10 steps to take after a ransomware attack

• Un type de virus informatique connu sous le nom de ransomware, également appelé logiciel malveillant ou malware, verrouille votre ordinateur et envoie une notification demandant un paiement pour déverrouiller vos données.
• La prévention est la meilleure forme de défense en matière de ransomware.
• Il y a 10 étapes à suivre après une attaque de ransomware, comme garder son calme, prendre une photo, signaler, mettre en quarantaine les systèmes, sécuriser les sauvegardes, utiliser des outils de décryptage, etc.

Un ransomware est un type de virus informatique, également appelé logiciel malveillant ou malware, qui verrouille votre ordinateur et envoie une alerte exigeant un paiement pour la restitution de vos données. Les cybercriminels ciblent généralement les entreprises et les gouvernements dans l'espoir qu'ils paieront de grosses rançons pour libérer des fichiers et restaurer des systèmes critiques. Mais les attaques de ransomware touchent également les utilisateurs d'ordinateurs classiques.

En matière de ransomware, la prévention est la meilleure défense. Vous ou votre entreprise pourriez vous retrouver fréquemment au milieu d'une attaque de ransomware si vous ne disposez pas de mesures de sécurité préventives solides. Voir aussi: Registre des membres disparaissant de l'AfriNIC.

Voici 10 étapes à suivre après une attaque de ransomware. Voir aussi: AfriNIC: disparition du registre des membres.

1. Gardez votre calme

Lorsque vous ne pouvez pas accéder à des fichiers cruciaux sur votre ordinateur, il devient difficile de garder son sang-froid. Cependant, la première chose à faire après avoir été infecté par un ransomware est de rester calme et posé. Voir aussi: ISRcomunicaciones Telnetia S.L. (ISR comunicaciones).

La plupart des gens ne considèrent pas la gravité de la situation avant de payer la rançon à la hâte. Des négociations avec l'attaquant peuvent parfois être possibles si vous restez calme et prenez du recul. Voir aussi: Aurora Telecom LLC.

2. Prenez une photo du message du ransomware

N'oubliez pas que l'utilisation d'un ransomware est illégale. En effet, il est toujours possible de poursuivre les pirates pour crimes s'ils diffusent un ransomware et extorquent moins de 1 000 $ à leurs victimes. Prenez une photo du message du ransomware qui apparaît sur votre appareil avant de signaler une attaque. Cela peut être réalisé avec un smartphone, un appareil photo ou, si possible, une capture d'écran. Voir aussi: Westline Telecom Ltd..

3. Signalez le ransomware

Si votre entreprise travaille avec une équipe informatique externe ou une société de cybersécurité, alertez-les de l'attaque afin qu'ils puissent commencer à évaluer l'étendue des dégâts. Si votre entreprise dispose d'une police d'assurance contre les ransomwares, contactez votre assureur pour l'informer de ce qui s'est passé. Voir aussi: OOO « ZVI Telecom ».

Enfin, signalez l'attaque au FBI. Vous pouvez contacter votre bureau local du FBI, qui pourra peut-être vous aider à retracer comment l'attaque s'est produite en premier lieu. Voir aussi: Alejandro Fernandez.

Lire aussi: IA: les opportunités et les menaces

4. Mettez en quarantaine les systèmes affectés

Déconnectez l'ordinateur affecté de votre réseau. Bien que le ransomware ait peut-être déjà infiltré votre réseau, vous réduisez cette probabilité ainsi que le risque qu'il atteigne vos sauvegardes en isolant l'attaque. Cela est particulièrement vrai si vous utilisez des sauvegardes dans le cloud. Déconnecter l'ordinateur affecté permet d'arrêter le ransomware dans son élan. Voir aussi: Aldo Garcia.

5. Sécurisez les sauvegardes

Bien que les sauvegardes jouent un rôle crucial dans la remédiation, il est important de se rappeler qu'elles ne sont pas à l'abri des ransomwares. Pour contrecarrer les efforts de récupération, de nombreuses souches modernes de ransomware ciblent spécifiquement les sauvegardes d'une entreprise et tentent de les chiffrer, de les écraser ou de les supprimer.

En cas d'incident de ransomware, les organisations doivent sécuriser leurs sauvegardes en déconnectant le stockage de sauvegarde du réseau ou en verrouillant l'accès aux systèmes de sauvegarde jusqu'à ce que l'infection soit résolue.

6. Désactivez les tâches de maintenance

Sur les systèmes impactés, les organisations doivent immédiatement désactiver les tâches de maintenance automatisées telles que la rotation des journaux et la suppression des fichiers temporaires, car elles peuvent altérer des fichiers dont les équipes forensiques et les enquêteurs pourraient avoir besoin.

Les journaux de fichiers, par exemple, pourraient fournir des indices cruciaux sur le point d'infection initial, et certaines variantes de ransomware avec une programmation faible pourraient stocker des données cruciales, comme les clés de chiffrement, dans des fichiers temporaires.

7. Cherchez des outils de décryptage dans votre logiciel antivirus.

Un outil de décryptage, quel qu'il soit, est inclus dans les bons logiciels antivirus pour aider à supprimer les ransomwares sans céder aux exigences du pirate. Utilisez votre programme antivirus pour rechercher des outils de décryptage. Si votre logiciel ne fonctionne pas, essayez de rechercher un outil de décryptage en ligne avec un autre appareil (un smartphone utilisant les données cellulaires est sûr).

Lire aussi: Qu'est-ce que l'open banking ? Un guide rapide

8. Identifiez la variante de l'attaque

Vous pouvez utiliser des outils gratuits comme ID Ransomware et l'outil d'identification en ligne de ransomware d'Emsisoft pour identifier le type de ransomware.

Les utilisateurs peuvent télécharger un échantillon du fichier chiffré, toute note de rançon laissée et, si disponible, les coordonnées de l'attaquant en utilisant ces services. Le type de souche de ransomware qui a affecté les fichiers de l'utilisateur peut être déterminé en analysant ces données.

9. Réinitialisez les mots de passe

Si un pirate parvient à accéder à votre ordinateur, il peut également récupérer tous les mots de passe que vous stockez dans votre trousseau d'accès du système d'exploitation ou dans votre navigateur Web. Une fois votre système d'exploitation restauré, procédez au changement du plus grand nombre de mots de passe possible. Il est également conseillé de rendre chacun d'eux distinct de ceux que vous utilisiez avant le piratage, car un pirate ayant accès à votre liste de mots de passe pourra éventuellement déchiffrer les nouveaux.

10. Décidez s'il faut payer la rançon

Si les sauvegardes sont endommagées et qu'aucun outil de décryptage approprié n'est disponible, les organisations peuvent être tentées de payer la rançon pour récupérer leurs fichiers.

Bien que payer la rançon puisse contribuer à réduire les perturbations et puisse être moins cher que le coût global des temps d'arrêt, ce n'est pas une décision à prendre à la légère. Les organisations ne devraient envisager de payer la rançon que si toutes les autres options ont été épuisées et que la perte de données entraînera probablement la disparition de l'entreprise.

Une attaque de ransomware peut survenir à tout moment, il est donc important de savoir comment réagir rapidement si le réseau de votre organisation est attaqué. Alerter les autres parties de l'attaque et isoler rapidement la partie affectée de votre réseau est essentiel pour minimiser les dégâts. Après une attaque de ransomware, il est essentiel d'auditer entièrement votre réseau pour s'assurer que les attaquants ont été supprimés et qu'il ne reste aucun ransomware.