logiciel rançonneur Recovery : Comment se remettre d'un logiciel rançonneur

Le logiciel rançonneur existe depuis des décennies, mais les attaques du logiciel rançonneur se sont multipliées ces dernières années après que l'attaque du logiciel rançonneur WannaCry a démontré que ces attaques étaient à la fois efficaces et rentables. Ces dernières années, de nombreux groupes de logiciels rançonneur ont vu le jour et proposent des logiciels malveillants sophistiqués.

Ces groupes ont profité de la pandémie de COVID-19 pour propager leurs attaques via RDP et les postes RVP vulnérables. Cependant, alors que la fin de la pandémie COVID-19 est en vue, la pandémie du logiciel rançonneur semble s'accélérer.

En savoir plus Parlez à un expert

Une recrudescence des attaques contre le logiciel rançonneur

À l'origine, logiciel rançonneur était logiciel malveillant poussé par un seul groupe de menace qui chiffrait les fichiers d'un système et demandait une rançon pour la clé de déchiffrement. Toutefois, au cours des dernières années, le visage de la menace que représente le logiciel rançonneur a radicalement changé.

L'un des changements majeurs est l'escalade croissante de ces attaques. Tout d'abord, les attaques par "double extorsion" ont permis de voler des données sensibles avant de les crypter et de menacer de les divulguer si la rançon n'était pas payée. Ensuite, des groupes de "triple extorsion" ont commencé à menacer les clients de leurs victimes et à leur demander des rançons. Aujourd'hui, certains groupes de rançonneurs de logiciels menacent ou lancent des attaques par déni de service distribué (DDoS) afin d'inciter davantage les victimes à payer la rançon.

Une autre évolution majeure est l'émergence du modèle de logiciel rançonneur en tant que service (RaaS), dans lequel un groupe de logiciels rançonneurs développe des logiciels malveillants qu'il distribue ensuite à des "affiliés" pour qu'ils les utilisent dans leurs attaques. Avec RaaS, davantage de groupes ont accès à des logiciels malveillants sophistiqués, ce qui signifie davantage d'attaques de logiciels rançonneur.

Que faire en cas d'infection ?

Si vous avez été infecté, prenez les mesures suivantes pour gérer l'impact de l'incident et préparer la reprise du logiciel rançonneur :

  1. Restez calme : les attaques du logiciel rançonneur peuvent être stressantes, mais se précipiter peut être synonyme d'erreurs majeures. Garder la tête froide est essentiel pour prendre les bonnes décisions pendant la convalescence d'un logiciel rançonneur.
  2. Quarantaine des systèmes affectés : le logiciel rançonneur tente généralement de se propager à travers le réseau pour infecter le plus grand nombre de systèmes possible. La déconnexion des systèmes infectés du reste du réseau peut contribuer à éviter que d'autres données ne soient également cryptées.
  3. Déconnecter les sauvegardes : le logiciel rançonneur cible généralement les systèmes de sauvegarde car les opérateurs du logiciel rançonneur savent que les entreprises essaieront de récupérer leurs sauvegardes au lieu de payer la rançon. Ne connectez aucune sauvegarde à l'ordinateur infecté et surveillez et mettez en quarantaine toutes les sauvegardes susceptibles d'être infectées.
  4. Faites une copie : le décryptage du logiciel rançonneur ne fonctionne pas toujours, et les décrypteurs du logiciel rançonneur sont en développement constant. Faire une copie des données cryptées peut permettre de les récupérer ultérieurement en cas de problème.
  5. Maintenez les systèmes infectés en ligne : Certaines variantes du logiciel rançonneur peuvent rendre les systèmes infectés instables, ce qui signifie qu'un redémarrage peut les laisser dans un état irrécupérable. N'essayez pas de redémarrer les systèmes ou d'effectuer des mises à jour sur les systèmes infectés pendant que vous travaillez à la suppression du logiciel rançonneur.
  6. Coopérez et communiquez : Prenez contact avec les services de police, les autorités de réglementation et les autres parties prenantes, et envisagez de faire appel à une équipe de réponse aux incidents réputée. Ils peuvent avoir des connaissances spécialisées ou des ressources supplémentaires pour aider à résoudre le problème.
  7. Identifiez la variante : De nombreuses variantes du logiciel rançonneur sont en circulation, et la liste change constamment. Si la demande de rançon n'indique pas le nom de l'auteur, consultez le site No More Ransom Project pour obtenir de plus amples informations et éventuellement un décrypteur gratuit.
  8. Payer ou ne pas payer : cette question est difficile. D'une part, le paiement de la rançon peut permettre une récupération plus rapide et moins coûteuse. En revanche, le paiement n'offre aucune garantie de récupération et fournit aux attaquants les ressources nécessaires pour poursuivre leurs activités.
  9. Tirez les leçons de l'incident : Le logiciel rançonneur a accédé à vos systèmes d'une manière ou d'une autre. Identifiez le vecteur d'infection et fermez-le afin d'empêcher les futurs attaquants d'utiliser les mêmes techniques.

Comment récupérer le logiciel rançonneur

Une attaque réussie du logiciel rançonneur crypte les données de manière à ce qu'il soit impossible de les décrypter sans la clé de décryptage appropriée. Cependant, il existe quelques options pour la récupération du logiciel rançonneur :

  • Le projet No More Ransom : Comme indiqué ci-dessus, le premier endroit où chercher une solution est le projet No More Ransom. Des décrypteurs gratuits ont été publiés pour de nombreuses variantes du logiciel rançonneur, ce qui permet de récupérer le fichier sans payer de rançon. Toutefois, ces outils ne sont généralement pas disponibles pour les variantes les plus courantes du logiciel rançonneur.
  • Restauration à partir de sauvegardes : le logiciel rançonneur tente généralement de supprimer ou de crypter les sauvegardes, mais il est possible que certaines d'entre elles restent intactes. s'ils sont hors ligne ou en lecture seule. Après avoir vérifié que la sauvegarde est propre et effacé complètement l'ordinateur, y compris le Master Boot Record (MBR), il peut être possible d'effectuer une récupération partielle ou complète à partir des sauvegardes.
  • Payer la rançon : L'objectif du logiciel rançonneur est de placer les victimes dans une situation où le paiement de la rançon est la "seule option disponible". La décision de payer ou non dépend de la situation particulière de l'organisation et comporte des risques importants.

Outre la restauration des fichiers, il est essentiel de veiller à ce que les attaquants ne puissent pas recrypter immédiatement les fichiers sur les ordinateurs infectés. L'engagement d'une équipe de réponse aux incidents (IRT) pour identifier et fermer la vulnérabilité utilisée pour accéder à l'environnement de l'entreprise et pour détecter et supprimer les portes dérobées et les mécanismes de persistance installés sur les systèmes infectés est une étape vitale avant de restaurer ces systèmes.

logiciel rançonneur Recovery avec Check Point

En matière de logiciel rançonneur, la prévention est toujours la meilleure option. La mise en place d'une solution anti-logiciel rançonneur avant qu'une attaque ne se produise peut permettre à une organisation d'économiser beaucoup de temps, d'argent et d'ennuis. Pour en savoir plus sur les solutions anti-logiciel rançonneur, consultez ce guide de l'acheteur et demandez une démonstration gratuite d'Harmony Endpoint.

Toutefois, si vous êtes victime d'une attaque réussie par un logiciel rançonneur, il est préférable de faire appel à des experts. Les équipes de Check Point chargées de la détection et de la réponse (MDR) et de la réponse aux incidents (IR) ont une grande expérience de la détection, de l'investigation et de la gestion des infections par le logiciel rançonneur.

Si vous êtes confronté à un incident de cybersécurité, appelez notre ligne d'urgence. Pour des questions moins urgentes et pour en savoir plus sur la façon de vous protéger contre de futures attaques du logiciel rançonneur, contactez-nous.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK