Ca y est, malgré tous les conseils que nous vous avons donné pour vous protéger des ransomwares, vous retrouvez ce matin tous vos fichiers bureautiques, votre compta et vos données clients cryptés par un obscur malware. Que faire, et dans quel ordre ? Dois-je payer la rançon ? Est-il possible de décrypter les fichiers ?

Etape numéro 1 : Supprimer définitivement le malware qui a crypté vos fichiers

Si vous ne supprimez pas le malware, il recryptera vos fichiers, ou pire encore, il risque de crypter votre sauvegarde si vous la connectez à votre réseau ou à un poste infecté. Donc tant que tout votre réseau n'est pas redevenu sain, il ne faut pas connecter de disque dur ou de clé USB de sauvegarde, sur aucun poste.

Retrouver un réseau sain n'est pas si évident que cela :

• Il faut déconnecter tous les postes du réseau. Y compris les postes distants qui se connectent en VPN.
• Il faut scanner tout les fichiers de chaque poste avec un antivirus qui connait le malware et qui est à jour. Commencez par votre contrôleur de domaine. Ne pas oublier les postes distants qui se connectent en VPN.
• Il faut reconnecter les postes sains entre eux.
• Bien entendu, il faut surveiller en parallèle l'activité de votre réseau pour déceler une potentielle nouvelle activité de malware.

Bref, tout cela peut prendre énormément de temps, parfois plusieurs jours !

Restaurer votre sauvegarde la plus récente

Ca y est, votre réseau est sain, vous pouvez restaurer votre sauvegarde. A l'issue, l'incident est clos, votre activité peut reprendre là où elle s'était arrêtée. Parce que bien sûr, vous êtes client chez SecuriteInfo.com, et vous nous avez confié une prestation d'établissement de plan de sauvegarde, ainsi que la sauvegarde de toutes les données vitales de votre entreprise, n'est-ce pas ?

Je n'ai pas de sauvegarde, ou elle n'est que partielle. Peut-on décrypter mes fichiers ?

Le principe même d'un cryptage, c'est que seul celui qui a la clé de décryptage peut décrypter vos fichiers. Dans le cadre d'un chantage au ransomware, vous ne l'avez pas. Vous ne pouvez donc pas décrypter vos fichiers. Sauf dans certains cas très rares... Mais nous allons y revenir.

Le hacker me propose de me donner la clé de décryptage contre des Bitcoins. Faut-il payer la rançon d'un ransomware ?

Réponse rapide : Non.

Vous n'avez aucun moyen de savoir si le hacker qui recevra votre paiement va vous donner la clé de décryptage ou le logiciel permettant de décrypter. C'est donc la roulette russe en terme de fiabilité de votre correspondant. N'oubliez pas que c'est un cybercriminel...

Donc en plus de perdre vos données importantes, vous pouvez faire un gros trou dans votre trésorerie, et ne pas avoir avancé un poil dans la résolution de votre problème.

Payer la rançon c'est aussi encourager les hackers à continuer leur business lucratif à détruire les données des autres entreprises.

Dans certains cas, on peut quand même décrypter les fichiers modifiés par un ransomware

Il existe des logiciels de décryptage pour certains ransomware connus. Si vous avez
énormément de chance, vous pourrez venir à bout de ce cryptage et retrouver vos fichiers comme ils étaient avant. Pour cela il faut identifier le ransomware qui a crypté vos fichiers, et voir s'il existe un logiciel permettant de les décrypter.

Identifier le ransomware

Pour connaitre comment sont cryptés vos fichiers il faut savoir quel type de ransomware les a cryptés.
Le site web ID Ransomware permet de le savoir par 2 manières. Soit par le fichier d'instruction, soit par l'envoi d'un fichier crypté.

Si, à ce stade, ni ID Ransomware ni Crypto Sheriff n'a réussi a identifier le malware, par exemple parce que le ransomware est très récent, alors vous pouvez considérer vos fichiers comme définitivement perdus.

Rechercher un décrypteur

Il existe quelques sites web, notamment des éditeurs antivirus, qui offrent gratuitement des logiciels de décryptage en fonction du ransomware.
Bien entendu, il faut choisir le logiciel en fonction du ransomware qui a crypté vos fichiers. C'est pour cela qu'il faut identifier le ransomware au préalable.

• Avast sur avast.com
• Avast sur avast.io
• Kaspersky
• Bitdefender
• Emisoft

S'il n'existe pas de logiciel permettant de décrypter vos fichiers, alors vous pouvez considérer vos fichiers comme définitivement perdus.

Quelle conclusion tirer de ce cryptage imprévu de vos fichiers ?

La plupart des ransomwares demandent plusieurs (dizaines de ?) milliers d'euros pour décrypter vos fichiers. Sachez que nos prestations pour vous protéger avant que cela n'arrive sont bien moins chères. Comme par exemple protéger votre messagerie électronique, installer une sauvegarde efficace et protégée de ransomwares, déployer un antivirus performant sur votre réseau, etc. N'hésitez pas à nous contacter pour de plus amples informations.

Tags

MALWARE CYBERCRIMINALITÉ CRYPTOGRAPHIE ANTIVIRUS OUTIL D'ADMINISTRATION

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...