Les ransomwares sont l'une des principales menaces de cybersécurité auxquelles nous devons faire face. L'objectif de ce type d'attaque de rançongiciel est à la fois les particuliers et les entreprises, donc personne ne se débarrasse de cette menace qui est responsable du cryptage de tout le contenu des disques durs ou SSD lecteurs du système d'exploitation, cela a pour objectif que la victime paie une rançon afin de récupérer ses fichiers. Cependant, ces derniers mois, de nouveaux rançongiciels sont apparus dont l'objectif est d'empêcher l'utilisateur ou l'entreprise d'entrer dans le système d'exploitation, de sorte que la récupération des données devient plus compliquée.
Comment fonctionne une attaque normale
Généralement, ce que fait le ransomware est d'infecter notre ordinateur ou serveur NAS, dans le but de crypter tous les fichiers qui se trouvent dans les différents dossiers, dans le but de pouvoir payer la rançon via des crypto-monnaies telles que Bitcoin, entre autres. De cette façon, si nous ouvrons un ransomware sur notre PC ou qu'ils exploitent une vulnérabilité et nous infectent, le processus de cryptage commencera automatiquement pour tous les fichiers, ou seulement certains d'entre eux.
La raison de n'en chiffrer que certains est que les rançongiciels ne chiffrent généralement pas les fichiers exécutables ou les images ISO que nous avons, car ce processus prend plus de temps que la normale et l'utilisateur pourrait se rendre compte que quelque chose d'étrange se passe. Premièrement, le ransomware commence par de petits fichiers, tels que des documents bureautiques et PDF, des photos, mais aussi de courtes vidéos, dans le but de nous faire le plus de dégâts possible.
Les étapes suivies par tout logiciel de rançon lors de l'infection d'un PC sont les suivantes :
- Infection du PC par Phishing, due au fait que nous sommes entrés sur des sites Web de réputation douteuse et que nous avons téléchargé un fichier, etc.
- Une fois que nous exécutons le ransomware sur notre PC, le processus d'infection et de cryptage commencera. Ce processus peut prendre plusieurs heures et nous ne le réalisons que si nous accédons à un fichier en cours de cryptage.
- Il nous laissera un fichier TXT indiquant que nous avons été infectés, et il nous indiquera les instructions à suivre pour récupérer les fichiers si nous payons la rançon.
Comme vous pouvez le constater, très peu de temps après l'infection, tous nos fichiers seront cryptés et nous ne pourrons plus y accéder. Pour cette raison, 3-2-1 sauvegardes sont si importants, car ils nous offrent un très haut niveau de sécurité des informations, ayant plusieurs sauvegardes et stockés à différents endroits.
Ransomware qui verrouille votre PC
Il existe une variante de ce type d'attaque qui se charge de bloquer complètement votre ordinateur, dans le but qu'il ne démarre même pas, vous ne pourrez donc pas l'utiliser. Dans ces cas, nous devrons payer pour retrouver l'accès à notre ordinateur. Si nous essayons de redémarrer notre ordinateur, lorsque nous le démarrerons, nous verrons une simple note textuelle indiquant que nous devons payer la rançon pour récupérer l'ordinateur, sinon il restera bloqué.
Ce type de ransomware ne crypte généralement pas tous les fichiers de notre PC, nous pouvons donc y accéder via des méthodes externes telles que la connexion du disque dur à une station d'accueil et l'entrée avec un autre système d'exploitation, cependant, il est possible qu'il vous ait affecté un une rançon qui fait les deux : verrouillez l'écran de votre PC et cryptez les fichiers qu'il contient.
Lorsqu'ils effectuent ce type d'attaque contre nous, il est préférable d'identifier le type de ransomware qui nous a infectés, afin de savoir s'il existe un moyen de le supprimer ou de récupérer nos fichiers. Selon le type, nous pourrions récupérer toutes les informations sur nos disques de manière simple, car il existe des programmes qui, si nous les exécutons, se chargeront de nettoyer la menace et de les récupérer.
Bien sûr, nous ne vous recommanderons jamais de payer la rançon. Les cybercriminels ne tiennent souvent pas leurs promesses, nous ne pourrons donc pas décrypter nos fichiers même si nous payons pour cela. La seule chose que nous allons faire en payant la rançon est de donner de l'argent aux cybercriminels afin qu'ils continuent à commettre des crimes et à nuire à davantage de personnes. Vous ne devriez donc jamais payer pour cela.
Que faire pour ne pas être victime
Afin de ne pas être victime de ce type d'attaque, nous devons respecter quatre mesures de sécurité très élémentaires :
- Ne cliquez sur aucun lien ou lien qui nous parvient par e-mail, faites preuve de bon sens et ne « piquez » pas dans le piège du phishing.
- Faites mettre à jour le système d'exploitation avec les derniers correctifs de sécurité et avec un antivirus en cours d'exécution.
- Activer la protection anti-ransomware dans le système d'exploitation, Windows dispose d'un système qui vous permet de détecter et d'arrêter les processus qui apportent de nombreuses modifications aux fichiers informatiques.
- Faites des copies de sauvegarde en suivant le schéma 3-2-1 pour protéger nos fichiers et dossiers les plus précieux.
Avec ces quatre recommandations de base, vous serez tout à fait protégé contre ce type d'attaque, et en cas d'infection, vous pourrez tout récupérer grâce aux sauvegardes.
