Une infection par ransomware signifie que vos données ont été chiffrées ou que votre système d'exploitation est bloqué par des cybercriminels. Ces criminels exigent généralement une rançon en échange du déchiffrement des données. Les ransomwares peuvent s'introduire dans un appareil de différentes façons. Les chemins les plus courants sont les infections provenant de sites Web malveillants, les modules complémentaires indésirables dans les téléchargements et le spam. Les cibles des attaques par ransomwares sont aussi bien des particuliers que des entreprises. Diverses mesures peuvent être prises pour se protéger contre les attaques par ransomwares. Pour commencer, il convient d'être vigilant et d'utiliser les bons logiciels. Une attaque par ransomware entraîne soit la perte de données, soit des dépenses importantes d'argent, soit les deux.
Détecter les ransomwares
Comment savoir si votre ordinateur est infecté ? Voici quelques façons de détecter une attaque par ransomware :
- L'antivirus émet une alerte : si l'appareil dispose d'un antivirus, il peut détecter rapidement une infection par ransomware, à moins qu'il n'ait été contourné.
- Vérifiez l'extension des fichiers : par exemple, l'extension habituelle d'un fichier image est « .jpg ». Si cette extension s'est transformée en une combinaison de lettres inconnue, il se peut que vous soyez infecté par un ransomware.
- Changement de nom : les dossiers ont-ils des noms différents de ceux que vous leur avez attribués ? Les programmes malveillants modifient souvent le nom des fichiers lorsqu'ils chiffrent les données. Cette modification pourrait donc aussi être un indice.
- Augmentation de l'activité du processeur et du disque : une augmentation de l'activité du disque ou du processeur principal peut indiquer que des ransomwares fonctionnent en arrière-plan.
- Communication réseau douteuse : un logiciel qui interagit avec le cybercriminel ou avec le serveur du pirate informatique peut entraîner une communication réseau suspecte.
- Fichiers chiffrés : un signe tardif de l'activité de ransomwares est que les fichiers ne peuvent plus être ouverts.
Enfin, une fenêtre contenant une demande de rançon confirme l'existence d'une infection par ransomware. Plus la menace est détectée tôt, plus il est facile de combattre l'application malveillante. La détection précoce d'une infection par un cheval de Troie de chiffrement peut permettre de déterminer le type de ransomware qui a infecté l'appareil. De nombreux chevaux de Troie d'extorsion s'effacent une fois le chiffrement effectué, de sorte qu'ils ne peuvent pas être examinés ni déchiffrés.
Une infection par ransomware s'est produite : quelles sont les solutions ?
Les ransomwares sont généralement divisés en deux types : les ransomwares Locker et les ransomwares Crypto. Un ransomware Locker verrouille l'ensemble de l'écran, tandis qu'un ransomware Crypto ne chiffre « que » des fichiers individuels. Quel que soit le type de cheval de Troie Crypto, trois solutions s'offrent généralement aux victimes :
- Elles peuvent payer la rançon et espérer que les cybercriminels tiennent leur parole et déchiffrent les données.
- Elles peuvent essayer de supprimer l'application malveillante à l'aide d'outils disponibles.
- Elles peuvent réinitialiser l'ordinateur à ses paramètres d'usine.
Supprimer des chevaux de Troie de chiffrement et déchiffrer les données : la procédure
Le type de ransomwares et le stade de détection de l'infection par ransomware ont tous deux une incidence importante sur la lutte contre le virus. Il n'est pas possible de supprimer l'application malveillante et de restaurer les fichiers pour toutes les variantes de ransomwares. Voici trois façons de combattre une infection.
Détecter le ransomware : le plus tôt sera le mieux !
Si le ransomware est détecté avant qu'une rançon ne soit demandée, vous avez l'avantage de pouvoir supprimer l'application malveillante. Les données qui ont été chiffrées jusqu'à ce moment-là restent chiffrées, mais le ransomware peut être arrêté. Une détection précoce permet d'empêcher la propagation de l'application malveillante à d'autres appareils et fichiers.
Si vous sauvegardez vos données en externe ou dans un stockage dans le cloud, vous serez en mesure de récupérer vos données chiffrées. Mais que pouvez-vous faire si vous ne disposez pas d'une sauvegarde de vos données ? Nous vous recommandons de contacter le fournisseur de votre solution de sécurité Internet. Il se peut qu'il existe déjà un outil de déchiffrement pour le ransomware dont vous avez été victime. Vous pouvez également consulter le site Web du projet No More Ransom. Cette initiative à l'échelle de l'industrie a été lancée pour aider toutes les victimes de ransomwares.
Instructions pour supprimer des ransomwares de chiffrement de fichiers
Si vous avez été victime d'une attaque par ransomware de chiffrement de fichiers, vous pouvez suivre les étapes suivantes pour supprimer le cheval de Troie de chiffrement.
Étape 1 : Se déconnecter d'Internet
Tout d'abord, retirez toutes les connexions, tant virtuelles que physiques. Cela inclut les appareils avec ou sans fil, les disques durs externes, tout support de stockage et les comptes dans le cloud. Cette mesure peut empêcher la propagation des ransomwares au sein du réseau. Si vous pensez que d'autres zones ont été touchées, effectuez les étapes de sauvegarde suivantes pour ces zones également.
Étape 2 : Effectuer une recherche à l'aide de votre logiciel de sécurité Internet
Lancez une analyse à la recherche de virus à l'aide du logiciel de sécurité Internet que vous avez installé. Cette action vous permet de détecter les menaces. Si des fichiers dangereux sont trouvés, vous pouvez soit les supprimer, soit les mettre en quarantaine. Vous pouvez supprimer les fichiers malveillants manuellement ou automatiquement à l'aide du logiciel antivirus. La suppression manuelle d'applications malveillantes n'est recommandée qu'aux utilisateurs expérimentés.
Étape 3 : Utiliser un outil de déchiffrement de ransomwares
Si votre ordinateur est infecté par un ransomware qui chiffre vos données, vous aurez besoin d'un outil de déchiffrement approprié pour y accéder de nouveau. Chez Kaspersky, nous étudions en permanence les derniers types de ransomwares afin de pouvoir fournir les outils de déchiffrement appropriés pour contrer ces attaques.
Étape 4 : Restaurer votre sauvegarde
Si vous avez sauvegardé vos données en externe ou dans un stockage dans le cloud, créez une sauvegarde de vos données qui n'ont pas encore été chiffrées par le ransomware. Si vous ne disposez d'aucune sauvegarde, il est beaucoup plus difficile de nettoyer et de restaurer votre ordinateur. Pour éviter cette situation, il est recommandé de créer régulièrement des sauvegardes. Si vous avez tendance à oublier ce genre de choses, utilisez des services de sauvegarde automatique dans le cloud ou créez des rappels dans votre calendrier.
Comment supprimer les ransomwares à verrouillage d'écran ?
Dans le cas des ransomwares à verrouillage d'écran, la victime est d'abord confrontée au défi d'accéder au logiciel de sécurité. En démarrant l'ordinateur en mode sans échec, il est possible que l'action de verrouillage de l'écran ne se charge pas et que la victime puisse utiliser son programme antivirus pour éliminer l'application malveillante.
Payer la rançon : oui ou non ?
Il n'est généralement pas recommandéde payer la rançon. Comme pour une politique de non-négociation dans une situation réelle de prise d'otage, il convient d'adopter une approche semblable lorsque des données sont prises en otage. Il n'est pas recommandé de payer la rançon, car il n'y a aucune garantie que les extorqueurs tiendront leur promesse et déchiffreront les données. En outre, le paiement encouragerait ce type de crime, qui doit être évité à tout prix.
Si vous envisagez néanmoins de payer la rançon, vous ne devez pas supprimer le ransomware de votre ordinateur. En fait, selon le type de ransomware ou le plan du cybercriminel quant au déchiffrement, il se peut que le ransomware soit le seul moyen d'appliquer un code de déchiffrement. Une suppression prématurée du logiciel rendrait le code de déchiffrement (acheté à grands frais) inutilisable. Cependant, si vous avez réellement reçu un code de déchiffrement et qu'il fonctionne, vous devez supprimer le ransomware de l'appareil dès que possible après le déchiffrement des données.
Les types de ransomwares : quelles sont les différences quant à la manière de procéder ?
Il existe de nombreux types de ransomwares, dont certains peuvent être désinstallés en quelques clics. En revanche, il existe également des variantes très répandues du virus qui sont beaucoup plus complexes et dont la suppression prend plus de temps.
Il existe différentes solutions permettant de supprimer et de déchiffrer les fichiers infectés, en fonction du type de ransomwares. Il n'existe pas d'outil de déchiffrement universel qui fonctionne pour toutes les variantes de ransomwares.
Les questions suivantes sont importantes lorsqu'il s'agit de supprimer correctement un ransomware :
- Quel type de virus a infecté l'appareil ?
- Existe-t-il un programme de déchiffrement approprié et si oui, lequel ?
- Comment le virus s'est-il introduit dans le système ?
Il se peut que Ryuk soit entré dans le système via Emotet, par exemple, ce qui implique une différence dans la façon de traiter le problème. S'il s'agit d'une infection Petya, une bonne façon de le supprimer consiste à utiliser le mode sans échec. Pour en savoir plus à propos des différentes formes de ransomwares, cliquez ici.
Conclusion
Même avec les meilleures précautions de sécurité, on ne peut jamais exclure avec certitude une attaque par ransomware. Si le pire devait arriver, un excellent logiciel de sécurité, comme celui de Kaspersky, une bonne préparation et une démarche prudente peuvent contribuer à atténuer les conséquences de l'attaque. En gardant à l'esprit les signes avant-coureurs d'une attaque par ransomware, vous pouvez détecter et combattre une infection à un stade précoce. Cependant, même si une rançon a été demandée, vous avez plusieurs options à votre disposition et pouvez choisir celle qui convient le mieux à votre situation particulière. N'oubliez pas que la sauvegarde régulière de vos données réduira considérablement les conséquences d'une attaque.