devrez pouvoir identifier le programme.

Essayez de prendre des captures d’écran de la demande de rançon puis de rechercher l’image pour identifier le type exact de ransomware. Vous pouvez aussi rechercher les phrases du texte du message.

Décidez si vous voulez payer la rançon ou pas. Nous ne recommandons pas de payer la rançon puisque ça ne ferait qu’encourager les attaquants à recommencer. Parfois, vos données sont trop sensibles ou trop importantes, alors utilisez votre meilleur jugement et ne payez pas si ce n’est pas absolument nécessaire.

Au pire des cas, il n’y a aucune garantie que vous récupériez vos fichiers après avoir payé la rançon.

Étape 4 : passer à l’action

Si vous réussissez à identifier le ransomware qui a infecté votre ordinateur, cherchez comment le supprimer sur le web. Le code malware n’est pas toujours infaillible, et le développeur peut avoir oublié de supprimer la clé de cryptage du programme qui décrypte les fichiers.

Si le ransomware est assez connu, et qu’il a des failles, vous devriez pouvoir trouver des tutos et des guides en ligne pour le supprimer sur des sites comme nomoreransom.org.

Puisque de nombreux programmes de ransomware se contentent d’effacer les fichiers originaux après le cryptage, il peut s’avérer impossible de retrouver les fichiers avec un logiciel exprès. Quand vous supprimez un fichier, il n’est pas supprimé du disque à moins qu’un autre le recouvre. Cela devrait donc permettre de retrouver des données importantes grâce à un logiciel de récupération.

Si rien ne marche, il faut prendre une décision. Payez la rançon ou perdez vos données. Même si vous payez, bien sûr, vos données ne sont pas assurées. C’est vraiment une décision personnelle, selon votre foi en les attaquants.

Vous pourriez aussi essayer de négocier avec les hackeurs en utilisant l’adresse e-mail notée dans la demande de rançon. Vous seriez surpris d’apprendre à quel point cela peut fonctionner.

Si vous décidez de ne pas payer la rançon, vous devrez nettoyer votre ordinateur et perdre vos données pour toujours. Si vous avez une sauvegarde sur votre disque externe, ne le connectez PAS avant d’avoir complètement formaté votre PC.

La meilleure manière de nettoyer un ransomware est de formater votre système d’exploitation. Si vous ne voulez pas prendre de mesure aussi drastique, assurez-vous que le ransomware n’infecte pas le secteur de démarrage. Vous trouverez plus d’informations là-dessus sur internet.

Ensuite, mettez à jour votre antivirus et effectuez un scan complet de votre système. C’est aussi une bonne idée d’ajouter un programme anti-malware pour plus de protection. Cela devrait supprimer le ransomware pour de bon.

Étape 5 : débriefing

Maintenant que vous êtes débarrassé de votre ransomware, il faut étudier les raisons de cette attaque. Comme quelqu’un de sage le disait, mieux vaut prévenir que guérir, et cela s’applique à la sécurité en ligne à merveille. Les défenses tiennent uniquement si l’utilisateur fait attention, et avec les bonnes mesures de protection en place, les malwares auront des difficultés à attaquer.

Soyez vigilant et gardez ces points en tête :

  1. Gardez toujours votre antivirus à jour
  2. Vérifiez toujours les URL des sites que vous visitez.
  3. Ne lancez pas de programmes que vous ne connaissez pas. Les cracks, les patches etc. sont les plus grosses sources de malware.
  4. Ne permettez pas à des sites de lancer des contenus exécutables dans votre navigateur (les malwares peuvent parfois provenir d’une technique inspirée de Java)
  5. Maintenez votre système d’exploitation à jour. Les malwares, y compris les ransomwares, se répandent souvent grâce à des vulnérabilités dans de vieux systèmes d’exploitation. Un hack peut par exemple exploiter un bug du logiciel RDP de Windows pour accéder au système connecté de manière publique au net et exécuter le malware.

Alerte de sécurité !

Vos données sont exposées aux sites Web que vous consultez !

Votre adresse IP :

Votre localisation :

Votre fournisseur d'accès à internet :

Les informations ci-dessus peuvent être utilisées pour vous trouver, pour vous bombarder de pubs et surveiller ce que vous faites en ligne.

Un VPN peut vous aider à cacher ces informations aux sites web, pour être protégé en permanence. Nous recommandons NordVPN : le VPN n°1 sur les plus de 350 fournisseurs que nous avons testés. Il offre un cryptage de grade militaire et des fonctionnalités de confidentialité pour garantir votre sécurité numérique, et de plus, il propose actuellement 68% de réduction.

Allez sur NordVPN

C'est utile? Partagez-le!
Vous avez aimé cet article ? Notez-le !
Mauvais Je n'ai pas vraiment aimé C'était bien Plutôt bien ! J'ai aimé !
Évalué par utilisateurs
Commentaire Le commentaire doit faire entre 5 et 2500 caractères.
Merci de votre retour.