Imaginez-vous en train de mettre la dernière main à un rapport de travail important lorsque vous perdez soudainement l'accès à tous les fichiers. Ou vous recevez un message d'erreur étrange vous demandant d'envoyer du Bitcoin pour décrypter votre ordinateur.
Quel que soit le scénario, une attaque de ransomware peut être dévastatrice pour ses victimes. Apprenons-en plus sur les ransomwares et les mesures immédiates que vous pouvez prendre suite à une attaque de ransomwares.
Qu'est-ce qu'un ransomware ?
Le ransomware est une attaque malveillante qui laisse vos données verrouillées ou cryptées par des cybercriminels anonymes. Les attaquants fournissent des instructions sur la façon de décrypter les fichiers, et les victimes peuvent éventuellement récupérer leurs fichiers après avoir payé une lourde « rançon » à l'avance.
Certaines activités peuvent mener à une attaque de ransomware. Dans une large mesure, deux tactiques malveillantes, appelées « ingénierie sociale » et « mouvement latéral », peuvent être en cause.
Dans certains cas, les cybercriminels peuvent organiser une attaque de ransomware à l'avance et l'exécuter plus tard, de sorte que l'attaque réelle puisse se produire des jours après l'infiltration du réseau.
En rapport: Qu'est-ce que l'ingénierie sociale? Voici comment vous pourriez être piraté
Étapes à suivre après avoir été touché par un ransomware
La prévention est la meilleure forme de défense contre les ransomwares. Si vous ou votre entreprise n'avez pas mis en place de solides mesures de sécurité préventives, vous pouvez souvent vous retrouver au milieu d'une attaque de ransomware.
Une attaque de ransomware peut être totalement dévastatrice. Mais si vous agissez rapidement immédiatement après une attaque de ransomware, vous pouvez atténuer une partie des dégâts.
Voici 10 étapes à suivre après une attaque de ransomware.
1. Restez calme et recueilli
Il est difficile de rester calme et serein lorsque vous ne pouvez pas accéder à des fichiers importants sur votre ordinateur. Mais la première étape à franchir après avoir été touché par un ransomware est de ne pas paniquer et de garder la tête froide.
La plupart des gens s'empressent de payer la rançon avant d'analyser la gravité de la situation dans laquelle ils se trouvent. Rester calme et prendre du recul peuvent parfois ouvrir la porte à des négociations avec l'agresseur.
2. Prenez une photo de la note Ransomware
La deuxième étape consiste à prendre immédiatement une photo de la note du ransomware sur votre écran via votre smartphone ou un appareil photo. Si possible, prenez également une capture d'écran sur la machine affectée.
Cela vous aidera à déposer un rapport de police et accélérera le processus de récupération.
3. Systèmes affectés par la quarantaine
Il est important d'isoler les systèmes affectés dès que possible. Les ransomwares scannent généralement le réseau cible et se propagent latéralement vers d'autres systèmes.
Il est préférable de séparer les systèmes affectés du réseau pour contenir l'infection et empêcher la propagation du ransomware.
Heureusement, il existe de nombreux outils de décryptage disponibles en ligne, dans des endroits tels quePlus de rançon.
Si vous connaissez déjà le nom de votre souche de ransomware, vous pouvez simplement le brancher sur le site Web et rechercher le décryptage correspondant. La liste n'est pas alphabétique et le site ajoute de nouveaux outils de décryptage en bas de la liste.
5. Désactiver les tâches de maintenance
Vous devez immédiatement désactiver les tâches de maintenance automatisées, telles que la suppression des fichiers temporaires et la rotation des journaux, sur les systèmes concernés. Cela empêchera ces tâches d'interférer avec les fichiers qui pourraient être utiles pour l'analyse médico-légale et l'enquête.
6. Déconnecter les sauvegardes
La plupart des souches de ransomwares modernes s'attaquent immédiatement aux sauvegardes pour contrecarrer les efforts de récupération.
Ainsi, il est impératif pour vous ou votre organisation de sécuriser vos sauvegardes en les séparant du reste du réseau. Vous devez également verrouiller l'accès aux systèmes de sauvegarde jusqu'à ce que l'infection soit supprimée.
7. Identifier la variante d'attaque
Pour déterminer la souche de ransomware, vous pouvez utiliser des services gratuits tels que Outil d'identification de ransomware en ligne d'Emsisoft ou Identifiant Ransomware.
Ces services permettent aux utilisateurs de télécharger un échantillon du fichier crypté, toute demande de rançon laissée et les informations de contact de l'attaquant, le cas échéant. L'analyse de ces informations peut identifier le type de souche de ransomware qui a eu un impact sur les fichiers de l'utilisateur.
8. Réinitialiser les mots de passe
Modifiez tous les mots de passe en ligne et de compte une fois que vous avez déconnecté les systèmes concernés du réseau.
Une fois le ransomware supprimé, vous devez à nouveau modifier tous les mots de passe système.
9. Signaler le ransomware
Dès que vous remarquez une attaque de ransomware, assurez-vous de contacter les forces de l'ordre.
Le ransomware est un crime et doit être signalé aux autorités locales chargées de l'application des lois ou au FBI. Même si les forces de l'ordre ne peuvent pas vous aider à décrypter vos fichiers, elles peuvent au moins aider les autres à éviter un sort similaire.
10. Décidez de payer ou non
Décider de payer pour un ransomware n'est pas une décision facile et comporte des avantages et des inconvénients. Ne payez pour un ransomware que si vous avez épuisé toutes les autres options et que la perte de données est plus dommageable pour vous ou votre entreprise que de payer la rançon.
Conseils pour atténuer les attaques de ransomware
La prévalence croissante de la cybercriminalité pousse les organisations à repenser leurs stratégies de sécurité. Voici quelques conseils qui peuvent vous aider à atténuer les attaques de ransomware.
- Restreindre les privilèges administratifs : Soyez prudent lorsque vous attribuez des privilèges administratifs, car le compte administrateur a accès à tout, y compris la modification des configurations ou le contournement des paramètres de sécurité critiques. Employez toujours le Principe du moindre privilège (PLOP) lors de l'octroi de tout type d'accès.
- Applications de correctifs : Si vous découvrez une faille de sécurité, corrigez-la dès que possible pour éviter les manipulations et les abus de la part des pirates.
- Utiliser la liste blanche des applications : La liste blanche des applications est une technique proactive d'atténuation des menaces qui permet aux programmes préautorisés de s'exécuter tandis que tous les autres restent bloqués par défaut. Il aide à identifier les tentatives illégales d'exécution de code malveillant et empêche également les installations non autorisées.
- Méfiez-vous des e-mails : Les e-mails sont les plus vulnérables aux ransomwares, il est donc impératif de renforcer la sécurité des e-mails. Les passerelles de messagerie sécurisées garantissent que toutes les communications par e-mail sont filtrées ainsi que l'activation des défenses d'URL et des pièces jointes bac à sable pour identifier les menaces de manière proactive. Autant les escroqueries par hameçonnage par e-mail doivent être évitées, autant faire attention à la protection après la livraison.
- Offrir une formation de sensibilisation à la sécurité : Étant donné que le comportement humain est à l'origine de toutes les attaques de ransomware, la formation à la sensibilisation à la sécurité est indispensable pour tous les employés. Cette formation est impérative car elle apprend aux utilisateurs à distinguer les menaces réelles des données légitimes.
- Utiliser l'authentification multifacteur : L'authentification multifacteur (MFA) ajoute une couche de sécurité supplémentaire car elle nécessite au moins deux éléments de preuve pour se connecter à des solutions d'accès à distance, comme la banque en ligne ou d'autres actions privilégiées, qui nécessitent des informations sensibles information.
- Utilisez des sauvegardes quotidiennes : Les sauvegardes régulières des données font partie intégrante d'un plan de reprise après sinistre. En cas d'attaque par ransomware, vous pouvez récupérer et accéder aux données sauvegardées. Vous pouvez toujours décrypter vos données d'origine en restaurant des sauvegardes réussies.
En plus d'être très prudent, n'oubliez jamais que les attaques de logiciels malveillants, y compris les logiciels de rançon, ciblent les logiciels non corrigés et obsolètes. Il est donc important que tous les logiciels exécutés sur votre machine soient à jour avec toutes les dernières mises à jour de sécurité en place.
Défendez-vous contre les ransomwares
Si vous êtes victime d'une attaque de ransomware, gardez à l'esprit que vous pouvez réduire son impact si vous prenez des mesures rapides et immédiates après l'attaque.
Bien que simple dans son concept, le ransomware est implacable et dommageable. Mais avec une diligence raisonnable et en suivant une bonne hygiène de sécurité, vous pouvez arrêter ces attaques malveillantes avant qu'elles ne causent des dommages importants.
Un gang de ransomware opérant depuis 2019, Ragnarok fait à nouveau l'actualité. Mais cette fois, c'est peut-être pour les bonnes raisons ???
Lire la suite
- Sécurité
- Ransomware
- La cyber-sécurité
- Conseils de sécurité
Kinza est une journaliste technologique avec un diplôme en réseaux informatiques et de nombreuses certifications informatiques à son actif. Elle a travaillé dans l'industrie des télécommunications avant de se lancer dans la rédaction technique. Avec une niche dans les sujets liés à la cybersécurité et au cloud, elle aime aider les gens à comprendre et à apprécier la technologie.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner