Les ransomwares sont bien souvent un véritable cauchemar, en particulier pour les entreprises. Des fichiers importants se retrouvent bloqués et le seul moyen d’en retrouver l’accès est de payer une rançon. Quelles actions préventives mettre en place pour éviter que cela ne vous arrive ? Si vous êtes déjà victime d’un ransomware/cryptolockage, que faire et faut-il payer pour débloquer la situation ?
Vous allumez votre ordinateur comme chaque jour. Un message s’affiche à l’écran, vous parlant de Bitcoin et de chiffrement. Vous le fermez sans lire. Problème : vous ne pouvez plus accéder à aucun de vos fichiers et plus rien faire avec votre ordinateur. Vous relisez le message plus attentivement : un attaquant vous réclame une rançon de plusieurs milliers d’euros en Bitcoin pour déchiffrer vos fichiers. Vous êtes victime d’un virus cryptolocker, également appelé ransomware ou rançongiciel.
C’est un virus informatique d’un type récent. Contrairement aux anciens virus dont le but était uniquement d’offrir une gloire éphémère à leur créateur en semant la destruction, ces virus réclament le paiement d’une rançon pour être nettoyés d’un ordinateur. Ils sont malheureusement en plein développement et des entreprises et des administrations importantes ont déjà été touchées en France comme partout dans le monde.
Ransomware : qui est ciblé ?
Aujourd’hui, les cybercriminels ciblent surtout les entreprises. Ils ont réalisé tout le potentiel à cibler les entreprises avec des ransomwares qui paralysent l’activité. Selon une étude de Malwarebytes, 35 % des petites et moyennes entreprises ont indiqué avoir déjà été victimes d’une attaque de ransomware en 2017.
Cryptolocker et ransomware : comment se fait-on infecter ?
Le rançongiciel est bien construit : il ne s’attaque pas aux fichiers système ni aux programmes installés sur la machine, car ceci ne ferait que la rendre inutilisable. Au contraire, il va contaminer uniquement les fichiers en rapport avec le travail : fichiers Word, Excel, Powerpoint, Photoshop, archives, sauvegardes. Chaque fichier contaminé devient simplement illisible et impossible à ouvrir.
Mais il ne va pas s’arrêter là. Si l’ordinateur contaminé est connecté à d’autres par le biais d’un Intranet, le virus va tenter de se propager également aux répertoires partagés accessibles. C’est ainsi que l’intégralité des fichiers d’une entreprise peuvent être contaminés, entraînant des pertes de données potentiellement graves.
La contamination est terminée en à peine quelques heures, et on peut ainsi se retrouver sans comptabilité, fichiers clients, factures, et même sans aucune sauvegarde accessible.
Rancongiciel : que faire si vous êtes infecté ?
Votre ordinateur, ou plusieurs ordinateurs sur votre réseau ont été contaminés. Si vous disposez d’une sauvegarde utilisable, le problème ne se pose pas. À part le travail fastidieux de récupération des fichiers, il sera possible de récupérer l’intégralité de vos données et de recommencer à travailler rapidement.
Il est donc important de faire des tests de temps en temps : reprendre une sauvegarde, vérifier que les fichiers sont corrects, les réutiliser comme si la machine avait été infectée, etc.
Sans sauvegarde, les choses se corsent : des sociétés de sécurité informatique font payer leurs services et parviennent à déchiffrer certains cryptolockers, mais les attaquants font rapidement évoluer les virus pour éviter ces contre-attaques.
Dans ce cas, il est strictement impossible de récupérer les fichiers. Aucun outil n’est à même d’y parvenir, dans la mesure où le ransomware utilise des processus cryptographiques complexes pour chiffrer les fichiers. Seul l’attaquant peut les déchiffrer.
Se débarrasser d’un ransomware : comment payer en Bitcoin ?
Si les fichiers contaminés sont indispensables au fonctionnement de votre entreprise, vous n’avez malheureusement pas d’autre choix que de payer la rançon, même s’il vous faut être conscient qu’il n’y aura aucune garantie que le paiement permettra la récupération des fichiers. En outre, la police déconseille formellement de payer ces attaquants, dans la mesure où cela ne fait que les encourager à développer leurs activités.
Malgré tout, si vous avez décidé de payer pour récupérer le contrôle de vos fichiers, Coinhouse peut vous accompagner. L’utilisation du Bitcoin peut être relativement intimidante, surtout dans une situation de blocage total de son entreprise, et nos services vous permettront de le faire en toute sécurité. Vous pouvez nous contacter par mail à support@coinhouse.com, par téléphone au 01 53 00 92 60, ou tout simplement demander de l’aide à nos conseillers en venant dans nos bureaux à Paris au35 rue du Caire.
Les ransomware sont de plus en plus fréquents, parce qu’ils rapportent beaucoup d’argent à des criminels avec très peu de risque. Il n’est malheureusement pas possible de s’en prémunir complètement, à moins de se couper complètement de l’internet. Mais il est possible de prendre toute une série de mesures qui rendent une attaque potentielle quasiment inoffensive. Dans le cas contraire, le paiement de la rançon est toujours possible, et peut avoir au moins un point positif: représenter le point de départ d’une sécurisation correcte de votre réseau informatique.
Ransomwares : comment les éviter ?
Tout le monde n’est pas expert en sécurité informatique. Il n’est pas possible de faire en sorte que personne ne clique sur un mauvais lien dans un email qui prétend provenir d’un collègue, comme cela arrive fréquemment. Il faut donc tenir pour acquis qu’un jour, quelqu’un infectera sa propre machine et compromettra les données de votre entreprise.
L’important est donc de faire en sorte qu’une machine infectée ne puisse pas avoir d’impact sur l’intégralité du réseau de votre entreprise. Voici les mesures essentielles à mettre en place :
Faire des sauvegardes pour rendre le ransomware non contraignant
Ceci est le point le plus essentiel. Des sauvegardes fréquentes des fichiers et répertoires importants sont indispensables. Même si une personne se fait infecter sa machine, il suffira après nettoyage de reprendre les sauvegardes et de repartir comme si de rien était. Encore faut-il que les sauvegardes ne puissent pas être contaminées. Il faudra donc s’assurer qu’aucune machine infectée n’ait la possibilité de modifier les fichiers de sauvegarde de l’entreprise.
Compartimenter les espaces partagés
S’il n’est pas indispensable qu’une personne puisse modifier fréquemment les fichiers d’un répertoire partagé, il ne faut pas qu’elle ait la possibilité de le faire. Il vaut mieux envoyer un fichier par email plutôt que d’ouvrir en grand les répertoires partagés de l’entreprise et de risquer qu’une contamination éventuelle s’étende par ce biais.
Utiliser le cloud
De plus en plus d’entreprises ne stockent plus rien localement, mais utilisent des services en ligne pour y mettre les fichiers importants, voire tous les fichiers sur lesquels tous les employés travaillent au quotidien. La plupart de ces services offrent des protections contre les ransomware comme la possibilité d’obtenir un historique complet des modifications du fichier. Il est alors simple de remonter à la dernière version du fichier avant contamination.
Tenir un antivirus à jour sur tous les PC Windows
Un antivirus n’offrira pas une protection sans faille, mais permettra de filtrer les virus les plus connus. L’antivirus par défaut de Windows, Windows Defender, est aujourd’hui d’assez bonne qualité.
