Alors que la crise mondiale générée par l’épidémie du COVID-19 suscite des craintes légitimes, il est primordial d’avoir conscience que les cybercriminels cherchent à tirer profit de la situation. Outre les mesures et précautions pour assurer la sécurité en amont, il est important de savoir comment procéder en cas d’attaque. Michal Salat, responsable Threat Intelligence chez Avast, donne ses conseils.
Étape 1 – Isoler immédiatement les appareils infectés
Si un PC fonctionnant sous Windows est attaqué par un ransomware, la première chose à faire consiste à localiser et déconnecter tous les ordinateurs et autres appareils infectés qui sont connectés au réseau, que ce soit en mode filaire ou sans fil. Cette solution empêchera le logiciel de se propager et de prendre en otage d’autres ordinateurs, tablettes ou smartphones.
Au cours de cette procédure, il est également recommandé aux victimes de dissocier tous les périphériques connectés aux appareils reliés au réseau, y compris les disques durs externes. Pour effectuer cette étape, il faut vérifier si l’un de ces produits était connecté au PC infecté. Si c’est le cas, il est nécessaire de contrôler la présence de demandes de rançon.
Étape 2 – Collecter les journaux et réaliser une image forensique
Une fois que la machine est isolée et qu’elle ne peut plus nuire aux autres appareils connectés au réseau, une image forensique du système actif doit être effectuée aux fins d’analyse de suivi. Cette mesure, qui permet de geler l’ensemble des journaux et événements, améliorera considérablement la capacité de l’équipe d’intervention à déterminer l’origine de l’attaque, ainsi que son comportement.
Étape 3 – Identifier le type de ransomware
Ensuite, les victimes doivent découvrir à quelle souche de ransomware elles sont confrontées. Cette information peut aider à trouver une solution. Pour déterminer le type de ransomware présent sur une machine, l’outil Crypto Sheriff de No More Ransom peut être utile. Fourni par le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, il vérifie les fichiers que l’attaquant a cryptés, ainsi que la note de rançon.
S’il reconnaît le cryptage et détient une solution, il proposera un lien pour télécharger le programme de décryptage nécessaire. Il est également possible de rechercher des informations relatives à la variante du ransomware à supprimer sur les forums d’assistance technique et de dépannage pour PC. Même s’il s’agit d’une variante nouvelle, il se peut qu’un fil de discussion propose une solution, ou que des membres du forum y travaillent.
Étape 4 – Supprimer le ransomware
Il est important d’éliminer les logiciels malveillants sous-jacents qui tiennent un PC en otage. Plusieurs options de suppression des ransomwares sont disponibles pour Windows 10, 8 et 7 :
- Vérifier si le ransomware s’est supprimé de lui-même.
- Supprimer le ransomware avec un antivirus.
- Supprimer le programme malveillant manuellement.
- Réinstaller le système à partir d’une image.