Supprimer intelligement un rançongiciel en quelques étapes

Supprimer intelligement un rançongiciel en quelques étapes

En 2016, les rançongiciels ont remporté la palme des menaces les plus malveillantes, s’en prenant aussi bien aux particuliers qu’aux professionnels. En 2017, nous avons déjà détecté des variantes plus sophistiquées de rançongiciels à l’apparence plus professionnelle et aux portails de paiement n’ayant rien à envier aux start-up modernes. Le résultat reste le même : les victimes n’ont quand même plus accès à leurs fichiers, et leur écran affiche une demande de rançon adornée d’un beau compte à rebours.

Faut-il alors céder à la panique ? Certainement pas !

Il n’est pas rare que, suite à une attaque de rançongiciels, particuliers comme entreprises prennent une mauvaise décision qui rendra plus difficile la récupération de leurs fichiers. C’est pourquoi nous désirons partager, avec vous tous, cet article détaillé vous indiquant les mesures à prendre si vous vous retrouvez pris en otage par un rançongiciel.

Que sont les rançongiciels ?

Les rançongiciels sont des programmes malveillants qui verrouillent les fichiers des utilisateurs avant de demander à ces derniers de payer une rançon s’ils souhaitent les récupérer. Cette forme de rançongiciel est devenue aujourd’hui le moyen le plus lucratif pour un cybercriminel de se constituer un joli pécule, car les victimes pensent ne pas avoir d’autre choix que de payer, sans aucune garantie toutefois qu’ils récupéreront leurs fichiers.

Dois-je payer la rançon ?

Avant de poursuivre, voici notre conseil : Ne payez pas la rançon ! Payer un criminel ne fera que l’encourager à poursuivre ces activités malveillantes.

Nous comprenons que payer, notamment si vous êtes à la tête d’une grande entreprise, peut sembler être le meilleur moyen de récupérer ses dossiers et d’éviter de devoir admettre que l’on s’est fait pirater ou que les mesures de sécurité informatiques prises par l’entreprise n’étaient pas adéquates (plutôt embarrassant). Néanmoins, dans de nombreux cas, même après avoir payé d’importantes sommes d’argent, les fichiers ne sont pas restitués.

Nous sommes là pour vous aider… et n’attendons rien en retour.

Emsisoft est fier d’être un partenaire associé de No More Ransom, une initiative de l’unité nationale contre les cybercrimes de la police néerlandaise et de deux autres sociétés spécialisées en cybersécurité. Nous avons un objectif commun : aider les victimes de rançongiciels à récupérer leurs données chiffrées sans débourser un centime.

Le combat que mène Emsisoft contre les rançongiciels, en montant au front tous les jours, signifie que nous sommes bien placés pour vous proposer gratuitement des conseils faciles à suivre et sans condition. Commençons !

Un rançongiciel s’en est pris à mon système ! Que dois-je faire ?

Voici ce qu’en pense Fabian Wosar, directeur de la technologie et chef du laboratoire de recherche anti-malware d’Emsisoft :

“Les infections par rançongiciel sont uniques de bien des façons. Plus important encore, suivre son instinct, ce qui est judicieux lorsque vous avez affaire à des infections par logiciel malveillant, peut aggraver encore plus les choses quand il s’agit d’un rançongiciel.”

Alors, respirez profondément, et suivez les conseils suivants :

1. Créez une image de votre système ou sauvegardez-en le contenu

Certaines souches de rançongiciel dissimulent des charges utiles qui supprimeront et écraseront tous les fichiers chiffrés après un certain temps. Les déchiffreurs peuvent ne pas être précis, car les rançongiciels sont souvent actualisés ou présentent des bogues, et parfois endommager certains fichiers lors du processus de récupération. Dans ce cas-là, nous pensons qu’avoir une sauvegarde chiffrée vaut mieux que ne pas en avoir du tout. Donc, nous vous exhortons tout d’abord de :

Créer une sauvegarde maintenant de tous vos fichiers chiffrés avant de faire quoi que ce soit d’autre. Lisez l’article décrivant comment les sauvegardes atténuent les dégâts engendrés par les rançongiciels.

2. Désactivez tout logiciel de nettoyage et d’optimisation de système

De nombreuses souches de rançongiciels, et d’autres fichiers dont elles ont besoin, s’installent dans votre dossier Fichiers temporaires. Si vous utilisez des outils d’optimisation ou de nettoyage du système comme CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk/Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic ou tout autre comparable, vous devez les désactver immédiatement.

Important : Assurez-vous qu’aucune exécution automatique n’est programmée. Sinon, ces applications pourront supprimer de votre système une infection ou d’autres fichiers de rançongiciels nécessaires. Nous en aurons besoin ultérieurement pour déterminer le type de rançongiciel qui vous prend en otage.

3. Mettez en quarantaine, mais ne supprimez pas !

Il se peut que votre solution anti-malware ait déjà mis le fichier infecté en quarantaine. C’est bien ! Mais ne supprimez aucun fichier. Pour comprendre exactement quels dommages le rançongiciel a engendré sur votre ordinateur, il faut que le rançongiciel soit exécutable.

Remarque : Vous pouvez atermoyer l’infection en désactivant toute entrée en exécution automatique connectée à celle-ci ou en mettant les fichiers concernés en quarantaine. Toutefois, il est très important de ne pas les effacer de la quarantaine ou de les supprimer purement et simplement si vous n’avez sauvegardé toutes vos données.

Pour identifier une souche de rançongiciel et proposer un déchiffreur, nous devons avoir accès aux fichiers infectés. En outre, il peut s’avérer utile que vous puissions consulter un échantillon d’un fichier infecté (idéalement, sans donnée à caractère privé, comme une icône de système ou similaire) afin de pouvoir identifier exactement quelle méthode de déchiffrage a été utilisée, et s’il existe des caractéristiques identifiables déjà utilisées par des souches de rançongiciel connues.

4. Serveur infecté : Identifiez le point d’entrée et fermez-le

Nous avons constaté récemment que de nombreux serveurs avaient été compromis. Les rançongiciels accèdent aux serveurs en les attaquant par force brute. Des mots de passe d’utilisateurs sont rapidement envoyés en rafale au serveur via Remote Desktop Protocol (RDP).

Nous suggérons fortement que vous consultiez vos journaux d’événements afin de détecter un grand nombre de tentatives de connexion coup sur coup.

Si vous constatez que tel est le cas ou si vous découvrez que votre journal d’événements est vide, cela confirmera qu votre serveur a été piraté via RDP. Il est donc primordial que vous changiez tous les mots de passe des comptes utilisateurs sur le champ. Nous vous suggérons également, si possible, de désactiver le RDP ou d’au moins en modifier le port.

Important : Vérifiez tous les comptes d’utilisateur sur le serveur pour vous assurer que les attaquants n’ont pas créé de comptes illégaux qui leur permettraient d’accéder au système ultérieurement.

5. Identifiez le type de rançongiciel

Si votre système est infecté mais vous n’en connaissez pas le type, la MalwareHunterTeam viendra à votre rescousse. Ils hébergent ID Ransomware, un service gratuit qui vérifie des signatures spécifiques du code pour déterminer quelle souche est responsable de la perte de vos données. Une fois la souche identifiée, il est plus facile de déterminer si un déchiffreur adéquat est disponible.

Remarque : Si vous souhaitez en savoir plus sur la façon dont les chercheurs en sécurité identifient les rançongiciels, lisez l’interview réalisée avec le chercheur en sécurité Michael Gillespie sur le blog d’Emsisoft.

Des services comme VirusTotal vous permettent également d’analyser tout fichier suspect en quête de signatures douteuses. De tels services sont incroyablement pratiques et, si vous contactez Emsisoft afin que l’on vous vienne en aide, nous vous demanderons probablement de nous communiquer les résultats de l’un ou l’autre de ces services. En nous les faisant parvenir immédiatement, vous pourrez optimiser le temps de récupération de vos fichiers !

5.1 Un déchiffreur est disponible ? Utilisez-le !

Après avoir identifié le type de rançongiciel vous ayant pris en otage, consultez la page decrypter.emsisoft.com dédiée aux déchiffreurs disponibles. Nous travaillons sans relâche pour nous assurer que les déchiffreurs les plus récents y sont repris. Toutefois, gardez à l’esprit qu’il est possible que le déchiffreur dont vous ayez besoin n’y figure pas. Les rançongiciels s’améliorent au quotidien et deviennent de plus en plus sophistiqués.

Si vous trouvez le déchiffreur dont vous avez besoin, suivez les instructions sur la page de téléchargement pour exécuter le programme. Ensuite, pensez à nous confirmer que le processus a fonctionné ! Partagez votre expérience avec nous.

5.2 Aucun déchiffreur ne fait l’affaire ? Aidez-nous !

Afin que notre laboratoire soit en mesure de déchiffrer les nouvelles souches de rançongiciel le plus rapidement possible, n’hésitez pas à contacter l’équipe dès que vous en repérez une, sur le forum et informez-en-nous. Vous pouvez aussi nous contacter par e-mail. Joignez à votre message le fichier malveillant ou le lien VT de votre fichier, l’URL de résultats d’IDRansomware ainsi qu’une paire de fichiers comprenant un fichier en version originale et sa version chiffrée. Trouvez la version originale d’un fichier en utilisant les images par défaut de Windows, les fichiers que vous avez téléchargés ou les fichiers des programmes que vous avez installés.

Si vous avez des questions concernant l’une de ces étapes, n’hésitez pas à nous demander de l’aide. Notre service d’assistance d’urgence en cas de rançongiciels est proposé gratuitement, et nous n’attendons rien en retour, que vous soyez client d’Emsisoft ou non.

Comme vous pouvez le constater, il existe plusieurs mesures à prendre pour bloquer les rançongiciels ou tout du moins en limiter l’impact sur vos données. Alors, pas de panique ! Emsisoft sera à vos côtés tout au long du processus. Pour bénéficier de notre assistance gratuite en tout temps, contactez-nous sur https://support.emsisoft.com/.

Nous vous souhaitons une excellente journée (à l’abri des rançongiciels) !

  • Stéphane Ruiz

    Article oh combien intéressant et utile , merci ;)