Ransomware et rançongiciel : le guide complet

Written By: Ontrack

Date Published: 24 octobre 2023

Ransomware et rançongiciel : le guide complet

  • Quelle est la définition d'un ransomware ?

    Un ransomware, ou rançongiciel, est un type de malware qui empêche les utilisateurs d’accéder à leurs fichiers en les chiffrant, ou par un autre moyen. Lorsque les utilisateurs tentent d’accéder à leurs données, ils reçoivent une notification exigeant le paiement d’une rançon pour obtenir l’accès à celles-ci.

    Existant depuis les années 1980, la dernière décennie a vu de nombreux chevaux de Troie de type ransomware faire leur apparition, mais le phénomène s’est surtout accentué depuis l’introduction du Bitcoin. Cette cryptomonnaie permet aux assaillants de collecter les rançons versées par leurs victimes sans passer par les canaux traditionnels.

Une attaque de rançongiciel commence lorsqu'un logiciel malveillant est téléchargé sur un appareil (ordinateurs portables, smartphones, ordinateurs de bureau...). Le logiciel malveillant est habituellement téléchargé suite à une erreur humaine ou à cause de protocoles de sécurité inadéquats.

Au cours des dernières années, les attaques de phishing sont devenues un moyen répandu de propagation des ransomwares. On parle de phishing lorsqu'un cybercriminel envoie un email contenant une pièce jointe ou un lien infectés, le déguisant en courrier légitime, dans l'espoir que cela incitera le destinataire à l'ouvrir. Une fois ouvert, le rançongiciel s'installe sur l'appareil.

Le "cheval de Troie" est un autre style d’attaque fréquent qui consiste à déguiser les ransomwares en logiciels légitimes, puis à infecter les appareils suite à son installation.

Une fois que le ransomware a infecté un système, il prend le contrôle de ses processus critiques et chiffre toutes les données de l'appareil, effaçant toutes celles qu'il ne parvient pas à chiffrer. Il infecte également tous les périphériques externes branchés à la machine hôte et tous les appareils connectés sur le réseau.

Un sujet d’actualité qui n’épargne personne

Les ransomwares ont le vent en poupe ces derniers temps et le nombre de versions ainsi que de contaminations ne cesse d’augmenter. Ce type de malware n’épargne personne : particuliers, ministères, entreprises, hôpitaux... Cela s’explique par plusieurs facteurs.

Tout d’abord, il est très difficile pour un antivirus ou tout autre logiciel de détection de bloquer ce type de malware. En effet, les technologies de détection ont généralement du retard sur des virus qui évoluent très vite. Ils ont aussi l’avantage, par leur diffusion via email, de toucher très vite une très grande quantité de potentielles victimes. Celles-ci se laissent piéger facilement par les titres accrocheurs des spams. Les menaces se dissimulent dans l’activité normale des gens, ils s’implantent sur des sites légaux et légitimes.

Ensuite, le ransomware peut être très rentable. En effet, si la rançon pour un particulier peut varier d’une centaine d’euros au millier d’euros, quand il s’agit de plus grandes organisations comme des entreprises ou alors des hôpitaux (une cible favorite de ce type de malware), la rançon peut alors atteindre plusieurs milliers d’euros voir le million d’euros pour les victimes les plus importantes. Tout cela en ne prenant aucun risque de traçabilité, grâce au bitcoin qui permet d’effectuer les transactions de façon anonyme.

Enfin, les pirates profitent du manque de connaissance et de protection des potentielles victimes. Si les hôpitaux sont des cibles prioritaires, c’est par leur manque de sécurité et la valeur des données présente dans leur système. De plus, la France est un des trois pays les plus touchés. Cela s’explique par le manque de sensibilisation, à l’école ou en entreprise, des internautes sur les dangers d’Internet. La France étant un pays riche, elle est aussi une cible de choix, les victimes préférant payer pour retrouver leurs données le plus vite possibles.

Exemples de rançongiciels et modes de diffusion

Il existe de nombreuses variantes et des nouvelles sont créées en permanence. Vous trouverez ci-dessous les ransomwares les plus célèbres.

Le premier ransomware de l’histoire référencé est apparu en 1989. Il se nommait PC Cyborg Trojan. Cependant, les versions modernes sont apparues en 2010, d’abord en Russie, puis se sont développées dans d’autres pays comme l’Australie, l’Allemagne ou encore les États-Unis. Aujourd’hui, avec la démocratisation d’Internet, le monde entier est concerné par les rançongiciels.

La méthode de diffusion utilisée dans le cas d’un ransomware est l’email. De par leur utilisation dans toutes les entreprises du monde, l’email professionnel est une cible de choix. Pour infecter sa cible, au sein de l’email, sous forme de lien ou de pièce jointe (document en.doc .zip ou tout autre format), un fichier va être déposé dans le but d’attiser la curiosité ou de susciter l’inquiétude de l’utilisateur. Le blocage par le virus se fait de la même manière que celui dit du "cheval de Troie". Par exemple, dans le cas du ransomware Petya, au sein de l’email envoyé, se trouvait une référence à un CV situé dans Dropbox. Une fois sur Dropbox et le fichier récupéré, il s’avérait que celui-ci était un exécutable Une fois lancé, il faisait planter l’ordinateur et cryptait ses données. Dans le cas de Locky, le fichier, écrit dans un français correct, contrairement à d’anciens ransomwares, peut être présenté comme étant une facture urgente ou bien une convocation au tribunal. Difficile alors pour l’utilisateur de ne pas être tenté de cliquer !

Des ransomwares plus développés comme SamSam ciblent directement les serveurs vulnérables. Samsam s’est notamment introduit dans le réseau de plusieurs hôpitaux en testant la vulnérabilité connue des serveurs non mis à jour. En cas de succès, le pirate a accès au réseau et prend possession des données clés du système pour les chiffrer - SamSam étant indétectable et causant un maximum de dégâts.

Une fois ce fichier exécuté, l’ensemble du disque dur interne ainsi que l’ensemble des périphériques connectés (clé usb, disque dur externe…) et des réseaux partagés deviennent alors cryptés. Afin de pouvoir les déverrouiller, l’utilisateur devra utiliser une clé, que seul le pirate possède. Cette clé sera donnée à la victime en échange d’une somme d’argent variable et souvent demandée en Bitcoin afin qu’il n’y ait aucune traçabilité et pour garantir l’anonymat du receleur.

Phishing

Le système de diffusion de rançongiciel le plus courant est un email de phishing contenant une pièce jointe ou un lien. Lorsque l’utilisateur ouvre la pièce jointe ou clique sur le lien, le ransomware exécute un programme qui verrouille le système et affiche une demande de rançon. Lorsque cela se produit, le seul moyen de déchiffrer les données est en utilisant une clé mathématique que seul l’assaillant connaît.

D’autres cas ont été relevés où un malware affiche un message indiquant que le « Windows » de l’utilisateur est verrouillé. L’utilisateur est alors encouragé à appeler un numéro de téléphone « Microsoft » et à entrer un code à six chiffres pour réactiver le système. Le message affirme que l’appel est gratuit, mais ce n’est pas vrai. Tandis que l’utilisateur est au téléphone avec le faux service Microsoft, celui-ci paye le prix d’une communication longue distance.

CryptoLocker

CryptoLocker, la variante de ransomware la plus sophistiquée jamais inventée, chiffre tous les fichiers sur l'ordinateur et peut même chiffrer des ressources sur le réseau. Ainsi, même si vous utilisez un logiciel de sauvegarde automatique et que la sauvegarde est disponible sur le réseau pendant l'attaque, elle sera elle aussi chiffrée.

Après l'ouverture d'une pièce jointe infectée, CryptoLocker est installé sur votre ordinateur, télécharge une clé privée depuis un serveur contrôlé par les agresseurs, puis chiffre vos fichiers à l'aide d'un algorithme RSA 2048-bit. Ensuite, un message s'affiche indiquant que vous avez 72 heures pour payer la rançon. Passé ce délai, le programme sera automatiquement désinstallé - ainsi que la clé publique, ce qui rendra le décryptage de vos fichiers impossible.

La même chose se produira si vous désinstallez le programme vous-même ou avec n'importe quel logiciel antivirus : la clé publique sera également éliminée, vous laissant avec des fichiers inutilisables qui, pour l'instant, NE PEUVENT PAS ÊTRE DÉCHIFFRÉS (ceci pourrait être possible avec l'ordinateur quantique - des recherches sont en cours depuis des années, mais sans succès pour l'instant). En reformulant : avec les moyens techniques actuels, le RSA 2048-bit ne peut être craqué.

Doxware

Un autre type de logiciel malveillant est appelé "leakware" ou "doxware" lorsque le cybercriminel menace de divulguer des données sensibles, stockées sur l'ordinateur de la victime, à moins qu'une rançon ne soit versée. Les emails et les documents Word sont souvent ciblés mais il y a également eu des cas de variantes mobiles où des SMS, messages privés, photos et listes de contacts provenant des smartphones des victimes ont été diffusés.

En terme de gain financier, le doxware est reconnu comme un malware plus efficace que le ransomware. Avec un ransomware, vous pouvez conserver des copies de vos données sur des sauvegardes séparées et hors-ligne, mais avec un doxware, une fois que l'attaquant a récolté les informations que la victime ne veut pas rendre publiques, il n'y a pas grand chose à faire d'autre que payer la rançon demandée.

Anatova

L’une des découvertes de 2019 a été le ransomware Anatova. Cette nouvelle famille de rançongiciel imite l’icône d’un jeu ou d’une application afin de tromper l’utilisateur pour qu’il le télécharge.

Il s’agit d’une sorte de malware extrêmement avancée qui s’adapte rapidement et utilise des techniques de contournement et de diffusion pour empêcher sa découverte. Du fait de sa conception modulaire, il peut intégrer des fonctions supplémentaires lui permettant de contrecarrer les méthodes anti-ransomware. Heureusement, l’équipe McAfee Advanced Threat Research a découvert cette nouvelle famille de rançongiciel début 2019, avant qu’elle ne devienne une menace importante.

Dharma

Le ransomware Dharma, une variante de CrySiS, est présent depuis 2018, mais les cybercriminels continuent de publier de nouvelles variantes impossibles à déchiffrer.

GandCrab

Un rançongiciel malicieux qui utilise le chiffrement AES et place un fichier appelé « GandCrab.exe » sur le système. GandCrab cible les particuliers et les entreprises ayant des PC fonctionnant avec Microsoft Windows.

Le 31 mai 2019, les cybercriminels à l’origine de GandCrab ont envoyé un message indiquant qu’ils arrêtaient les attaques ransomware avec GandCrab, affirmant qu’ils avaient reçu plus de 2 milliards de dollars de rançons et qu’ils souhaitaient « profiter d’une retraite bien méritée ».

Emotet

Emotet, un cheval de Troie utilisé pour intercepter les identifiants bancaires, a été découvert en 2014. Plus récemment, les cybercriminels l’utilisent pour la diffusion d’autres chevaux de Troie. Il a introduit plusieurs fonctionnalités avancées au cours des années suivantes du fait de sa structure modulaire, telles qu’un module d’installation, un module bancaire et un module DDoS. Emotet est principalement diffusé par le biais d’emails de phishing à l’aide de différentes techniques d’ingénierie sociale.

Ryuk

Ryuk cible en particulier les organisations de grande taille dont le rendement financier est élevé. D’après CrowdStrike, entre août 2018 et janvier 2019, Ryuk a dégagé un revenu net supérieur à 705,80 bitcoins sur 52 transactions, ce qui représente un total de 3 701 893,98 dollars. Il a commencé à faire parler de lui avec son attaque sur les opérations de Tribune Publishing pendant la période de Noël 2018. La société a d’abord cru à une panne de serveur, mais il est très vite apparu qu’il s’agissait d’une attaque du ransomware Ryuk.

La « chasse au gros gibier » est un autre terme pour désigner ce type de rançongiciel qui cible les grandes entreprises au ROI élevé. Ces attaques à grande échelle impliquent une personnalisation détaillée des campagnes afin d’être le mieux adaptées aux cibles individuelles, augmentant ainsi l’efficacité des attaques. Par conséquent, la « chasse au gros gibier » demande beaucoup plus de travail de la part d’un hacker ; d’autre part, celle-ci est lancée par phases.

Par exemple, la phase 1 peut être une attaque par phishing ayant pour but d’infecter un réseau d’entreprise avec un malware afin de cartographier le système et d’identifier les actifs majeurs à cibler. Les phases deux et trois seront des attaques en séries avec extorsion et demande de rançon.

Wannacry, BlackCat, Conti...

La liste ne cesse de s'allonger, les hackers redoublant d'ingéniosité pour contourner les mesures de sécurité mises en places, exploiter les failles des différents systèmes d'exploitation et extorquer leurs victimes.

Ransomware sur Mac et Linux

Les ransomwares touchent particulièrement les ordinateurs équipés d’un système d’exploitation Windows. Pourtant, on constate une forte augmentation du nombre de malwares qui s'attaquent aux Mac et Linux.

En effet, historiquement, les malwares se focalisaient plus sur Windows car ce système d'exploitation était de loin le plus répandu et a toujours été exposé à des risques plus élevés d’ attaques de virus. Mais aujourd'hui les utilisateurs Mac et Linux sont toujours plus nombreux via les systèmes d'exploitation MasOS et Android embarqués sur la quasi totalité des smartphones.

Les Macs sont toujours plus sécurisés que les PC Windows ?

Les utilisateurs de Mac restent encore beaucoup moins vulnérables que les utilisateurs de Windows, car la propagation de ransomware sur Mac nécessite jusqu'à présent une intervention manuelle de l'utilisateur. Néanmoins, cela ne signifie pas que les utilisateurs de Mac ne doivent pas se montrer vigilants. Les cybercriminels s’intéressent de plus en plus à eux. Alors macOS pourrait devenir aussi vulnérable que Windows.

Le rançongiciel "Patcher" a été découvert comme un logiciel qui propose de craquer Microsoft Officeou encore Adobe Premiere CC. Le problème est que ce « Patcher » ne contient pas de lignes de codes lui permettant de communiquer avec un serveur C & C, l’utilisateur ne peut donc pas déchiffrer les données, ni même l’auteur du ransomware. Par conséquent, la victime ne peut pas payer la rançon demandée et ses données restent cryptées.

En 2016, "KeRanger" a créé le « buzz » en devenant le premier ransomware à s'attaquer exclusivement aux Mac. Plus de 7000 Macs ont alors été attaqués. Le ransomware s‘est connecté avec des serveurs et a commencé à chiffrer certains fichiers système OS X et des fichiers de sauvegarde Time Machine pour empêcher les victimes de récupérer leurs données de backup. Il est donc important que les sauvegardes s’effectuent sur un support de stockage externe et non connecté au réseau.

Les cybercriminels s'intéressent aussi aux machines Linux

Les machines Linux ne sont pas non plus à l’abri de ce fléau. Un parasite, appelé "KillDisk" s’est pris aux  machines sous Linux après avoir ciblé les systèmes Windows. Le malware KillDisk s'était notamment fait connaître dans le cadre d'une cyberattaque qui avait provoqué une coupure d'électricité à l'ouest de l'Ukraine fin 2015.

Un autre problème est que la clé de décryptage générée par le programme pour déverrouiller les données n'est stockée nulle part. Ainsi, les données éventuellement chiffrées ne peuvent pas être déverrouillées, que la rançon soit payée ou non.

Le malware « KeRanger » serait un dérivé du malware Linux  "Linux.Encoder". KeRanger ciblait le système d'exploitation open source. Ce malware était plutôt simple à corriger et loin d'être parfait. Il était ainsi possible de générer une clé de déchiffrement sans avoir besoin à payer la rançon fixée par les hackers.

Ransomware sur smartphone : le meilleur choix pour les hackers

Presque tout le monde a aujourd'hui un petit ordinateur de poche, un smartphone, sur lequel sont stockées une grande variété de données privées et professionnelles. Ils sont devenus la cible favorite des hackers.

Mais les attaques par malware nécessitent que le propriétaire du smartphone participe activement à ces attaques. Fausses applications ou failles de sécurité sont autant de menaces planant sur les smartphones et d'opportunités pour les hackers de mettre en place des programmes malveillants, de demander des rançons pour débloquer un appareil ou voler des données sensibles.

Cependant, tout n'est pas perdu ! Avec le mode sans échec d'Android, vous pourrez supprimer toutes les applications malveillantes. Si cela ne fonctionne pas, vous pouvez restaurer les paramètres par défaut de votre mobile, ce qui malheureusement effacera toutes les données stockées.

Bien que le système d'exploitation Android développé par Google réagisse plutôt bien aux attaques de logiciels malveillants, il peut être distribué par de nombreux acteurs de l’écosystème global. Résultat : les utilisateurs ne reçoivent pas les mises à jour dans un délai raisonnable

Pourquoi les iPhones sont réputés plus sûr que les smartphones Android

La première raison est que Apple ne fonctionne pas avec les logiciels open source, de plus Apple est réactif pour résoudre les problèmes liés à un bug ou une infection de virus... De même, Apple fournit rapidement à ses clients des mises à jour sans avoir recours à des sociétés externes. Mais cela ne le dispense pas de présenter de temps en temps certaines vulnérabilités. Par conséquent, il est recommandé - comme avec tous les ordinateurs - de créer fréquemment des sauvegardes de vos données sensibles.

Dans le cas où votre système de sauvegarde n’a pas fonctionné et que vos données ont été cryptées par un rançongiciel, vous devriez contacter immédiatement un fournisseur spécialisé en récupération de données après attaque de ransomware tel que Ontrack.

Un conseil, ne tentez pas de suivre les forums sur internet, il vaut mieux arrêter de manipuler votre smartphone, l’éteindre et l'envoyer directement à un laboratoire de récupération de données. Les experts vérifieront ce qui s'est passé et récupéreront vos données en toute sécurité.

Suis-je une cible pour les ransomwares ?

Aucun secteur d'activité n'est à l'abri, mais certains sont plus susceptibles que d'autre d'en être victime. Il y a plusieurs raisons à cela : la technologie et la sécurité dont ils disposent, la maturité de leur politique de gestion des identités et des privilèges, et leurs protocoles de cyber sécurité en général.

Si vous suivez les informations, vous aurez remarqué que les cybercriminels ne semblent pas avoir de préférence quant à leurs cibles, qui peuvent aussi bien être un hôpital de province qu'une grande compagnie aérienne internationale. Les cibles les plus à risque étant les instituts de santé, les institutions financières et les agences gouvernementales qui doivent prendre des précautions afin de réduire le risque et atténuer les effets d'une attaque.

Les cybercriminels choisissent habituellement leurs victimes sur la base de deux facteurs :

  • Opportunité : Si une organisation a une petite équipe IT, manque de ressources informatiques et a une base d'utilisateurs qui partagent de nombreux fichiers, comme par exemple une université, alors un attaquant peut considérer cela comme une cible facile,
  • Gain potentiel : Les entreprises ou organismes ayant besoin d'un accès immédiat et permanent à leurs dossiers, par exemple les cabinets d'avocats ou les services publics, peuvent être plus susceptibles de payer une rançon rapidement. Les organisations possédant des données sensibles peuvent également être prêtes à payer pour garder secrète la nouvelle d'une violation de données.

Comment se protéger des ransomwares ?

La première défense contre ce type d’attaque est tout simplement vous ! Le fichier malveillant se trouvant dans vos emails, plus particulièrement en pièce jointe, il suffit de ne pas l’ouvrir afin de ne pas être infecté.

Si vous n’êtes pas client d’une entreprise, pourquoi recevriez-vous une facture de cette entreprise ? Pourquoi recevoir des cadeaux d’un concours auquel vous n’avez pas participé ? Autant de subterfuges utilisés par les pirates qui pourraient être évité.

La deuxième méthode à votre disposition est la réalisation de sauvegardes régulières de vos fichiers. En effet, le meilleur moyen de conserver vos fichiers professionnels et privés est de réaliser une sauvegarde sur clé USB, disque dur ou serveur. Ainsi, même si le pirate a réussi à crypter vos données, celle-ci seront saines et sauves sur votre support de stockage. Il est aussi important de ne pas laisser connecter en permanence vos disques durs externes et vos serveurs. Cela permettra au pirate de seulement toucher votre ordinateur et non l’ensemble de votre installation.

Enfin, la troisième et dernière méthode, réside dans la mise à jour de votre antivirus. Il est un outil indispensable de la protection de votre ordinateur. Cependant il faut être prudent, car un virus mute rapidement, et même si votre antivirus est capable de contrer les anciennes versions des ransomwares, il existe souvent un retard dans les technologies de détection par rapport aux mutations.

Afin d’anticiper une attaque, il convient de sensibiliser régulièrement les employés d’une entreprise quel que soit le niveau de responsabilité exercé. Tout salarié connecté au réseau de l’entreprise est susceptible d’être le destinataire d’un email piégé pouvant infecter son ordinateur ou le réseau entier. Effectuer une veille informatique peut vous sauver. Rien de mieux que d’être au courant d’une vague d’attaque de ransomware afin d’augmenter sa vigilance et ainsi éviter l’emprisonnement de vos précieuses données.

En entreprise, l'une des actions les plus importantes est la mise en place d'un plan de reprise d'activité en cas de sinistre. Si vous n'en avez pas, il y a de fortes chances que les conséquences soient graves. Selon la National Archives and Records Administration, 93 % des entreprises qui subissent une perte de données et un temps d'arrêt d'activité de 10 jours ou plus font faillite dans les 12 mois.

Un plan de reprise d'activité décrit différents scénarios de sinistre, comme une attaque de ransomware, et les actions à prendre pour reprendre rapidement l'activité. Un élément clé du plan de continuité d'une entreprise est le plan de récupération après sinistre qui doit permettre de prévenir suffisamment les effets négatifs d'une perte de données.

Si vous n'en avez pas encore un en place, vous pouvez télécharger notre modèle gratuit de plan de reprise d'activité après sinistre.

  • Les recommandations en résumé :

  • 1. Assurez-vous d'avoir des sauvegardes à jour : si quelque chose se produit, la restauration de vos fichiers depuis une sauvegarde est le moyen le plus rapide de retrouver l'accès à vos données,

    2. Testez régulièrement vos sauvegardes : il est important de connaître précisément les données contenues sur vos sauvegardes, ainsi que leur emplacement, et de s'assurer que les données les plus critiques restent accessibles si jamais un ransomware ciblait vos sauvegardes,

  • 3. Mettez en place des politiques de sécurité : Utilisez des logiciels antivirus et anti-malware récents et à jour pour éviter les infections.

  • 4. Élaborez des politiques informatiques limitant les infections sur les autres ressources du réseau : les entreprises doivent mettre en place des mesures de protection, de sorte que si un appareil est infecté par un rançongiciel, celui-ci ne pénètre pas dans l'ensemble du réseau,

  • 5. Formez les utilisateurs pour s'assurer qu'ils peuvent repérer une attaque potentielle : veillez à ce que les employés connaissent les meilleures pratiques pour éviter de télécharger accidentellement des ransomwares ou d'ouvrir le réseau à des personnes extérieures,

  • 6. Veillez à ce que vos serveurs de messagerie soient équipés d'un système de surveillance et de filtrage de contenu : Analysez chaque courrier électronique entrant pour détecter les menaces connues et bloquez tout type de pièce jointe susceptible de constituer une menace,

  • 7. Téléchargez nos principaux conseils de prévention contre les ransomwares,

  • 8. Regardez notre webinaire "Ransomware : prévention et récupération" (Anglais), réalisé en partenariat avec NetApp.

Réduire votre surface d'exposition

La gestion des données tout au long de leur cycle de vie n'est souvent pas prise en compte dans de nombreuses organisations. Malheureusement, sans une stratégie de gestion du cycle de vie des données, une organisation s'expose à des risques importants en termes de sécurité. Car aujourd'hui, le prix à payer pour une politique de protection de données inefficace est trop élevé.

Les attaques de rançongiciels ne sont la seule menace dont les entreprises doivent se méfier : violations de données, atteinte à la réputation, perte de clients, temps d'arrêt et amendes importantes sont autant de risques potentiels pour une entreprise qui ne gère pas efficacement le cycle de vie de ses données.

Les organisations prenant le temps d'investir les efforts et les ressources nécessaires dans la gestion du cycle de vie de leurs données peuvent par contre minimiser les risques et le coût de leurs données critiques.

Découvrez comment Ontrack peut vous aider à gérer le cycle de vie de vos données.

Découvrez comment votre organisation peut protéger ses données tout au long de leur cycle de vie.

Solutions : que faire en cas d'attaque de ransomware ?

S'il arrive que vous soyez un jour infecté par un ransomware, vous devez d'abord découvrir de quel type de logiciel il s'agit avant d'aller plus loin.

Si vous ne parvenez pas à afficher la demande de rançon sur votre écran, c'est qu'il s'agit probablement d'un logiciel de verrouillage d'écran. Si vous pouvez naviguer dans vos applications mais ne pouvez pas ouvrir vos fichiers (photos, films, etc.), vous avez été victime d'un logiciel de chiffrement avec demande de rançon - le pire des deux scénarios. Si vous pouvez naviguer sur votre système et lire tous vos fichiers, alors vous avez probablement affaire à un faux rançongiciel qui essaie simplement de vous effrayer et vous extorquer de l'argent.

Même avec les meilleures précautions et politiques de sécurité en place, il est malgré tout possible d'être victime d'une attaque. Si cela devait se produire, voici quelques conseils :

  1. Restez calme : Des décisions hâtives pourraient aggraver la situation. Par exemple, si vous découvrez une infection et décidez de couper soudainement l'alimentation d'un serveur, au lieu de le mettre hors tension correctement, vous pourriez perdre des données en plus des données infectées,

  2. Ne payez jamais la rançon, car les cybercriminels pourraient ne pas déverrouiller vos données : Il existe de nombreux exemples où les victimes n'ont pas reçu leurs données après avoir payé la rançon demandée. Plutôt que de courir ce risque, les entreprises devraient travailler avec des experts en récupération de données qui pourraient être en mesure de
    récupérer l'accès aux données en procédant à
    une ingénierie inverse du ransomware,

  3. Vérifiez vos sauvegardes les plus récentes : Si elles sont intactes et à jour, il sera plus facile de les restaurer sur un autre système,

  4. Contactez un expert pour étudier les possibilités de récupération : Un spécialiste de la récupération de données examinera votre scénario et vérifiez si une solution existe déjà. Si ce n'est pas le cas, il devrait pouvoir en élaborer une à temps.

Dois-je payer la rançon ?

On pourrait penser que payer une rançon pour avoir accès à ses données est déjà assez difficile, mais cela peut paraître dérisoire par rapport aux coûts réels des dommages causés par une attaque.

Voici quelques exemples d'implications supplémentaires :

  • Dommages et perte de données,
  • Fort ralentissement de la productivité,
  • Enquête légale,
  • Restauration et suppression des données et des systèmes d'otages,
  • Atteinte à la réputation,
  • Formation des employés en prévention d'une éventuelle nouvelle attaque...

Si l'on tient compte de ce qui précède, il n'est pas étonnant que les dommages causés par les ransomwares s'élèvent à 11,5 milliards de dollars cette année, avec jusqu'à une attaque prévue toutes les 14 secondes d'ici à la fin de l'année, contre 40 secondes l'année dernière.

Lorsque vous vous adressez à des experts en cybercriminalité, la plupart d'entre eux déconseillent de payer la rançon, car ce serait contribuer à la création de nouvelles attaques. Cependant, de nombreuses organisations vont à l'encontre de ce conseil en mettant en balance la perte induite par le chiffrement de leurs données et la rançon demandée. C'est pourquoi l'année dernière, 45% des entreprises touchées aux États-Unis ont payé leurs agresseurs.

Bien que refuser de payer une rançon soit une action recommandée dans le monde des affaires, ce n'est pas forcément la meilleure solution pour une entreprise. En effet, lorsqu'il y a un risque de perdre définitivement l'accès à des données vitales, de se voir infliger des amendes par les autorités de régulation ou de faire faillite, les options s'offrant à une entreprise peuvent toutes sembler désastreuses. Le choix entre payer une rançon relativement modeste et rester en activité ou refuser de payer pour aider la communauté au sens large peut alors paraître évident pour de nombreuses entreprises.

La rançon demandée est souvent très avantageuse pour le cybercriminel, mais la plupart du temps, elle est suffisamment basse pour qu'elle reste une option moins couteuse que ce que paierait une victime pour reconstruire ses données perdues. Des réductions sont même parfois proposées si la victime paye rapidement, par exemple dans les 3 jours.

C'est dans cette optique que certaines entreprises, notamment au Royaume-Uni, constituent désormais des réserves de Bitcoin dédiée au paiement de rançons. Selon Gotham Sharma, directeur général d'Exeltek Consulting Group, "Environ un tiers des entreprises britanniques de taille moyenne déclarent avoir un compte Bitcoin disponible pour répondre aux urgences liées aux rançongiciels, lorsque toutes les autres options ont été épuisées".

Récupération de données après un ransomware

Malgré la complexité de ce genre d'opération, il est possible de  récupérer des données suite à une attaque de ransomware, sur tous les systèmes : machines virtuelles, sauvegarde, bandes et autres supports.

Du point de vue d'un spécialiste de la récupération de données, chaque cas de ransomware est différent. Il n'y a pas seulement une grande différence dans la façon dont les variantes de ransomware chiffrent les données et les diffusent à travers le réseau, mais aussi dans la façon dont elles ciblent différents domaines des systèmes de stockage de données.

Certains systèmes et structures de données sont plus complexes et nécessitent plus de temps pour récupérer que d'autres. Comme chaque cas est différent, il est logique de contacter un spécialiste et de lui demander s'il a déjà vu votre type de souche de rançongiciel. Ils seront en mesure de vous conseiller sur l'opportunité de les envoyer pour tenter de récupérer des données et s'ils ont déjà réussi avec des cas similaires.

Concernant la sauvegarde, nous vous recommandons de stocker les sauvegardes de vos données stratégiques sur des périphériques de stockage externes que vous ne connectez pas à votre réseau, par exemple les bandes. Vous devez également tester régulièrement la précision et la fonctionnalité de vos sauvegardes. Si vos sauvegardes ne fonctionnent pas ou ont été touchées par un ransomware, il est préférable de contacter un prestataire de récupération de données qui peut tenter de récupérer vos fichiers depuis le support de sauvegarde ou contourner le ransomware pour accéder aux données.

Les équipes Ontrack ont les outils et le savoir faire pour réussir des récupération de données après une attaque de ransomware. Avec des laboratoires dans le monde entier, nos experts sont disponibles 24/7 pour vous assister dans toutes les situations de perte de données.

Ontrack a déjà aidé de nombreuses entreprises touchées par des ransomwares

Chez Ontrack, nous surveillons en permanence 271 types de ransomwares différents. Les ransomwares se développent en permanence et nous voulons nous assurer que nous sommes au fait de leurs plus récentes évolutions. Cette veille permanente nous fournit des connaissances supplémentaires, ce qui augmentent la probabilité de récupérer avec succès des données perdues à la suite d'une attaque.

Nous disposons actuellement des capacités de chiffrement de 138 types de ransomwares différents. Une augmentation considérable par rapport aux 6 que nous connaissions il y a quelques années seulement. Depuis, nous avons travaillé sur des centaines de cas, ce qui nous permet désormais de savoir à quoi s'attendre pour chaque type de rançongiciel.

Lorsqu'il s'agit de données inaccessibles, il est toujours préférable de contacter des spécialistes. C'est pourquoi si vous avez été attaqué par un ransomware, contactez un expert comme Ontrack pour vous aider à accéder à vos données.

Vous trouverez ci-dessous quelques exemples de cas de récupération de données réussis suite à une attaque de ransomware :

Newsletter

KLDiscovery Ontrack Sarl, 2, impasse de la Noisette, 91370 Verrières-le-Buisson, France (voir tous nos bureaux)