{"id":16433,"date":"2021-02-23T08:13:20","date_gmt":"2021-02-23T08:13:20","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16433"},"modified":"2021-02-23T08:13:20","modified_gmt":"2021-02-23T08:13:20","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-attack-what-to-do\/16433\/","title":{"rendered":"Vos donn\u00e9es ont \u00e9t\u00e9 chiffr\u00e9es"},"content":{"rendered":"

Vous avez lu tous nos articles<\/a> pour savoir comment prot\u00e9ger votre r\u00e9seau de toutes les menaces qui existent dans le monde. Parfois, en d\u00e9pit de toute les pr\u00e9cautions prises, une infection arrive \u00e0 se faufiler. C\u2019est \u00e0 ce moment-l\u00e0 que vous devez garder votre sang-froid et prendre rapidement des mesures d\u00e9cisives. Votre r\u00e9ponse vous permet de savoir si l\u2019incident va \u00eatre un v\u00e9ritable casse-t\u00eate pour l\u2019entreprise ou si ce sera tout \u00e0 votre honneur.<\/p>\n

Lorsque vous avancez dans le processus de r\u00e9cup\u00e9ration, n\u2019oubliez pas de rendre compte de chaque action pour garantir la transparence de l\u2019op\u00e9ration, tant aupr\u00e8s de vos employ\u00e9s que des acteurs internationaux. Essayez de conserver toutes les preuves que vous trouvez du ransomware pour qu\u2019il vous soit plus facile de localiser tout autre outil malveillant qui pourrait s\u2019en prendre \u00e0 votre syst\u00e8me plus tard. Cela signifie que vous devez conserver les historiques et toutes traces du malware qui pourraient s\u2019av\u00e9rer utiles pendant l\u2019enqu\u00eate.<\/p>\n

Premi\u00e8re partie : localiser et isoler<\/h2>\n

Vous devez d\u2019abord d\u00e9terminer l\u2019envergure de l\u2019attaque. Le malware s\u2019est-il r\u00e9pandu dans tout le r\u00e9seau\u00a0? Affecte-t-il plusieurs installations\u00a0?<\/p>\n

Commencez par rechercher les ordinateurs et les segments de r\u00e9seau infect\u00e9s au sein de l\u2019infrastructure de votre entreprise, puis isolez-les imm\u00e9diatement du reste du r\u00e9seau pour limiter la contamination.<\/p>\n

Si l\u2019entreprise n\u2019a pas beaucoup d\u2019ordinateurs, commencez par l\u2019historique<\/a> de l\u2019antivirus, de l\u2019EDR<\/a> et du pare-feu<\/a>. D\u2019autre part, si les ex\u00e9cutions sont tr\u00e8s limit\u00e9es, passez d\u2019une machine \u00e0 l\u2019autre et v\u00e9rifiez-les une par une.<\/p>\n

S\u2019il y a beaucoup d\u2019ordinateurs, vous devez analyser les \u00e9v\u00e9nements et l\u2019historique du syst\u00e8me de SIEM<\/a>. Cette action n\u2019\u00e9limine pas toutes les d\u00e9marches \u00e0 suivre mais c\u2019est un bon d\u00e9but pour avoir une vision d\u2019ensemble.<\/p>\n

Apr\u00e8s avoir isol\u00e9 les terminaux infect\u00e9s du r\u00e9seau, cr\u00e9ez des images disques et, si possible, laissez-les de c\u00f4t\u00e9 jusqu\u2019\u00e0 ce que l\u2019enqu\u00eate soit finie. Si l\u2019entreprise ne peut pas assumer les d\u00e9penses engendr\u00e9es par l\u2019arr\u00eat des ordinateurs, faites tout de m\u00eame des images et conservez le vidage de la m\u00e9moire pour l\u2019enqu\u00eate.<\/p>\n

Deuxi\u00e8me partie : analyser et agir<\/h2>\n

Apr\u00e8s avoir analys\u00e9 le p\u00e9rim\u00e8tre, vous avez d\u00e9sormais une liste des terminaux dont tous les fichiers du disque dur ont \u00e9t\u00e9 chiffr\u00e9s et des images des disques. Tous sont d\u00e9connect\u00e9s du r\u00e9seau et ne sont plus une menace. Vous pourriez<\/em> lancer le processus de r\u00e9cup\u00e9ration mais il conviendrait d\u2019abord de v\u00e9rifier la s\u00e9curit\u00e9 du reste du r\u00e9seau.<\/p>\n

Il est temps d\u2019analyser le ransomware, de d\u00e9couvrir comment il a pu entrer et de savoir quels groupes l\u2019utilisent habituellement. En r\u00e9sum\u00e9, la chasse \u00e0 la menace a commenc\u00e9. Un ransomware n\u2019appara\u00eet pas par magie\u00a0; il est install\u00e9 par un injecteur (dropper<\/a>), un cheval de Troie d\u2019acc\u00e8s \u00e0 distance (RAT<\/a>), un chargeur de cheval de Troie (Trojan loader<\/a>) ou n\u2019importe quel programme de ce genre. Vous devez mettre la main sur ce quelque chose.<\/p>\n

Pour ce faire, r\u00e9alisez une enqu\u00eate en interne. Plongez-vous dans les historiques pour savoir quel ordinateur a \u00e9t\u00e9 le premier touch\u00e9 et pourquoi il n\u2019a pas arr\u00eat\u00e9 l\u2019attaque.<\/p>\n

\u00c0 partir des r\u00e9sultats obtenus, supprimez le malware insidieux et avanc\u00e9 puis, si possible, red\u00e9marrez les op\u00e9rations de votre entreprise. Ensuite, demandez-vous comment vous auriez pu emp\u00eacher l\u2019attaque\u00a0: Qu\u2019est-ce qui manquait en termes de logiciel de s\u00e9curit\u00e9\u00a0? Corrigez les failles.<\/p>\n

Alertez vos employ\u00e9s au sujet de ce qu\u2019il vient de se passer, expliquez-leur comment d\u00e9tecter et \u00e9viter les pi\u00e8ges, et rassurez-les en leur disant qu\u2019ils seront bient\u00f4t form\u00e9s.<\/p>\n

Enfin, d\u2019ici l\u00e0, installez les mises \u00e0 jour et les correctifs en temps et en heure. La gestion des mises \u00e0 jour et des patchs est une priorit\u00e9 absolue pour les administrateurs informatiques. Un malware arrive souvent \u00e0 se faufiler gr\u00e2ce aux vuln\u00e9rabilit\u00e9s pourtant corrig\u00e9es par le d\u00e9veloppeur, mais dont le patch n\u2019a pas \u00e9t\u00e9 install\u00e9.<\/p>\n

Troisi\u00e8me partie : nettoyer et restaurer<\/h2>\n

\u00c0 cette \u00e9tape, vous avez g\u00e9r\u00e9 la menace qui se trouvait dans le r\u00e9seau et vous avez bouch\u00e9 le trou par lequel elle \u00e9tait entr\u00e9e. Vous devez d\u00e9sormais vous concentrer sur les ordinateurs qui sont hors service. S\u2019ils ne sont plus n\u00e9cessaires \u00e0 l\u2019enqu\u00eate, formattez le disque dur et r\u00e9cup\u00e9rez les donn\u00e9es \u00e0 partir de la sauvegarde seine la plus r\u00e9cente.<\/p>\n

En revanche, si vous n\u2019avez pas de sauvegarde, vous devez d\u00e9chiffrer le contenu du disque dur. Commencez par consulter le site No Ransom<\/a> de Kasperky puisqu\u2019il pourrait y avoir un outil de d\u00e9chiffrement pour le ransomware dont vous avez \u00e9t\u00e9 victime. Si ce n\u2019est pas le cas, contactez votre fournisseur de cybers\u00e9curit\u00e9 au cas o\u00f9 il pourrait vous aider. Dans tous les cas, ne supprimez pas les fichiers chiffr\u00e9s. De nouveaux outils de d\u00e9chiffrement apparaissent de temps \u00e0 autre et il pourrait y en avoir un pour vous. Ce ne serait pas la premi\u00e8re fois<\/a>.<\/p>\n

Peu importe les d\u00e9tails, une chose est \u00e9vidente\u00a0: ne payez pas. Vous financeriez l\u2019activit\u00e9 criminelle et les chances d\u2019obtenir vos donn\u00e9es d\u00e9chiffr\u00e9es sont faibles. En plus de bloquer vos donn\u00e9es, les cybercriminels \u00e0 l\u2019origine du ransomware les ont peut-\u00eatre vol\u00e9es<\/a> pour vous faire chanter. Enfin, si vous payez ces escrocs cupides, ils vont certainement en demander plus. Dans certains cas<\/a>, quelques mois apr\u00e8s avoir pay\u00e9 la ran\u00e7on, les intrus sont revenus pour demander plus d\u2019argent et ont menac\u00e9 de tout publier si l\u2019entreprise refusait.<\/p>\n

En g\u00e9n\u00e9ral, partez du principe que les donn\u00e9es vol\u00e9es sont d\u00e9sormais publiques et pr\u00e9parez-vous \u00e0 ce qu\u2019elles soient divulgu\u00e9es. Vous devrez parler de l\u2019incident t\u00f4t ou tard\u00a0: avec vos employ\u00e9s, les actionnaires, les autorit\u00e9s et, tr\u00e8s certainement, les journalistes. Il est important et appr\u00e9ci\u00e9 que vous fassiez preuve de transparence et d\u2019honn\u00eatet\u00e9<\/a>.<\/p>\n

Quatri\u00e8me partie : prendre des mesures pr\u00e9ventives<\/h2>\n

Un incident informatique important est toujours synonyme de beaucoup d\u2019ennuis, et la pr\u00e9vention est le meilleur rem\u00e8de. Anticipez les \u00e9ventuels probl\u00e8mes\u00a0:<\/p>\n