Blog

Qu'est-ce qu'un ransomware et comment le prévenir et le supprimer

Qu



Besoin d’en savoir plus sur les ransomwares, notamment sur la manière de les prévenir et de les supprimer suite à une infection ? Dans cet article, nous expliquons en détail pourquoi les ransomwares constituent une menace de sécurité dangereuse pour les entreprises et les particuliers. Nous proposons également des stratégies ciblées que vous pouvez utiliser dès maintenant pour réduire votre risque d'être touché par un ransomware, ainsi que les prochaines étapes si vous êtes infecté par un logiciel malveillant de chiffrement.

Qu’est-ce qu’un ransomware ?

Autrefois forme rare et obscure de malware, les ransomwares ont désormais un impact démesuré sur presque tout le monde. Ce nombre d'attaques de ransomware augmenté de 150 % entre 2019 et 2020. Bien qu’ils ne représentent qu’environ 15 % de toutes les cyberattaques, les ransomwares sont également l’un des plus coûteux, chaque attaque coûtant près de 2 millions de dollars pour remédier .



Avec ce type d’attaques qui font la une des journaux presque quotidiennement, cela soulève une question légitime :Qu'est-ce qu'une attaque de ransomware ?

À la base, les ransomwares ne sont qu’une autre forme de malware. Il s’agit d’un programme malveillant destiné à infecter et perturber le fonctionnement normal d’un système informatique.



Cependant, les ransomwares présentent deux caractéristiques clés qui les distinguent de la plupart des autres formes de logiciels malveillants :

  • Au lieu de voler des données, les ransomwares sont conçus pour vous empêcher d'y accéder
  • Au lieu de vendre ou d'utiliser vos données volées, les cybercriminels tentent de vous forcer à payer une rançon pour récupérer l'accès à vos données.

Alors que les malwares se concentrent traditionnellement sur le vol de données, les ransomwares visent l’extorsion. En dehors de cela, les méthodes utilisées par les cybercriminels pour infecter les ordinateurs avec des ransomwares sont les mêmes que pour tout autre malware.

Cela étant, vous pourriez être infecté par un ransomware si vous :

  • Téléchargez-le à partir d'une pièce jointe ou d'un lien malveillant
  • Chargez-le sur votre machine à partir d'une clé USB ou d'un DVD
  • Téléchargez-le en visitant un site Web corrompu

Les pirates peuvent également charger un ransomware sur un système s’ils piratent un système en utilisant la force brute ou s’ils utilisent des informations de connexion volées.

Comment fonctionnent les rançongiciels ?

La fonction de Ranswomare est relativement simple. Il existe plusieurs types de conceptions de ransomwares, mais tous sont essentiellement des programmes de chiffrement. Une fois installé sur un système, le programme exécute et crypte le type de fichiers pour lesquels il a été programmé.

Parfois, les auteurs de ransomwares peuvent cibler uniquement une sélection de types de fichiers, tels que des documents Word ou des feuilles Excel. Cependant, le plus souvent, les pirates informatiques adoptent une approche large qui consiste à chiffrer chaque fichier d'un système ou d'un serveur.

Comment savoir si j'ai un ransomware ?

La perte d'accès aux fichiers système est un signe clair d'une attaque de ransomware. Le ransomware arrête certaines fonctions du système ou refuse l'accès aux fichiers. Dans le cas des machines Windows, cela désactive généralement votre capacité à accéder au menu Démarrer (de cette façon, vous ne pouvez pas accéder aux programmes antivirus ou essayer de revenir en mode sans échec).

Les ransomwares ne servent à rien à moins que l’attaquant n’indique clairement que vous êtes infecté et ne fournisse des instructions sur la façon de débloquer votre système. Compte tenu de cela, la plupart des ransomwares seront accompagnés d’un message (sur votre écran ou par courrier électronique) indiquant que votre système a été crypté. Ce message comprend généralement la demande de rançon et des informations sur la manière de payer la rançon (généralement en Bitcoin ou dans une autre crypto-monnaie).

Vous pouvez voir quelque chose comme ceci :

écran de verrouillage du rançongiciel
Source : Panda Sécurité

Encore une fois, le cryptage est la méthode privilégiée par les auteurs de ransomwares. Ce type de malware crypte les fichiers sur votre appareil afin qu'ils ne puissent pas être ouverts sans la clé de décryptage ou le mot de passe approprié. Seul l'attaquant aura cette information (bien que parfois ils ne le font pas ).

N’importe quel fichier peut être chiffré avec un ransomware, même si la plupart des ransomwares ne tentent pas de chiffrer tous les types de fichiers. Certaines formes plus récentes de rançongiciels de chiffrement ont même pris cryptage des fichiers partagés sur le réseau c’est aussi une évolution dangereuse pour les entreprises en particulier.

Tant que vous n’aurez pas supprimé le ransomware de votre ordinateur (ou payé la rançon demandée en espérant que le criminel l’effacera pour vous ou vous donnera la clé de déchiffrement), vous n’aurez pas accès à ces fichiers ou systèmes critiques. Certains ransomwares exigeront même que vous payiez dans un certain délai, sinon les fichiers resteront verrouillés pour toujours ou le virus effacera complètement votre disque dur.

Ce que vous lisez ci-dessus est une explication de haut niveau. Si vous avez besoin d'une explication technique plus détaillée sur la façon dont les ransomwares fonctionnent pour chiffrer les données, nous vous recommandons cet excellent article Medium au sommet de Tarcisio Marinho.

En rapport: Comment démarrer Windows 7/8/10/11 en mode sans échec

Types de rançongiciels

Les ransomwares existent depuis les années 1980, mais de nombreuses attaques utilisent aujourd’hui des ransomwares basés sur le cheval de Troie Cryptolocker, plus moderne. Les rançongiciels de cryptage de fichiers sont de plus en plus répandus. De plus, de nombreux pirates informatiques emploient désormais techniques de double cryptage qui utilisent deux types de logiciels malveillants pour verrouiller les fichiers.

Selon Malwarebytes , il existe plusieurs catégories de ransomwares que vous pouvez encore rencontrer :

Cryptage des rançongiciels

Cryptolocker
Si un ransomware parvient à s’introduire sur votre ordinateur, il s’agira probablement d’un système de cryptage. Le chiffrement des ransomwares devient rapidement le type le plus courant en raison du retour sur investissement élevé pour les cybercriminels qui les utilisent et de la difficulté de déchiffrer le chiffrement ou de supprimer le malware. C’est un favori parmi les pirates informatiques, car la plupart des outils antivirus ne fonctionnent tout simplement pas pour l’empêcher et ne peuvent pas supprimer efficacement le cryptage après une infection.

Le chiffrement d’un ransomware chiffrera complètement les fichiers de votre système et vous empêchera d’y accéder jusqu’à ce que vous ayez payé une rançon, généralement sous la forme de Bitcoin. Certains de ces programmes sont également sensibles au facteur temps et commenceront à supprimer les fichiers jusqu'à ce que la rançon soit payée, augmentant ainsi le sentiment d'urgence de payer.

Sur ce type de ransomware, Adam Kujawa, directeur de Malwarebytes Labs, j'avais ceci à dire : « Il est trop tard une fois qu’on est infecté. Jeu terminé.'

La sauvegarde en ligne peut être d'une grande aide pour récupérer des fichiers cryptés. La plupart des services de sauvegarde en ligne incluent la gestion des versions afin que vous puissiez accéder aux versions précédentes des fichiers et non à celles cryptées.

Logiciel effrayant

Logiciel effrayant
Source : Collège Sainte-Scholastique

Un scareware est un malware qui tente de vous persuader que vous avez un virus informatique qui doit être supprimé immédiatement. Il tentera ensuite de vous inciter à éliminer le virus en achetant un logiciel malveillant ou un programme de suppression de virus suspect et généralement faux. Les scarewares sont très rares de nos jours, mais certains de ces virus existent encore à l’état sauvage. Beaucoup ciblent les téléphones mobiles.

Un virus scareware ne crypte généralement pas les fichiers, bien qu'il puisse tenter de bloquer votre accès à certains programmes (tels que les antivirus et les suppresseurs de virus). Néanmoins, les scarewares sont les plus faciles à éliminer. En fait, dans la plupart des cas, vous pouvez supprimer les scarewares à l'aide de programmes de suppression de virus standard ou d'autres méthodes sans même entrer dans Mode sans échec (même si cela peut encore être nécessaire ou recommandé).

Casier d'écran (ou virus d'écran de verrouillage)

casier d

Les casiers d'écran afficheront un écran d'avertissement qui limite votre capacité à accéder aux fonctions et aux fichiers de l'ordinateur. Ceux-ci peuvent être installés sur votre ordinateur ou exister dans un navigateur Web. Ils viendront généralement avec un message prétendant représenter un organisme chargé de l’application de la loi et tenteront de vous convaincre que vous ferez face à de graves conséquences juridiques si vous ne payez pas une amende immédiatement.

Ce type de virus peut être installé de nombreuses manières, notamment en visitant des sites Web compromis ou en cliquant et en téléchargeant un fichier infecté contenu dans un courrier électronique. Lorsqu'il est installé directement sur un ordinateur, vous devrez peut-être effectuer un redémarrage matériel pour retrouver l'accès à votre système. Cependant, vous constaterez peut-être également que vous êtes toujours accueilli par le message de verrouillage de l'écran même lorsque le système d'exploitation se charge à nouveau.

Les casiers d'écran ont tendance à vous empêcher d'accéder à votre menu et à d'autres paramètres système, mais ne bloquent pas toujours l'accès à vos fichiers. Certaines des principales méthodes d’attaque des logiciels malveillants vous empêchent d’accéder facilement à votre logiciel de suppression de virus et peuvent même parfois vous empêcher de redémarrer votre ordinateur à partir de l’interface utilisateur.


Les casiers d'écran sont une autre bonne raison pour laquelle il est extrêmement important d'avoir une sauvegarde dans le cloud. Bien que le casier d'écran ne crypte ni ne supprime vos fichiers, vous pourriez vous retrouver obligé d'effectuer une restauration du système. La restauration du système ne supprimera peut-être pas vos fichiers importants, mais elle les ramènera à un état antérieur. En fonction des états restaurés, cela peut encore entraîner une perte importante de données ou de progrès. Des sauvegardes en ligne régulières aideront à éviter les pertes de données que la restauration du système ne garantit pas, surtout si le virus se cache sur votre système depuis bien plus longtemps que vous ne le pensiez.

Comment prévenir les ransomwares

Décrypter les fichiers cryptés avec un ransomware est incroyablement difficile. Sauf si vous payez la rançon et recevez la clé de déchiffrement de l'attaquant(NON RECOMMANDÉ), le décryptage du ransomware est effectivement impossible. De nos jours, la plupart des ransomwares utilisent des méthodes de cryptage AES ou RSA, qui sont toutes deux fonctionnellement impossibles à déchiffrer avec des méthodes de force brute.

Pour mettre les choses en perspective, le gouvernement américain utilise également les normes de cryptage AES. Les informations sur la manière de créer ce type de cryptage sont largement connues, tout comme la difficulté de le déchiffrer.

La meilleure méthode pour lutter contre les ransomwares est de supprimer le risque d’infection. Le coût considérable et la difficulté du décryptage sans payer de rançon signifient que votre meilleure stratégie est la prévention.

La protection contre les ransomwares peut être assurée en renforçant les faiblesses de votre système, de votre réseau ou de votre organisation et en modifiant le type de comportements qui exposent vous ou votre entreprise à un risque d'attaque de ransomware.

Meilleures pratiques de prévention contre les ransomwares

  • Investissez dans une sauvegarde de données solide. C’est difficile à sous-estimer. La sauvegarde des données est la meilleure chose que vous puissiez faire. Même si vous êtes touché par un ransomware, disposer d’une sauvegarde de données efficace et cohérente signifie que vos données seront en sécurité, quel que soit le type de ransomware avec lequel vous êtes attaqué.
  • Investissez dans un logiciel antivirus efficace. Dans ce cas, vous ne voulez pas seulement des logiciels malveillants ou des nettoyeurs de virus, mais aussi un logiciel qui surveillera activement et vous alertera des menaces, y compris dans les navigateurs Web. De cette façon, vous recevrez des notifications pour les liens suspects ou serez redirigé loin des sites Web malveillants où des ransomwares peuvent être hébergés.
  • Ne cliquez jamais sur des liens de courrier électronique suspects. La plupart des ransomwares se propagent par courrier électronique. Lorsque vous prenez l’habitude de ne jamais cliquer sur des liens suspects, vous réduisez considérablement votre risque de télécharger des ransomwares et autres virus.
  • Protégez les ordinateurs connectés au réseau. Certains ransomwares fonctionnent en analysant activement les réseaux et en accédant à tous les ordinateurs connectés autorisant l’accès à distance. Assurez-vous que tous les ordinateurs de votre réseau ont désactivé l'accès à distance ou utilisez des méthodes de protection solides pour éviter un accès facile.
  • Gardez le logiciel à jour. Les mises à jour de Windows et d'autres systèmes d'exploitation et applications corrigent souvent des vulnérabilités de sécurité connues. Une mise à jour rapide peut contribuer à réduire le risque de vulnérabilité aux logiciels malveillants, notamment aux ransomwares.
  • Investissez dans des outils de protection contre les ransomwares. Particulièrement utile pour les petites entreprises et les administrateurs réseau pour surveiller et répondre aux menaces émergentes. De nombreux outils antivirus incluent désormais des solutions anti-ransomware qui détectent l'utilisation d'une analyse comportementale pour empêcher l'exécution des virus ransomware.avantils démarrent le processus de cryptage.

Que faire si vous détectez un ransomware en cours de chiffrement

Le chiffrement est un processus gourmand en ressources qui nécessite une puissance de calcul importante. Si vous avez de la chance, vous pourrez peut-être attraper un ransomware en cours de chiffrement. Cela nécessite un œil attentif et une connaissance de ce à quoi ressemble une activité inhabituellement importante (et à quoi ressemble parfois). Les ransomwares fonctionnent généralement en arrière-plan pour éviter toute détection, ce qui permet de rater facilement l'activité malveillante avant de pouvoir l'arrêter.

De plus, le virus effectuant le cryptage se cachera probablement dans un autre programme ou aura un nom de fichier modifié qui semble inoffensif. Vous ne pourrez peut-être pas savoir quel programme exécute l'action. Cependant, si vous découvrez ce que vous pensez être un virus ransomware au cours du cryptage de fichiers, voici quelques options :

Mettez votre ordinateur en mode hibernation

Cela arrêtera tous les processus en cours et créera une image mémoire rapide de votre ordinateur et de vos fichiers (et enregistrée sur le disque dur). Ne redémarrez pas votre ordinateur et ne le sortez pas du mode veille prolongée. Dans ce mode, un informaticien (de votre service informatique ou d'une société de sécurité engagée) peut monter l'appareil sur un autre ordinateur en mode lecture seule et évaluer la situation. Cela inclut la récupération des fichiers non cryptés.

Suspendre l'opération de chiffrement

Si vous pouvez identifier quelle opération est coupable, vous souhaiterez peut-être essayer de suspendre cette opération.

Sous Windows, cela implique d'ouvrir le Gestionnaire des tâches (CTRL + ALT + DEL) et recherche d'opérations suspectes. Recherchez en particulier les opérations qui semblent effectuer beaucoup d’écriture sur le disque. Pour les utilisateurs de macOS, vous pouvez le faire depuisMoniteur d'activité(CMD + SHIFT + U, puis ouvrez le dossier Utilitaires pour trouver le moniteur d'activité).

Vous pouvez suspendre les opérations à partir de là. Il est préférable de suspendre l’opération plutôt que de l’arrêter, car cela vous permet d’étudier le processus plus en détail pour voir ce qu’il se passe réellement. De cette façon, vous pourrez mieux déterminer si vous avez un ransomware entre les mains.

Si vous constatez qu’il s’agit d’un ransomware, vérifiez quels fichiers le programme a attaqué. Vous pouvez le trouver lors du processus de cryptage de certains fichiers. Vous pourrez peut-être copier ces fichiers avant la fin du processus de cryptage et les déplacer vers un emplacement sécurisé.

Vous pouvez trouver d’autres suggestions intéressantes de professionnels de la sécurité et de l’informatique sur Échange de pile .

Suppression des ransomwares : Comment supprimer les scarewares et les casiers d'écran (virus d'écran de verrouillage)

Les casiers d'écran sont plus difficiles à supprimer que les scarewares, mais ne posent pas autant de problèmes que les ransomwares de cryptage de fichiers. Les scarewares et les virus d'écran de verrouillage ne sont pas de parfaits attaquants et peuvent souvent être facilement supprimés à peu ou pas de frais.

Parmi les options disponibles pour supprimer les virus de verrouillage d’écran, considérez ces deux :

  1. Effectuez une analyse complète du système à l'aide d'un nettoyeur de logiciels malveillants à la demande réputé
  2. Effectuez une restauration du système à un point avant que le scareware ou le casier d'écran ne commence à afficher des messages.

Examinons ces deux éléments en détail.

Option 1 : Effectuer une analyse complète du système

Il s’agit d’un processus assez simple, mais avant d’effectuer une analyse du système, il est important de choisir un nettoyeur de logiciels malveillants à la demande réputé. Zemana Anti-Malware est l'un de ces nettoyeurs. Les utilisateurs de Windows peuvent même utiliser l'outil de sécurité Windows intégré (anciennement Windows Defender), bien qu'il soit parfois moins efficace qu'un logiciel antivirus tiers.

Pour effectuer l'analyse complète du système à l'aide de Zemana Anti-Malware, procédez comme suit :

  • Ouvrez votre écran d’accueil Zemana Anti-Malware.

Écran d

  • Depuis l'écran d'accueil, modifiez le type de numérisation enProfond

Avant d'exécuter une analyse, nous vous recommandons de définir un point de restauration. La définition d'un point de restauration est une bonne pratique pour les analyses antivirus, en général, juste au cas où une erreur critique se produirait pendant le processus d'analyse. Votre analyse antivirus peut marquer et supprimer certains fichiers ou programmes qui ne posent pas de problèmes (les extensions Chrome posent souvent problème, par exemple), ce qui rend nécessaire une restauration du système pour les récupérer.

Sur un ordinateur Windows :

  • Tapez'point de restauration'.
  • SélectionnerCréer un point de restaurationà partir du Panneau de configuration.
  • SélectionnerCréer, puis saisissez une description du point de restauration, telle que « analyse pré-malware »
  • De plus, vous voudrez peut-être aller àConfigurerpour allumerProtection du système. Cela commencera automatiquement à créer des points de restauration à l'avenir et vous permettra de choisir la quantité d'espace dédiée aux sauvegardes.

Sur un ordinateur macOS :

Pas besoin! Votre ordinateur macOS crée automatiquement des points de restauration à l'aide de Time Machine.

Votre point de restauration étant sécurisé, vous pouvez désormais cliquer surScanne maintenantpour commencer l'analyse des logiciels malveillants.

Zemana Anti-Malware classant les fichiers

Dans mon cas, une récente analyse du système Zemana a révélé un potentiel détournement DNS. Ouais ! (Il a également classé à tort quelques programmes comme étant des logiciels malveillants et publicitaires, alors veillez à vérifier quels fichiers vous nettoyez et mettez correctement en quarantaine.)

Zemana

Pour effectuer une analyse complète du système à l'aide de la sécurité Windows, procédez comme suit :

  • Effectuez une recherche rapide du système pour'Sécurité Windows'
  • AccéderSécurité Windowset cliquez sur l'icône du bouclier à gauche
  • Cliquer surOptions de numérisation
  • Basculer versScan complet
  • Cliquer surScanne maintenant

Microsoft améliore continuellement son logiciel antivirus Windows intégré, mais ce n'est toujours pas une solution aussi efficace qu'un outil tiers à la demande comme Zemana ou de nombreux autres programmes antivirus de haute qualité. Notez que tout outil audiovisuel tiers que vous installez désactivera automatiquement la sécurité Windows.

Lorsqu'il s'agit de rançongiciel de verrouillage d'écran , vous devrez peut-être entrer Mode sans échec pour faire fonctionner les antivirus à la demande ou pour exécuter correctement la restauration de votre système. Même certains scarewares peuvent parfois vous empêcher d’ouvrir vos programmes de suppression de virus, mais ils ne peuvent généralement pas vous empêcher de le faire lorsque vous êtes en mode sans échec. Si vous rencontrez des difficultés pour redémarrer votre ordinateur en mode sans échec (une possibilité distincte si vous disposez d'un casier d'écran), consultez notre guide sur Comment démarrer Windows en mode sans échec .

Option 2 : effectuer une restauration du système

Une autre option consiste à effectuer une restauration du système à un point avant que le scareware ou le casier d'écran ne commence à afficher des messages. Si vous utilisez Windows, cette option n'est disponible que si votre ordinateur est configuré pour créer des points de restauration système à des intervalles prédéfinis ou si vous avez effectué cette action vous-même manuellement.

(Ceux qui accèdent à ce guide à titre préventif contre les ransomwares doivent se référer à l'option 1 où nous expliquons comment créer des points de restauration sous Windows.)

Si vous ne disposez pas de points de restauration récents pour votre ordinateur Windows (ou pas du tout), cette option ne vous sera pas utile si vous travaillez actuellement sur une infection virale.

restauration du système

  • S'il indique que vous disposez déjà d'une sauvegarde, sélectionnez les fichiers de sauvegarde à partir du point de restauration le plus récent ou du point de restauration de votre choix.

restauration du système

Le processus de restauration des sauvegardes peut prendre plusieurs minutes, surtout si la quantité de données restaurées est importante. Cependant, cela devrait restaurer votre système de fichiers à un point antérieur au téléchargement et à l'installation du virus.

Notez qu’une analyse et une restauration peuvent avoir des temps de réaction retardés, c’est donc une bonne idée de faire les deux.

L'Université d'Indiana fournit également une base de connaissances utile avec quelques méthodes avancées pour des scarewares plus gênants . Nous vous recommandons également de consulter notre Guide complet des logiciels malveillants Windows et de la prévention . Il vous guidera tout au long du processus de suppression des logiciels malveillants et à quoi ressemble ce processus avec plusieurs programmes différents.

Suppression du ransomware : comment supprimer le ransomware de cryptage de fichiers

Une fois que le ransomware crypté pénètre dans votre système, vous avez des problèmes si vous souhaitez conserver des données non sauvegardées ou tout ce qui n’a pas été sauvegardé (du moins sans payer cher pour cela). Payer la rançon est tentant, mais ce n’est pas toujours efficace. Selon le rapport Sophos State of Ransomware 2021, les entreprises qui ont payé une rançon n’ont généralement récupéré que environ 65% de leurs données . Seulement 8 % ont récupéré toutes les données détenues contre rançon.

Compte tenu des risques liés au paiement de la rançon, si vous êtes victime d’un méchant ransomware de cryptage, ne paniquez pas et si vous pouvez l’éviter,n’encouragez pas les pirates de ransomware en payant.Vous disposez de deux options alternatives pour supprimer le ransomware :

  • Engagez un service professionnel de suppression de ransomware : Si vous disposez du budget nécessaire pour embaucher un professionnel et décidez que la récupération de vos fichiers en vaut la peine, cela pourrait être la meilleure solution. De nombreuses entreprises, dont Récupération de données éprouvée et Cytelligence , spécialisé dans la fourniture de services de suppression de ransomwares. Notez que certains facturent même si la suppression échoue, tandis que d’autres ne le font pas.
  • Essayez de supprimer le ransomware vous-même : Cette opération est généralement gratuite et peut constituer une meilleure option si vous n’avez pas les ressources nécessaires pour embaucher un professionnel. Récupérer vous-même vos fichiers impliquera généralement d’abord de supprimer le logiciel malveillant, puis d’utiliser un outil pour décrypter vos fichiers.

Si vous souhaitez résoudre le problème vous-même, essayez ces étapes :

Étape 1 : Exécutez un antivirus ou un outil de suppression de logiciels malveillants pour vous débarrasser du virus de cryptage


Note importante:Supprimer le virus ransomware cryptant n’est pas la même chose que décrypter des fichiers. Si vous avez été touché par un ransomware, vous devrez toujours décrypter ou restaurer les fichiers à l'aide d'autres outils.

Reportez-vous aux instructions de suppression des logiciels malveillants/virus fournies dans la section Suppression des scarewares/casiers d'écran ci-dessus. Le processus de suppression à cette étape sera le même, à une exception près : NOUS VOUS ENCOURAGEONS FORTEMENT À SUPPRIMER CE VIRUS EN MODE SÉCURISÉ SANS ACCÈS AU RÉSEAU.

Il est possible que le ransomware de cryptage de fichiers que vous avez contracté ait également compromis votre connexion réseau. Certaines variantes doivent communiquer avec un serveur hôte ; couper cette communication peut aider à empêcher toute action ultérieure de la part du pirate informatique qui a infecté le système.

La suppression du malware est une étape importantepremier paspour régler ce problème. De nombreux programmes fiables fonctionneront dans ce cas, mais tous les programmes antivirus ne sont pas conçus pour supprimer le type de malware qui crypte les fichiers. Vous pouvez vérifier l'efficacité du programme de suppression de logiciels malveillants en effectuant une recherche sur son site Web ou en contactant le support client.

Étape 2 : Essayez de décrypter vos fichiers à l'aide d'un outil de décryptage de ransomware gratuit

Encore une fois, vous devriez faire tout votre possible pour éviter de payer une rançon. Votre prochaine étape consistera à essayer un outil de décryptage de ransomware. Malheureusement, rien ne garantit qu’il existera un outil de décryptage des ransomwares qui fonctionnera avec le ransomware infectant votre système. Vous avez peut-être une variante qui n'a pas encore été crackée

Kaspersky Labs, McAfee et plusieurs autres organisations exploitent un site Web appelé Plus de rançon ! où n’importe qui peut télécharger et installer des décrypteurs de ransomware, ou faire identifier un ransomware.

guide de suppression des ransomwares, plus de rançon

Kaspersky propose également décrypteurs de ransomwares gratuits sur son site Internet.

Tout d'abord, nous vous suggérons d'utiliser le Plus de shérif de crypto-rançon outil pour évaluer le type de ransomware dont vous disposez et s'il existe actuellement un décrypteur pour vous aider à décrypter vos fichiers. Cela fonctionne comme ceci :

  • Sélectionnez et téléchargez deux fichiers cryptés depuis votre PC
  • Fournissez l'URL d'un site Web, une adresse e-mail, une adresse oignon ou une adresse bitcoin indiquée dans la demande de rançon.
  • Si aucune information n'a été fournie dans la demande, téléchargez le fichier .txt ou .html avec la demande de rançon

Le shérif de la cryptographie.

Le Crypto Sheriff traitera ces informations par rapport à sa base de données pour déterminer si une solution existe. Si aucune suggestion n’est proposée, n’abandonnez pas pour autant. L’un des décrypteurs peut toujours fonctionner, même si vous devrez peut-être les télécharger chacun. Ce sera certes un processus lent et ardu, mais cela pourrait valoir la peine de voir ces fichiers décryptés.

La suite complète d'outils de décryptage peut être trouvée sous Onglet Outils de décryptage sur le programme Plus de rançon ! site web.

L’exécution des décrypteurs de fichiers est généralement simple. La plupart des décrypteurs sont accompagnés d'un guide pratique du développeur de l'outil (beaucoup proviennent d'Emsisoft, Kaspersky Labs, Check Point ou Trend Micro). Chaque processus peut être légèrement différent, vous aurez donc envie de lire le guide pratique PDF pour chacun d'entre eux, lorsqu'il est disponible.

Voici un exemple du processus que vous suivriez pour décrypter le ransomware Philadelphia :

  • Choisissez un fichier crypté sur votre système et une version de ce fichier actuellement non cryptée (à partir d'une sauvegarde). Placez ces deux fichiers dans leur propre dossier sur votre ordinateur.
  • Téléchargez le Décrypteur de Philadelphie et déplacez l'exécutable dans le même dossier que vos fichiers couplés.
  • Sélectionnez la paire de fichiers, puis faites glisser et déposez les fichiers sur l'exécutable du décrypteur. Le décrypteur commencera alors à déterminer les clés correctes nécessaires pour décrypter le fichier.
  • Ce processus peut prendre du temps, selon la complexité du programme

Décrypteur de Philadelphie

  • Une fois terminé, vous recevrez la clé de décryptage de tous les fichiers cryptés par le ransomware.

Décrypteur de Philadelphie

  • Le décrypteur vous demandera ensuite d'accepter un contrat de licence et vous proposera des options pour les lecteurs à partir desquels décrypter les fichiers. Vous pouvez modifier l'emplacement en fonction de l'endroit où les fichiers sont actuellement hébergés, ainsi que d'autres options qui peuvent être nécessaires, en fonction du type de ransomware. L'une de ces options inclut généralement la possibilité de conserver les fichiers cryptés
  • Vous recevrez un message dans l'interface utilisateur du décrypteur une fois les fichiers décryptés

Encore une fois, ce processus peut ne pas fonctionner, car vous disposez peut-être d'un ransomware pour lequel aucun décrypteur n'est disponible. Néanmoins, étant donné qu’il existe de nombreux décrypteurs disponibles, il est préférable d’emprunter cette voie avant de payer pour des services de décryptage et bien avant d’envisager le paiement d’une rançon.

Option de sauvegarde : effacez votre système et effectuez une restauration complète des données à partir d'une sauvegarde de données

Les étapes 1 et 2 ne fonctionnent que lorsqu'elles sont utilisées ensemble. Si l’un ou l’autre ne fonctionne pas pour vous, vous devrez suivre cette étape. J'espère que vous disposez déjà d'une sauvegarde de données solide et fiable. Si tel est le cas, ne cédez pas à la tentation de payer la rançon. Demandez plutôt à un professionnel de l'informatique de restaurer vos fichiers et votre système à partir d'une sauvegarde de données.

C'est aussi une raison pour laquelle sauvegarde et restauration sans système d'exploitation sont importants. Il y a de fortes chances que votre professionnel de l’informatique doive effectuer la restauration complète à votre place. Cela inclut non seulement vos fichiers personnels, mais également votre système d'exploitation, vos paramètres et vos programmes. Les utilisateurs de Windows devront peut-être également envisager une réinitialisation complète du système aux paramètres d'usine.

Microsoft propose des stratégies (principalement préventives) pour les grandes organisations avec son Projet d'atténuation des ransomwares opérés par l'homme .

L'histoire des rançongiciels

Comme nous l’avons mentionné, les ransomwares ne sont pas un concept nouveau et existent depuis de nombreuses années. Bien que la chronologie ci-dessous ne constitue pas une liste exhaustive des ransomwares, elle vous donne une bonne idée de l’évolution de cette forme d’attaque au fil du temps.

  • 1989 – Le cheval de Troie « Aids », alias PC Cyborg, devient le premier cas connu de ransomware sur un système informatisé.
  • 2006 – Après une interruption d’une décennie, les ransomwares reviennent en masse avec l’émergence de Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip et MayArchive. Tous se distinguent par leur utilisation d’algorithmes de cryptage RSA sophistiqués.
  • 2008 – Gpcode.AK arrive sur les lieux. Utilisant des clés RSA de 1 024 bits, son piratage nécessite un effort considérable, au-delà des moyens de la plupart des utilisateurs.
  • 2010 – WinLock frappe les utilisateurs en Russie, parsemant les écrans de porno jusqu'à ce que l'utilisateur passe un appel de 10 $ vers un numéro surtaxé.
  • 2011 – Un cheval de Troie sans nom verrouille les machines Windows, dirigeant les visiteurs vers un faux ensemble de numéros de téléphone grâce auxquels ils peuvent réactiver leur système d'exploitation.
  • 2012 – Reveton informe les utilisateurs que leur machine a été utilisée pour télécharger du matériel protégé par le droit d'auteur ou de la pédopornographie et exige le paiement d'une « amende ».
  • 2013 – L’arrivée du désormais tristement célèbre CryptoLocker. En augmentant le niveau de cryptage, il est incroyablement difficile à contourner.
  • 2013 – Locker arrive et exige le paiement de 150 $ sur une carte de crédit virtuelle.
  • 2013 – Difficile à détecter, CryptoLocker 2.0 ajoute l’utilisation de Tor pour plus d’anonymat pour le codeur criminel qui l’a créé.
  • 2013 – Cryptorbit ajoute également l'utilisation de Tor à son répertoire et encode les 1,024 premiers bits de chaque fichier. Il installe également un mineur de Bitcoin pour exploiter les victimes afin de générer un profit supplémentaire.
  • 2014 – CTB-Locker cible principalement les machines basées en Russie.
  • 2014 – Autre développement important, CryptoWall infecte les machines via des publicités de sites Web infectées et parvient à affecter des milliards de fichiers dans le monde.
  • 2014 – Un ransomware un peu plus convivial, Cryptoblocker évite les fichiers Windows et cible les fichiers de moins de 100 Mo.
  • 2014 – SynoLocker cible les appareils Synology NAS, cryptant chaque fichier qu'il y trouve.
  • 2014 – TorrentLocker utilise des courriers indésirables pour se propager, en ciblant différentes régions géographiques à la fois. Il copie également les adresses e-mail du carnet d’adresses des utilisateurs concernés et envoie également du spam à ces parties.
  • 2015 – Un autre ransomware difficile à détecter, CryptoWall 2.0 utilise Tor pour l'anonymat et arrive de différentes manières.
  • 2015 – TeslaCrypt et VaultCrypt peuvent être décrits comme des ransomwares de niche dans la mesure où ils ciblent des jeux spécifiques.
  • 2015 – CryptoWall 3.0 améliore son prédécesseur en étant fourni dans des kits d'exploitation.
  • 2015 – CryptoWall 4.0 ajoute une autre couche à son cryptage en brouillant les noms des fichiers cryptés.
  • 2015 – Le prochain niveau de ransomware voit Chimera non seulement chiffrer les fichiers, mais également les publier en ligne lorsque les rançons ne sont pas payées.
  • 2016 – Locky arrive sur scène, nommé principalement parce qu'il renomme tous vos fichiers importants afin qu'ils aient une extension .locky.
  • 2016 – Situé sur BitTorrent, KeRanger est le premier ransomware connu entièrement fonctionnel sur Mac OS X.
  • 2016 – Nommé d’après le méchant de Bond dans Casino Royale qui kidnappe l’intérêt amoureux de Bond pour extorquer de l’argent, le programme LeChiffre tire parti des ordinateurs distants mal sécurisés sur les réseaux accessibles. Il se connecte ensuite et s'exécute manuellement sur ces systèmes.
  • 2016 – Jigsaw cryptera puis supprimera les fichiers progressivement jusqu'à ce que la rançon soit payée. Après 72 heures, tous les fichiers seront supprimés.
  • 2016 – Le ransomware SamSam est livré avec une fonction de chat en direct pour aider les victimes à payer leur rançon.
  • 2016 – Le ransomware Petya utilise la popularité des services de partage de fichiers cloud en se distribuant via Dropbox.
  • 2016 – Le premier ver ransomware arrive sous la forme de ZCryptor, qui infecte également les disques durs externes et les lecteurs flash connectés à la machine.
  • 2017 – Crysis cible les lecteurs fixes, amovibles et réseau et utilise de puissantes méthodes de cryptage difficiles à déchiffrer avec les capacités informatiques actuelles.
  • 2017– WannaCry se propage via des e-mails de phishing et sur des systèmes en réseau. WannaCry utilise une porte dérobée volée par la NSA pour infecter les systèmes, ainsi qu'une autre vulnérabilité de Windows qui a été corrigée plus d'un mois avant la sortie du malware (plus de détails ci-dessous).
  • 2018– Le ransomware Ryuk émerge et devient rapidement le pire ransomware du marché, devenant plus gros et plus dévastateur que WannaCry. Selon Trend Micro, Ryuk avait le la plus grande demande de rançon de n'importe quel chiffreur, à 12,5 millions de dollars américains.
  • 2019– La ville de Baltimore est touchée par une variante de ransomware appelée RobinHood en mai. Presque tous les serveurs utilisés par la ville ont été mis hors ligne. Les pirates ont exigé 13 Bitcoins, ce qui à l'époque s'élevait à environ 76 000 $, mais au moment où nous rédigeons ces lignes (juillet 2021), cela vaut plus de 428 000 $ US. Le système de la ville n’a été entièrement rétabli qu’à la fin du mois. Il faut reconnaître que Baltimore n’a pas payé la rançon, mais a déclaré plus tard que la remédiation du ransomware a coûté 18 millions de dollars à la ville .
  • 2020– En mai 2020, le fournisseur de services informatiques Cognizant a été victime d'une attaque de ransomware si importante qu'elle a coûté à l'entreprise entre 50 à 70 millions de dollars En revenu. Il s’agissait notamment d’une double menace « Labyrinthe », puisque les pirates informatiques ont non seulement chiffré les données, mais ont également créé une copie des données de Cognizant, puis menacé de divulguer les données si leurs demandes n’étaient pas satisfaites.
  • 2021– Cette année a vu émerger une nouvelle menace. En mai, Colonial Pipeline, une entreprise chargée du transport de carburant pour une grande partie de la côte Est des États-Unis, a été touchée par une attaque de ransomware grâce à un mot de passe compromis . L’attaque a entraîné une réduction de la capacité de carburant dans plus d’une douzaine d’États et plus de deux semaines de pénurie de carburant pour des millions de personnes. C’était la première fois qu’une infrastructure importante d’un pays souffrait d’une attaque de ransomware. Colonial Pipeline a par la suite admis avoir payé la rançon, mais dans un cas rare, le gouvernement américain a par la suite récupéré un la majorité de l'argent de la rançon .

FAQ sur les ransomwares

Pouvez-vous supprimer les ransomwares ?

Oui, vous pouvez supprimer les ransomwares. Un logiciel antivirus peut supprimer les ransomwares de votre ordinateur ou système. Cependant, la suppression du ransomware ne décryptera aucun fichier chiffré par le virus ransomware qui a infecté votre système.

Comment les ransomwares s’installent-ils sur votre ordinateur ?

Les ransomwares peuvent s’introduire sur votre ordinateur de la même manière que les autres logiciels malveillants. Les vecteurs d’attaque courants incluent :

  • Installation de fichiers infectés
  • Cliquer sur des liens sur des sites Web infectés
  • Brancher des clés USB inconnues sur votre ordinateur
  • Piratage de compte ou de système en raison d'une mauvaise sécurité du mot de passe
  • Attaques par force brute des pirates

Faut-il payer un ransomware ?

Non, vous ne devriez pas payer la rançon si vous êtes infecté par un ransomware. Payer des rançons encourage non seulement ce type d’attaque, mais peut également ne pas entraîner la publication de vos fichiers. Cela peut aussi être exceptionnellement coûteux.

Que se passe-t-il si je suis victime d'un ransomware ?

Si vous recevez un ransomware sur votre ordinateur ou votre réseau, le malware commencera à chiffrer vos fichiers. En fin de compte, il vous bloquera l'accès à votre système et exigera un paiement (souvent via crypto-monnaie) pour la libération des fichiers via une clé de décryptage.

^