[sécurité] 8 solutions pour supprimer un Ransomware et protéger son entreprise

par Grégory Coste. le 23/07/2018
Pour supprimer un ransomware et mieux s’en protĂ©ger, il faut dĂ©jĂ  comprendre son fonctionnement : il suffit d’ouvrir des piĂšces jointes Ă  ses emails ou de cliquer sur un lien d’une page web pour que le programme malveillant bloque votre PC fonctionnant sous systĂšme Windows ou Linux, ou encore un ordinateur MAC, et crypte vos fichiers en transformant leur extension. Il faut alors payer une rançon pour rĂ©cupĂ©rer ses donnĂ©es.

Enclenchez la bonne procédure pour protéger votre entreprise des menaces du spam. appvizer vous explique le processus de ces virus tels que Cryptolocker, Odin, Wanna Cry, vous guide dans les outils, solutions de suppression et logiciels anti-malware à utiliser pour éviter toute :

Comprendre et connaßtre les logiciels de rançon

Le mot ransomware Ă©voque gĂ©nĂ©ralement la menace d’une rançon informatique. Voici toutes les notions pour mieux comprendre ce qu’est un ransomware et comment il fonctionne.

Ransomware : définition

Visionnez cette vidĂ©o qui explique le principe du ransomware en 5 minutes, enrichie d’exemples et de bonnes pratiques basiques pour Ă©viter l’infection :


Un ransomware est un programme informatique malveillant, un logiciel qui bloque l’accĂšs Ă  tous vos ordinateurs et tous vos fichiers en les cryptant, et parfois mĂȘme vos tablettes numĂ©riques et smartphones.

Le hacker (pirate informatique) demande une rançon, une trĂšs grosse somme d’argent Ă  l’entreprise (ou au particulier) contre la rĂ©cupĂ©ration de l’accĂšs Ă  ses ordinateurs : une fois la somme versĂ©e, le hacker est censĂ© donner la clĂ© de dĂ©cryptage pour que l’entreprise puisse rĂ©cupĂ©rer l’accĂšs Ă  son systĂšme informatique et ses donnĂ©es.

La rançon est souvent exigĂ©e en bitcoin, une monnaie virtuelle. Cette pratique illĂ©gale s’apparente Ă  de l’extorsion de fonds et est identifiĂ©e comme un acte de cybercriminalitĂ©.

Le mot ransomware se traduit ainsi par rançongiciel en français : l’ordinateur et les fichiers sont effectivement pris en otages.

Comment fonctionne une attaque de ransomware

L’image ci-dessous schĂ©matise le fonctionnement d’un ransomware :

Attaque d'un Ransomware : définition du fonctionnement en schéma
  • un faux message gouvernemental, de la gendarmerie ou de la police nationale l’incitant Ă  payer une amende en ligne en avançant de fausses infractions,
  • une fausse page web usurpant le nom d’une marque Ă  forte notoriĂ©tĂ© comme celui de Windows Microsoft, incitant Ă  vĂ©rifier en ligne si votre logiciel est piratĂ©, ou encore pour vous faire bĂ©nĂ©ficier de la derniĂšre version gratuitement,
  • une fausse publicitĂ© affichĂ©e sur une page Ă  caractĂšre pornographique.
Tous les systĂšmes d’exploitation sont aujourd’hui visĂ©s : Windows, Mac OS, Linux.

4 processus pour faire payer les utilisateurs

L’image ci-dessous classe les attaques de ransomwares :

ConnaĂźtre les ransomwares, des logiciels malveillants
  1. Le logiciel malveillant bloque tout accĂšs Ă  vos fichiers et documents. C’est la procĂ©dure la plus connue ;
  2. Le hacker stimule la peur de l’utilisateur qui rĂ©ceptionne un message lui indiquant que son ordinateur est infectĂ©, alors qu’aucun Ă©lĂ©ment ne le prouve. On parle alors de scarewares ;
  3. Le ransomware bloque l’écran d’ordinateur, celui-çi devient alors inutilisable. On appelle ces attaques des screenlockers ;
  4. Le pirate vous vole des informations personnelles et vous fait chanter en vous demandant une rançon. On nomme ce type d’attaque doxxing ou doxware.

Le coĂ»t d’une infection pour l’entreprise



Le reportage d’Europe 1 (en vidĂ©o ci-dessus) rĂ©vĂšle les informations suivantes :
  • 1 entreprise sur 2 a dĂ©jĂ  Ă©tĂ© victime d’une demande de rançon en France,
  • la moitiĂ© des entreprises a payĂ©,
  • seulement 1 tiers des entreprises a rĂ©cupĂ©rĂ© ses donnĂ©es,
  • jusqu’à 300 000 euros de rançons sont demandĂ©s,
  • 1 milliard de dollars de rançon rĂ©coltĂ© aux USA.

Le ransomware SamSam coûte 11 millions de dollars à la ville d'Atlanta.

Source : Clubic, 2018.

Les rĂ©percussions pour l’entreprise qui perd ses donnĂ©es peuvent ĂȘtre sans retour :
  • la fuite des donnĂ©es personnelles de ses clients peut donner lieu Ă  des usurpations d’identitĂ©,
  • la perte de donnĂ©es peut engendrer une perte considĂ©rable de chiffre d’affaires suite Ă  l’arrĂȘt de l’activitĂ©,
  • la rĂ©putation et la notoriĂ©tĂ© de l’entreprise peuvent ĂȘtre entachĂ©es,
  • les donnĂ©es peuvent ĂȘtre corrompues et devenir inutilisables,
  • le paiement de la rançon ne garantit pas la restitution des donnĂ©es de maniĂšre intĂšgre.

Chiffres et statistiques alarmantes sur les rançongiciels

Les ransomwares ciblant les mobiles ont augmenté de plus de 250% depuis début 2017.

Source : Kapersky

Les ransomwares infectent 20 000 ordinateurs en France tous les mois.

Source : Avast

390 000 nouveaux programmes malveillants Ă©mergent chaque jour. 93% de toutes les attaques de phishing incluent maintenant un ransomware.

Source : SANS 2016 Threat Landscape Survey, SANS Institute.

On peut se procurer des ransomwares pour un prix entre 50 $ et 175 $ (exploitable directement en ligne en RaaS : Ransomware as a Service)

Source : Altospam

Liste de ransomwares connus

À quoi ressemble mon ordinateur lorsqu’il est infectĂ© par un ransomware ? Voici une liste d’exemples de ransomwares tristement cĂ©lĂšbres pour leurs dĂ©gĂąts, accompagnĂ©s d’images pour les reconnaĂźtre.

Cryptolocker

Le ransomware Cryptolocker : exemple en image

Locky Ransomware

Locky Ransomware : exemple

Odin

Virus Odin : exemple

Zepto

un exemple du rançongiciel Zepto

KeRanger : une infection ciblant les ordinateurs Macintosh

Exemple du ransomware Keranger en action

Spora ransomware

Ce malware utilise les liens web pour manipuler l’internaute et se rĂ©pand depuis 2017.

Démonstration du fonctionnement de Spora ransomware en vidéo :

WannaCrypt aussi appelé WannaCry

Le malware appelĂ© WannaCrypt ou WannaCry cible les machines dont le systĂšme d’exploitation Windows est vieux tel que Windows XP, Windows 7 ou 8.1, ou pour lequel la mise Ă  jour de sĂ©curitĂ© n’a pas Ă©tĂ© faite.

WannaCry sévit actuellement dans 150 pays et a infecté plus de 300 000 ordinateurs en mai 2017.
Un organisme anglais s’est fait extorquer 100 000 $.

Le ransomware virus gendarmerie

Exemple du ransomware virus gendarmerie en action

BtcKING Ransomware

BtcKING Ransomware : exemple

Le ransomware Petya et son successeur NotPetya

ransomware Petya : exemple

En 2016 le ransomware petya a coûté 300 millions de dollars au transporteur FedEx dont la filiale TNT a été touchée

Source : zdnet, septembre 2017

Solutions pour supprimer un ransomware

Ransomare : que faire lorsque son ordinateur est bloquĂ© par un virus ? Entre un antivirus ransomware et une procĂ©dure dĂ©conseillĂ©e aux novices de l’informatique, voici plusieurs solutions.

Supprimer BtcKING avec SpyHunter

Avertissement : de nombreux sites recommandent de télécharger gratuitement SpyHunter pour supprimer le ransomware BtcKING.

L’article « SpyHunter - Faux blog de dĂ©sinfection » est Ă©difiant Ă  ce sujet :

Beaucoup "de faux sites" de désinfection suggÚrent de télécharger l'antispyware SpyHunter. ll est possible que les auteurs de malwares, qui gagnent de l'argent via les virus, soient derriÚre ces sites.


Il faut donc rester vigilant quant aux sources d’informations et consulter un site de confiance tel qu’appvizer par exemple 😇.

L’algorithme de correction de la derniĂšre version de la solution SpyHunter 5 dĂ©tecte les virus, les met en quarantaine et bloque les logiciels malveillants avant qu’ils ne puissent ĂȘtre lancĂ©s.

Découverte de SpyHunter 5 en vidéo :

Télécharger un anti-ransomware gratuit chez Avast

Chez Avast, le particulier peut tĂ©lĂ©charger gratuitement un antivirus. Cependant, il faut passer Ă  une version payante pour bĂ©nĂ©ficier d’un anti-ransomware efficace.

En effet, Avast propose des outils gratuits de suppression de certains ransomwares seulement : ces antivirus ransomware ne font pas preuve d’une protection Ă  toute Ă©preuve.

L’antivirus pour les entreprises existe en version autonome pour 4 appareils maximum, ou connectĂ© Ă  une Cloud Management Console.

Découvrez Avast Business Cloud Care en vidéo :

Un anti-ransomware gratuit pour MAC : Malwarebytes

anti-ransomware gratuit pour MAC : Malwarebytes

Utiliser le mode sans Ă©chec de Windows

Supprimer le virus avec le mode sans Ă©chec de Windows est une technique de suppression qui ne s’adresse qu’aux utilisateurs experts et n’est efficace que pour supprimer certains logiciels malveillants.

De plus, la procĂ©dure Ă  suivre varie selon la version du systĂšme d’exploitation Windows XP, Windows 7, Vista, 8, 8.1 ou 10 et le fabricant du PC 
.

Les 2 principales Ă©tapes du processus :

  • Elle consiste en premier lieu Ă  redĂ©marrer le PC en mode sans Ă©chec, c’est-Ă -dire en appuyant sur la touche F8 ou F5. Il faut choisir la prise en charge rĂ©seau, tĂ©lĂ©charger et installer un anti-malware, puis redĂ©marrer Ă  nouveau l’ordinateur ;
  • La manipulation suivante consiste Ă  restaurer le systĂšme en invite de commandes en mode sans Ă©chec ; il s’agit de restaurer votre systĂšme en choisissant une date antĂ©rieure Ă  l’attaque du ransomware.
Conseils : certains malwares bloquent des pilotes de Windows ; il ne faut alors surtout pas utiliser la méthode msconfig pour redémarrer en mode sans échec, car Windows redémarre en boucle sans en mode sans échec.

Logiciels anti-ransomware pour protéger son entreprise

Rien de mieux qu’un logiciel professionnel pour se protĂ©ger des ransomwares, plutĂŽt que de tenter une solution qui s’apparente plus Ă  du bricolage hasardeux qu’à une vĂ©ritable protection contre le ransomware, ainsi que contre toutes les menaces existantes. DĂ©monstrations.

Altospam : le champion de la protection toutes catégories

Altospam est un logiciel SaaS redoutable pour lutter efficacement contre tout type d’attaque et pourriels. La solution protùge en effet les adresses email de l’entreprise grñce à la conjugaison de 16 technologies anti-spam, 6 antivirus et 4 technologies anti ransomwares.

Altospam protĂšge Ă©galement les serveurs de l’entreprise : ceux d’Altospam servent d’intermĂ©diaire pour bloquer toute attaque et ne laisser passer que les emails lĂ©gitimes.

Découverte du logiciel anti-ransomware Altospam en vidéo :


Cette solution Ă  la fois anti-spam, anti-virus et anti-phishing filtre les courriers Ă©lectroniques : elle bloque les piĂšces jointes dommageables comme celles contenant un ransomware.

Vos serveurs sont Ă©galement Ă  l’abri des attaques DDoS (dĂ©ni de service) ou de hackers souhaitant utiliser l’un de vos serveurs comme relais pirate pour envoyer des mails en masse et crypter les donnĂ©es d’autres entreprises.

MailInBlack : solution anti-virus et antispam

MailInBlack vĂ©rifie l’identitĂ© de l’expĂ©diteur avant de dĂ©livrer un email ou de le bloquer. Si l’expĂ©diteur est inconnu, un email de vĂ©rification lui est envoyĂ© afin qu’il s’authentifie comme Ă©tant un vĂ©ritable humain et non un robot dangereux. Ce principe de prĂ©caution repose sur celui de l’authentification : seuls les expĂ©diteurs qui ont montrĂ© patte blanche sont inscrits sur la liste blanche. Les autres, direction la liste noire.

Découverte de la solution anti-ransomware MailInBlack en vidéo :


MailInBlack offre une protection simultanĂ©e Ă  plusieurs niveaux : la solution filtre les adresses email, scanne chaque message pour dĂ©tecter les virus tels que les ransomwares et les bloquer, applique un filtre anti-spam RBL strict, et protĂšge Ă©galement les serveurs de messagerie Ă  la maniĂšre d’Altospam.

Par ailleurs, chaque utilisateur peut gérer manuellement les emails en attente dans son, espace personnel : il peut bannir une adresse email en la mettant sur liste noire, autoriser un expéditeur spécifique, etc.

Vade Secure : l’intelligence artificielle protùge vos emails

La vocation du logiciel d’analyse d’emails — la sĂ©curitĂ© informatique — est clairement affichĂ©e : bloquer tous les spams, les virus et malwares tels que les ransomwares, mais aussi les attaques de type Phishing et Spear Phishing (attaque ciblĂ©e sur une personne ou une entreprise spĂ©cifique).

Vade Secure analyse chaque courrier Ă©lectronique arrivant : l’adresse de l’expĂ©diteur, le contenu, mais aussi le contexte grĂące une intelligence artificielle intĂ©grĂ©e, pour sĂ©parer les emails malveillants des messages licites.

Découverte de la solution anti-ransomware Vade Secure en vidéo :


La solution est dotĂ©e d’un antivirus et d’un antispam Ă  toute Ă©preuve : les messages d’attaques contenant un virus ou un ransomware sont Ă©cartĂ©s, tout comme les spams.

L’intelligence artificielle applique des rĂšgles prĂ©dictives et analyse des milliards de donnĂ©es chaque jour pour s’amĂ©liorer et faire face aux nouvelles menaces dans les meilleures conditions de dĂ©fense possibles.

E-Securemail : atomisation des pubs parasites et des virus

logiciel anti-ransomware E-Securemail

Les bons réflexes pour réagir et se protéger des ransomwares

La meilleure des protections contre les ransomwares passe d’abord par la sensibilisation de vos collaborateurs.

Guide de sécurité à transmettre à vos utilisateurs

Faites adopter les bons réflexes par des actions de prévention en interne :

  • MĂ©fiez-vous d’un expĂ©diteur inconnu : c’est la 1ere fois qu’une adresse email vous envoie un message ? VĂ©rifiez l’adresse : si c’est une adresse professionnelle que vous pouvez facilement retrouver dans un annuaire ou sur le site professionnel de l’entreprise, c’est bon signe. Dans le cas contraire, mĂ©fiance ;

  • Soyez attentif Ă  la qualitĂ© du message : mĂȘme si l’adresse email est professionnelle, certains signes peuvent vous alerter sur un Ă©ventuel piratage de la messagerie. Des fautes d’orthographe, un message vous demandant de l’argent ou des donnĂ©es personnelles comme un identifiant ou un mot de passe. Restez vigilant ;

  • N’ouvrez pas de piĂšces jointes sans vĂ©rifications : c’est l’attaque privilĂ©giĂ©e du ransomware ! VĂ©rifiez Ă  minima que votre antivirus est bien actif et mis Ă  jour. Le moyen le plus sĂ»r est d’utiliser l’un des logiciels citĂ©s plus haut : ils bloquent les messages de ce type en amont et conjuguent plusieurs anti-virus pour prĂ©venir des nouvelles formes d’attaques. Si votre ordinateur montre des signes inhabituels comme un ralentissement, demander Ă  ce qu’il soit entiĂšrement analysĂ© ;

  • RĂ©flĂ©chissez avant de cliquer sur un lien sur une page web : les fautes d’orthographe, un mauvais français et un design hasardeux sont extrĂȘmement douteux. Passez le curseur de votre souris sur le lien cliquable ou sur la banniĂšre SANS CLIQUER et observez l’adresse URL qui s’affiche : elle doit correspondre au site officiel de la marque ou du nom de l’entreprise utilisĂ© dans le texte. Dans le cas contraire, abstenez-vous. La rĂšgle Ă  connaĂźtre : une entitĂ© comme votre banque ou un service administratif ne vous demandera jamais vos identifiants et mots de passe, ni de l’argent sur une page web accessible au public, ni par email ;

  • Sauvegardez vos donnĂ©es chaque jour : il est conseillĂ© d’externaliser une sauvegarde de vos donnĂ©es. En cas d’attaque frontale sur vos serveurs, vous pourrez rĂ©cupĂ©rer vos donnĂ©es sauvegardĂ©es sur un serveur externe et reprendre l’activitĂ© en utilisant des versions intĂšgres de vos fichiers sauvegardĂ©s ;

  • Mettez vos logiciels Ă  jour rĂ©guliĂšrement : nous l’avons vu plus haut, les hackers profitent des failles de sĂ©curitĂ©. Vos outils de bureautique et tous vos logiciels doivent ĂȘtre mis Ă  jour rĂ©guliĂšrement pour bĂ©nĂ©ficier des derniers correctifs en matiĂšre de sĂ©curitĂ©. Bien entendu, Ă©vitez de tĂ©lĂ©charger une copie illĂ©gale de logiciel et la navigation sur les sites pornographiques ;

  • ParamĂ©trez votre messagerie : bloquez par dĂ©faut l’exĂ©cution automatique des ActiveX, des plug-ins et des tĂ©lĂ©chargements, et empĂȘchez la prĂ©visualisation automatique des messages. Encore plus sĂ»r : utilisez l’un des logiciels anti-ransomware plus haut. Ces logiciels emploient des serveurs dĂ©diĂ©s pour bloquer les messages contenant des virus et ne vous transmettent que les messages lĂ©gitimes ;

  • Consultez les alertes de sĂ©curitĂ© du CERT-FR : le Computer Emergency Response Team est un rĂ©seau mondial dont la vocation est d’effectuer une veille permanente sur les attaques informatiques. L’instance française dĂ©pend du SecrĂ©tariat GĂ©nĂ©ral de la DĂ©fense Nationale et met rĂ©guliĂšrement en ligne des alertes concernant des attaques ou des failles de sĂ©curitĂ©.

Que faire en cas d’infection ?

Vous constatez un écran vous demandant de payer une rançon ?

L’ANSSI — l’agence nationale de la sĂ©curitĂ© des systĂšmes d’information — vous recommande d’appliquer ces conseils :

  • Ne payez pas, vous encourageriez la pratique des hackers ;
  • N’éteignez pas votre ordinateur, mettez-le en veille prolongĂ©e si vous pouvez ;
  • Pour Ă©viter que le virus ne se propage Ă  tous vos appareils, dĂ©branchez immĂ©diatement tous vos appareils (ordinateurs, disques durs, etc.) et dĂ©connectez-les du rĂ©seau ;
  • Contactez d’urgence votre responsable informatique pour qu’il dĂ©sinfecte l’ordinateur concernĂ© avec un CD bootable de sĂ©curitĂ© par exemple, et qu’il restaure les donnĂ©es grĂące Ă  la sauvegarde vue plus haut ;
  • Portez plainte.