Le top 3 des choses à savoir (et à faire) quand on est victime de ransomware
On a beau faire preuve de prudence au quotidien, le drame peut arriver : un écran noir, un texte terrifiant, des données chiffrées et un lien direct pour payer une rançon peuvent apparaître du jour au lendemain à l’allumage de son poste. La signature d'un ransomware telle que CryptoLocker, NetWalker, LockBit, ou Babuk Locker peut également apparaître sur l'écran.
Avant de paniquer, faisons le point sur les 3 principales choses à savoir quand on est victime d’un ransomware (ou rançongiciel).
Non, éteindre et rallumer ne servira à rien : déconnectez-vous !
1e étape : il est indispensable de déconnecter au plus vite votre appareil du réseau, afin d’éviter que le rançongiciel ne contamine d’autres postes !
MAIS n’éteignez pas votre ordinateur, contrairement à ce que votre premier réflexe peut vous inciter à faire.
Déjà parce que ça ne changera rien, vos données seront toujours chiffrées au rallumage. Ensuite, parce que d’éventuelles traces enregistrées dans la mémoire vive de votre ordinateur et permettant potentiellement de déchiffrer vos fichiers sans avoir à payer la rançon ou mener des actions en justice seraient irrémédiablement effacées.
« We don’t speak to terrorists »
Quand l’intégralité de ses données se retrouve chiffrée, et qu’un pirate nous prouve qu’il y a accès ainsi qu'à tout notre ordinateur, la tentation est très forte de payer la rançon pour revenir à la vie normale.
Comme souvent dans les cas de cyberterrorisme, ça ne servirait pas à grand-chose. D’abord parce que payer n’apporte pas de garantie inconditionnelle de récupérer vos fichiers. Ensuite parce qu’un paiement peut encourager les cybercriminels : continuer leur activité afin d'extorquer d'autres personnes, ou même vous extorquer encore plus en vous menaçant de divulguer vos données même après vous avoir fourni la clé de déchiffrement.
Il faut signaler l'intrusion
La clé, c’est la communication. Si vous avez été piraté sur votre ordinateur professionnel, il est essentiel de rapporter IMMÉDIATEMENT le problème à votre DSI/RSSI ou votre supérieur, et de prendre note de toutes les activités effectuées avant l’incident afin d’identifier la porte d’entrée du ransomware.
Communiquer sur votre situation peut aussi permettre d’identifier le type de ransomware dont vous êtes victime, et potentiellement trouver une aide ou une solution auprès de votre service SSI ou un spécialiste lors d'une analyse forensique.
Bonus
Vos données ayant été compromises, pensez à changer tous les identifiants des comptes auxquels le poste concerné a eu accès. Profitez-en également pour demander la déconnexion de tous les postes si c’est proposé, et renforcez la sécurité de vos comptes avec la double authentification si vous en avez la possibilité. Restez en veille sur les alertes de connexion qui pourraient survenir dans les semaines suivant l’attaque. Et faites une croix sur vos anciens mots de passe, que vous avez mis tant de mois à retenir (car il était bien sécurisé, n’est-ce pas ?).
Nous n’abordons pas dans le présent article les méthodes pour se protéger en amont des ransomwares : si vous lisez ces lignes, c’est sans doute un peu tard pour cela. Vous trouverez néanmoins sur notre site, si vous en avez besoin, tous nos conseils sur les ransomware.
Si vous êtes victime d'un rançongiciel, l'équipe d'AlgoSecure peut vous aider à définir la marche à suivre.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !