Qu’est ce qu’un Ransomware ?

Le ransomware est un Malware qui se duplique et se propage de lui même, qui a pour but final de soutirer de l’argent à l’utilisateur. Le ransomware arrive le plus souvent par le téléchargement d’un logiciel malveillant parfois dissimulé dans une pièce jointe d’un email piégé (faux document PDF, WORD…) ou par un lien. Il est également diffusé par le biais de fausses pages web qui tentent d’utiliser des failles de sécurité du système d’exploitation. Cette dernière est de plus en plus utilisée et le sera encore plus avec la fin du support de Windows 7 (voir article).

Le fonctionnement du ransomware est de crypter l’ensemble des données présentes sur votre disque dur et rend impossible l’ouverture de ces fichiers. Le plus souvent, après avoir crypté l’ensemble des fichiers, une fenêtre apparaît à l’écran pour indiquer que l’utilisateur a été piégé. Cette fenêtre indique la rançon à payer pour récupérer la clé de décryptage permettant la récupération des données. Le paiement de la rançon ne garantit que très rarement la récupération des données. Souvent le règlement devra s’effectuer en bitcoins sans jamais revoir ses données. Il est vivement recommandé de ne pas payer et de tenter de récupérer ces fichiers par d’autres moyens.

Comment se protéger ?

• Avoir une sauvegarde externalisée

Toujours avoir une sauvegarde de ses données sur un support externe (serveur externalisé et crypté comme Acronis, Code42..), lecteur de bandes avec externalisation des cassettes. Il est conseillé d’avoir au moins 15 jours de sauvegardes glissantes.

• Mettre à jour ces systèmes d’exploitations

Toujours avoir ses systèmes d’exploitations à jour, les ransomwares ou plus généralement les Malwares utilisent très souvent les failles de sécurité des logiciels ou des systèmes d’exploitation (Windows, iOS, Linux, Android, Linux…). Les versions obsolètes comme Windows XP, Windows 7, Windows 2003 serveur, Windows 2008 et 2008 R2 doivent tout simplement être abandonnées.

• Être attentif aux pièces jointes

Redoubler de prudence avec les pièces jointes et des mails suspects. Ne jamais ouvrir un mail d’un expéditeur inconnu sans être certain de sa provenance, être attentif à des emails mal rédigés (fautes d’orthographe, fautes de grammaire flagrantes…).

• Antivirus à jour

Utiliser un antivirus à jour, le dernier antivirus de Windows 10 est efficace, sinon dans le cas d’une entreprise, s’orienter vers des antivirus comme Sophos, NOD32, Bitdefender…)

Que faire en cas d’infection ?

• Ne pas payer la rançon

Il est peu probable que la récupération des données soit possible. Très souvent, pour vous convaincre, ils vont vous donner deux ou trois fichiers décryptés, puis vous demander une première rançon. Si vous payez, ils peuvent vous redonner quelques fichiers (généralement les moins importants), puis vous demander une deuxième rançon pour avoir d’autres fichiers. Mais vous pouvez très bien ne rien recevoir après avoir payé. Enfin sachez que la payer peut aussi financer le terrorisme !

• Stopper la propagation du ransomware.

Éteindre la machine ou, si l’ensemble des données se trouve sur des disques réseaux, débrancher immédiatement le câble réseau. Et arrêter tout système de sauvegarde tant que le poste n’a pas été désinfecté.

• Désinfecter l’ordinateur

La méthode la plus sûre reste le formatage et la réinstallation du système d’exploitation, on peut également tenter le nettoyage avec des outils proposés par Sophos, Kaspersky…

• Récupération de ses fichiers

Il est clair que la restauration d’une sauvegarde est la meilleure solution, c’est la solution qui permet de récupérer l’intégrité de ses données. Toutefois si aucune sauvegarde n’existe, vous pouvez toujours tenter de rechercher quelques outils et clés de décryptage sur Internet, mais on ne vous cache pas que la perte des données est plus que probable.

Contactez nous pour étudier les mécanismes à mettre en place pour sécuriser vos données : Sauvegarde externalisée, filtre antispam en amont, protection antivirus et mise à jour de vos systèmes d’exploitation.