Ransomware : récupérer les données sans payer la rançon ?

Les Ransomwares sont un sujet bouillant dans le monde de l’informatique, des données et de la cyber sécurité et a pris de l’ampleur au cours des derniers mois. Aujourd’hui, plus que jamais, les utilisateurs – particulier comme professionnels – sont agressivement ciblés.

Lorsqu’un ordinateur est infecté, y a-t-il une chance de récupérer ses données ? Cela peut-il être fait par l’utilisateur ? Par le personnel informatique de l’entreprise ? Ou par des spécialistes de récupération de données comme Ontrack ?

Types de ransomwares

Des ransomwares comme Petya, cryptolocker ou TeslaCrypt sont très présents dans l’actualité. Depuis plusieurs années, les virus, les chevaux de Troie et autres logiciels malveillants sont disséminés sur internet pour contaminer les ordinateurs en les bloquant (ou ses fichiers) et en exigeant une rançon pour débloquer l’accès aux données.

Tous les ransomwares sont basés sur l’idée de manipuler le matériel, le logiciel et les fichiers de l’utilisateur, puis demander de l’argent en échange de l’accès au contenu bloqué. Les trois principaux types de ransomwares sont :

1. Scareware : Le scareware est la forme la plus simple de ransomware. Ce sont des applications ou programmes qui apparaissent habituellement comme de faux antivirus ou logiciels de nettoyage. Ces outils affirment avoir trouvé des virus dangereux sur un appareil et demande à l’utilisateur de payer pour que le programme les supprime. Dans la plupart des cas, les virus ou ransomwares ne sont pas vraiment installés sur l’appareil afin qu’ils puissent être « enlevés » assez facilement. Si aucune action n’est prise par l’utilisateur, ils vont bombarder en permanence l’utilisateur de pop-ups ou d’alerte Windows.

2. Les virus Lock-screen : Les virus Lock-screen sont les deuxièmes types de ransomware les plus dangereux. Ils verrouillent l’ordinateur de l’utilisateur, affichent une page contenant un message signalant qu’un cyber-crime a été commis sur l’appareil après que le système d’exploitation démarre et précise que l’ordinateur ne peut plus être utilisé. Pour déverrouiller l’ordinateur, l’utilisateur doit payer une rançon. Dans la plupart des cas, les données ne sont ni affectés, ni infectés et l’ordinateur – lorsque les outils de déverrouillage pour ce virus spécifique ne sont pas disponibles – peut être « nettoyé » en réinstallant le système d’exploitation. Alors que toutes les données semblent être perdues après ce processus, il est très probable que les experts en récupération de données retrouvent l’accès à vos données en utilisant des outils spécifiques.

3. Ransomware + chiffrement : Les nouvelles versions de ransomwares sont les plus dangereuses. Même si il y en a plus de 45 versions différentes à l’heure actuelle, ils fonctionnent tous de la même manière. Après avoir accéder à l’ordinateur de la victime – généralement activés par l’utilisateur lui-même lors de l’ouverture d’une pièce jointe comme un fichier Word ou Excel – ils infiltrent les données de l’ordinateur et la structure des fichiers afin de chiffrer tous les fichiers et dossiers de l’ordinateur. Plusieurs versions de ransomwares sont également capables de contaminer d’autres serveurs et ordinateurs connectés via un réseau. Ceci est le type d’attaque le plus dangereux pour les entreprises car si un seul employé, connecté au réseau, ouvre une pièce jointe dangereuse, il peut contaminer toute l’entreprise et l’amener à un arrêt complet de son activité.

Pouvez-vous récupérer vos données piratées et chiffrées vous-même ?

Aujourd’hui, il existe plusieurs guides et sites web pratiques pour vous aider à retrouver l’accès à votre ordinateur ainsi qu’aux données chiffrées.

Il est intéressant de noter que, dans certains cas, les solutions proposées peuvent fonctionner mais il existe cependant un risque que vous devez connaître : vos données peuvent être détruites ou endommagés en suivant ces conseils. Et dans ce cas, même le meilleur expert en récupération de données ne sera pas en mesure de vous aider. Ceci est un risque que les entreprises ou particuliers, ne possédant pas une sauvegarde, ne devraient pas prendre.

Les experts en récupération de données sont-ils capables de contourner le chiffrement d’un ransomware ?

La réponse est : cela dépend de la situation.

Par exemple, depuis la généralisation des ransomwares, nos ingénieurs en récupération de données ont réussi à déchiffrer les fichiers dans de nombreux cas. Les ingénieurs logiciels de notre équipe Recherche et Développement ont créé de nouveaux outils pour retrouver l’accès aux disques infectés, ainsi qu’aux fichiers chiffrés. Pour les ransomwares les plus communs, nous avons développé des outils, un savoir-faire et des processus pour récupérer les données d’un appareil infecté.

Même si Ontrack est capable de récupérer des données chiffrées de célèbres ransomwares comme Petya-Mischa, TeslaCrypt, AutoLocky et DMaLocker et ses variantes, cela reste une récupération compliquée et le résultat dépend fortement de la situation.