Ransomware : Quelques mesures pour se protéger et récupérer ses fichiers.

by CI-CERT | 8th juin 2016

Crédit photo: blog.kaspersky.fr

Crédit photo: blog.kaspersky.fr

Le premier semestre de l’année 2016 est marqué par une menace infectant les ordinateurs des entreprises et des particuliers, causant d’énormes pertes matérielles et financières. Il s’agit des ransomwares ou rançongiciels.

C’EST QUOI UN RANSOMWARE ?

Le ransomware (ou rançongiciel) est un malware, appelé parfois à tort « virus », ou à raison s’il se duplique et se propage de lui-même, qui a pour but final de soutirer de l’argent à sa victime en provoquant le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique) ou d’un smartphone.

L’infection passe par le téléchargement d’un logiciel malveillant parfois dissimulé dans la pièce jointe d’un email piégé ou au bout d’un lien. Il peut aussi se diffuser par le biais de pages web piratées qui tentent d’utiliser les failles des systèmes d’ordinateurs.

Impact

Lorsque le ransomware (ou rançongiciel) a pris place sur l’ordinateur (ou le smartphone) de sa victime, il applique un blocage du système ou un chiffrement (cryptage) sur les fichiers et dossiers personnels de l’ordinateur de telle sorte qu’ils deviennent illisibles.

L’utilisateur n’a donc d’autres choix que de perdre ses fichiers ou de payer la rançon. Le paiement ne garantit toutefois pas que les moyens permettant la récupération seront effectivement fournis par le pirate. Il est donc conseillé de ne pas payer et de tenter de récupérer quelques fichiers par d’autres moyens.

Mesures préventives

Pour prévenir les risques, le CI-CERT recommande les actions suivantes :

  • Effectuez des sauvegardes régulières et maintenir une copie hors ligne – ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible ;
  • Activer Volume Shadow Copy sur les PC Windows sensibles ;
  • Vérifier l’authenticité des expéditeurs avant la lecture ou l’ouverture du fichier joint de chaque message reçu par e-mail ou affiché sur votre mur Facebook, WhatsApp, Twitter, etc. ; en cas de doute, contacter votre expéditeur (Partenaire, Société, Banque) pour demander s’il en est effectivement l’auteur avant lecture ou ouverture du fichier joint. En fait, les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur.
  • En cas de doute n’ouvrez pas les pièces jointes ;
  • Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER) ;
  • N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ». Créez un compte « Utilisateur » ;
  • Mettre à jour et/ou Activer la mise à jour automatique de votre système Windows, Linux, iOS, Android et toutes les applications (p.ex. navigateur, PDF reader) installées sur votre terminal (Ordinateur ou Smartphone) ;
  • Mettre à jour votre solution virale.

 

Mesures correctives en cas d’incident

En cas d’incident, le CI-CERT recommande les réactions suivantes :

  • Déconnectez immédiatement votre poste de l’Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Utiliser un antivirus à jour pour identifier le Ransomware.
  • Si possible, suivre les prescriptions définies par le constructeur d’antivirus pour décrypter les fichiers.
  • Si vous avez éteint l’ordinateur alors que tous les fichiers n’étaient pas encore chiffrés utilisez un CD bootable (un CD Ubuntu par exemple) qui va vous permettre de mettre en sécurité sur un disque externe ou une clé USB ce qui a été préservé. Utilisez ensuite un autre CD bootable de sécurité pour tenter de désinfecter l’ordinateur.
  • Une fois le Ransomware identifié, à partir d’Internet CHERCHER des logiciels de decryptage spécialisés. Si aucune solution n’existe vous pouvez tenter de récupérer quelques fichiers en cherchant dans les fichiers temporaires ou ou en utilisant des logiciels de récupération spécialisés :
  • Effectuez ou faites effectuer une restauration de votre ordinateur : il faut reformater le poste et réinstaller un système sain ; puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu’elles sont disponibles.
  • Notifiez l’incident au CI-CERT à l’adresse incidents@cicert.ci

Références