10 étapes à suivre après une attaque de rançongiciel

L'article « 10 étapes à suivre après une attaque de rançongiciel » est profilé par BTW Media car des preuves publiées le lient à l'infrastructure Internet, à la gouvernance, aux dépendances opérationnelles ou à la visibilité du marché.

• Un type de virus informatique connu sous le nom de rançongiciel, également appelé logiciel malveillant ou malware, verrouille votre ordinateur et envoie une notification demandant un paiement pour déverrouiller vos données.
• La prévention est la meilleure forme de défense en matière de rançongiciel.
• Il existe 10 étapes que vous pouvez suivre après une attaque de rançongiciel, telles que rester calme, prendre une photo, signaler, mettre en quarantaine les systèmes, sécuriser les sauvegardes, utiliser des outils de déchiffrement, etc.

Rançongicielest un type de virus informatique, également appelé logiciel malveillant ou malware, qui verrouille votre ordinateur et envoie une alerte exigeant un paiement pour la restitution de vos données. Les cybercriminels ciblent généralement les entreprises et les gouvernements dans l'espoir qu'ils paieront de grosses rançons pour libérer les fichiers et restaurer les systèmes critiques. Mais les attaques de rançongiciel touchent également les utilisateurs d'ordinateurs ordinaires.

En matière de rançongiciel, la prévention est la meilleure défense. Vous ou votre entreprise pouvez fréquemment vous retrouver au milieu d'une attaque de rançongiciel si vous ne disposez pas de mesures de sécurité préventives solides.

Voici 10 étapes que vous devriez suivre après une attaque de rançongiciel.

1. Restez calme

Lorsque vous ne parvenez pas à accéder à des fichiers cruciaux sur votre ordinateur, il devient difficile de garder son sang-froid. Cependant, la première chose à faire après avoir été infecté par un rançongiciel est de rester calme et posé.

La plupart des gens ne prennent pas en compte la gravité de la situation avant de payer la rançon à la hâte. Des négociations avec l'attaquant peuvent parfois être possibles si vous restez calme et prenez du recul.

2. Prenez une photo du message du rançongiciel

N'oubliez pas que l'utilisation d'un rançongiciel est illégale. En effet, il est toujours possible de poursuivre les pirates informatiques pour des crimes s'ils diffusent un rançongiciel et soutirent moins de 1 000 $ à leurs victimes. Prenez une photo du message du rançongiciel qui apparaît sur votre appareil avant de signaler une attaque. Cela peut être fait avec un smartphone, un appareil photo ou, si possible, une capture d'écran.

3. Signaler le rançongiciel

Si votre entreprise travaille avec une équipe informatique externe ou une entreprise de cybersécurité, alertez-les de l'attaque, afin qu'ils puissent commencer à évaluer l'étendue des dégâts. Si votre entreprise dispose d'une police d'assurance contre les rançongiciels, contactez votre assureur pour l'informer de ce qui s'est passé.

Enfin, signalez l'attaque au FBI. Vous pouvez contacter votre bureau local du FBI, qui pourra peut-être vous aider à retracer comment l'attaque s'est produite en premier lieu.

À lire également:IA: Les opportunités et les menaces

4. Mettre en quarantaine les systèmes touchés

Déconnectez l'ordinateur affecté de votre réseau. Bien que le rançongiciel ait peut-être déjà infiltré votre réseau, vous réduisez la probabilité qu'il ait également atteint vos sauvegardes en isolant l'attaque. Cela est particulièrement vrai si vous utilisez des sauvegardes dans le cloud. Débrancher l'ordinateur affecté aide à arrêter le rançongiciel dans son élan.

5. Sécuriser les sauvegardes

Bien que les sauvegardes jouent un rôle crucial dans la remédiation, il est important de se rappeler qu'elles ne sont pas à l'abri des rançongiciels. Pour contrecarrer les efforts de récupération, de nombreuses souches modernes de rançongiciel ciblent spécifiquement les sauvegardes d'une entreprise et tentent de les chiffrer, de les écraser ou de les supprimer.

En cas d'incident de rançongiciel, les organisations doivent sécuriser leurs sauvegardes en déconnectant le stockage de sauvegarde du réseau ou en verrouillant l'accès aux systèmes de sauvegarde jusqu'à ce que l'infection soit résolue.

6. Désactiver les tâches de maintenance

Sur les systèmes touchés, les organisations doivent immédiatement désactiver les tâches de maintenance automatisées telles que la rotation des journaux et la suppression des fichiers temporaires, car elles peuvent altérer les fichiers dont les équipes d'investigation et les enquêteurs pourraient avoir besoin.

Les journaux de fichiers, par exemple, pourraient fournir des indices cruciaux sur le point d'infection d'origine, et certaines variantes de rançongiciel avec une programmation faible pourraient stocker des données cruciales, comme des clés de chiffrement, dans des fichiers temporaires.

7. Recherchez des outils de déchiffrement dans votre logiciel antivirus.

Un outil de déchiffrement quelconque est inclus dans un bon logiciel antivirus pour aider à supprimer le rançongiciel sans céder aux exigences du pirate. Utilisez votre programme antivirus pour rechercher des outils de déchiffrement. Si votre logiciel ne fonctionne pas, essayez de rechercher un outil de déchiffrement en ligne avec un autre appareil (un smartphone utilisant des données cellulaires est sûr).

À lire également:Qu'est-ce que l'open banking? Un petit guide

8. Identifier la variante de l'attaque

Vous pouvez utiliser des outils gratuits comme ID Ransomware et l'outil d'identification de rançongiciel en ligne d'Emsisoft pour identifier le type de rançongiciel.

Les utilisateurs peuvent télécharger un échantillon du fichier chiffré, toute note de rançon laissée, et, si disponibles, les coordonnées de l'attaquant à l'aide de ces services. Le type de souche de rançongiciel qui a affecté les fichiers de l'utilisateur peut être déterminé en analysant ces données.

9. Réinitialiser les mots de passe

Si un pirate informatique parvient à accéder à votre ordinateur, il peut également récupérer tous les mots de passe que vous stockez dans le trousseau d'accès de votre système d'exploitation ou votre navigateur Web. Une fois votre système d'exploitation restauré, changez autant de mots de passe que possible. Faire en sorte que chacun soit distinct de ceux que vous utilisiez avant le piratage est également une bonne idée, car un pirate ayant accès à votre liste de mots de passe finira par pouvoir déchiffrer vos nouveaux.

10. Décider s'il faut payer la rançon

Si les sauvegardes sont endommagées et qu'aucun outil de déchiffrement approprié n'est disponible, les organisations peuvent être tentées de payer la rançon pour récupérer leurs fichiers.

Bien que payer la rançon puisse aider à réduire les perturbations et puisse être moins cher que le coût global des temps d'arrêt, ce n'est pas une décision à prendre à la légère. Les organisations ne devraient envisager de payer la rançon que si toutes les autres options ont été épuisées et que la perte de données entraînera probablement la faillite de l'entreprise.

Une attaque de rançongiciel peut survenir à tout moment, il est donc important de savoir comment réagir rapidement si le réseau de votre organisation est attaqué. Alerter les autres parties de l'attaque et isoler rapidement la partie affectée de votre réseau est essentiel pour minimiser les dégâts. Après une attaque de rançongiciel, il est essentiel d'auditer complètement votre réseau pour vous assurer que les attaquants ont été supprimés et qu'il ne reste aucun rançongiciel.