[sécurité] 8 solutions pour supprimer un Ransomware et protéger son entreprise

[sécurité] 8 solutions pour supprimer un Ransomware et protéger son entreprise

Pour supprimer un ransomware et mieux s’en protéger, il faut déjà comprendre son fonctionnement : il suffit d’ouvrir des pièces jointes à ses emails ou de cliquer sur un lien d’une page web pour que le programme malveillant bloque votre PC fonctionnant sous système Windows ou Linux, ou encore un ordinateur MAC, et crypte vos fichiers en transformant leur extension. Il faut alors payer une rançon pour récupérer ses données.

Enclenchez la bonne procédure pour protéger votre entreprise des menaces du spam. appvizer vous explique le processus de ces virus tels que Cryptolocker, Odin, Wanna Cry, vous guide dans les outils, solutions de suppression et logiciels anti-malware à utiliser pour éviter toute infection :

Suggestion de logiciels pour vous

Altospam

Altospam
Service professionnel anti-spam, anti-virus et anti-phishing
Testez gratuitement
Voir ce logiciel

Pagga

Pagga
Distribuez vos fiches de paie en toute simplicité
Demander un devis
Voir ce logiciel

RG Supervision

RG Supervision
Le monitoring en mode SaaS
Essai gratuit ou Démo
Voir ce logiciel

Comprendre et connaître les logiciels de rançon

Le mot ransomware évoque généralement la menace d’une rançon informatique. Voici toutes les notions pour mieux comprendre ce qu’est un ransomware et comment il fonctionne.

Ransomware : définition

Visionnez cette vidéo qui explique le principe du ransomware en 5 minutes, enrichie d’exemples et de bonnes pratiques basiques pour éviter l’infection :

Un ransomware est un programme informatique malveillant, un logiciel qui bloque l’accès à tous vos ordinateurs et tous vos fichiers en les cryptant, et parfois même vos tablettes numériques et smartphones.

Le hacker (pirate informatique) demande une rançon, une très grosse somme d’argent à l’entreprise (ou au particulier) contre la récupération de l’accès à ses ordinateurs : une fois la somme versée, le hacker est censé donner la clé de décryptage pour que l’entreprise puisse récupérer l’accès à son système informatique et ses données.

La rançon est souvent exigée en bitcoin, une monnaie virtuelle. Cette pratique illégale s’apparente à de l’extorsion de fonds et est identifiée comme un acte de cybercriminalité.

Le mot ransomware se traduit ainsi par rançongiciel en français : l’ordinateur et les fichiers sont effectivement pris en otages.

Comment fonctionne une attaque de ransomware

L’image ci-dessous schématise le fonctionnement d’un ransomware :

Attaque d'un Ransomware : définition du fonctionnement en schéma
Source image : statista.com

Le hacker exploite bassement les sentiments comme la peur, la naïveté, la culpabilité ou l’ignorance de l’utilisateur de messagerie ou de l’internaute qui surfe sur le web.

L’utilisateur ouvre une simple pièce jointe à un courrier électronique : cela suffit pour que le virus matérialisé par un ver informatique infecte l'ordinateur et se propage à tout le système d’information pour bloquer tous les ordinateurs mal protégés (filtre anti-spam inefficace par exemple).

Le ransomware peut être une application qui modifie la base du registre du système d'exploitation de l'ordinateur hôte pour le bloquer, ou un virus qui chiffre les données pour les rendre inaccessibles.

Certains rançongiciels dangereux basés sur le virus CryptoLocker chiffrent les données, d'autres exécutent une application qui va modifier la base de registre du système d'exploitation de l'ordinateur hôte pour le verrouiller.

L’internaute peut également cliquer sur un lien dans un email qui le redirige vers une fausse page web contenant un piège comme :

  • un faux message gouvernemental, de la gendarmerie ou de la police nationale l’incitant à payer une amende en ligne en avançant de fausses infractions,
  • une fausse page web usurpant le nom d’une marque à forte notoriété comme celui de Windows Microsoft, incitant à vérifier en ligne si votre logiciel est piraté, ou encore pour vous faire bénéficier de la dernière version gratuitement,
  • une fausse publicité affichée sur une page à caractère pornographique.

Tous les systèmes d’exploitation sont aujourd’hui visés : Windows, Mac OS, Linux.

4 processus pour faire payer les utilisateurs

L’image ci-dessous classe les attaques de ransomwares :

Connaître les ransomwares, des logiciels malveillants

Fait intéressant, Avast classe les infections selon 4 types de menaces :

  1. Le logiciel malveillant bloque tout accès à vos fichiers et documents. C’est la procédure la plus connue ;
  2. Le hacker stimule la peur de l’utilisateur qui réceptionne un message lui indiquant que son ordinateur est infecté, alors qu’aucun élément ne le prouve. On parle alors de scarewares ;
  3. Le ransomware bloque l’écran d’ordinateur, celui-çi devient alors inutilisable. On appelle ces attaques des screenlockers ;
  4. Le pirate vous vole des informations personnelles et vous fait chanter en vous demandant une rançon. On nomme ce type d’attaque doxxing ou doxware.

Le coût d’une infection pour l’entreprise

Le reportage d’Europe 1 (en vidéo ci-dessus) révèle les informations suivantes :

  • 1 entreprise sur 2 a déjà été victime d’une demande de rançon en France,
  • la moitié des entreprises a payé,
  • seulement 1 tiers des entreprises a récupéré ses données,
  • jusqu’à 300 000 euros de rançons sont demandés,
  • 1 milliard de dollars de rançon récolté aux USA.

Le ransomware SamSam coûte 11 millions de dollars à la ville d'Atlanta.

Source : Clubic, 2018.

Les répercussions pour l’entreprise qui perd ses données peuvent être sans retour :

  • la fuite des données personnelles de ses clients peut donner lieu à des usurpations d’identité,
  • la perte de données peut engendrer une perte considérable de chiffre d’affaires suite à l’arrêt de l’activité,
  • la réputation et la notoriété de l’entreprise peuvent être entachées,
  • les données peuvent être corrompues et devenir inutilisables,
  • le paiement de la rançon ne garantit pas la restitution des données de manière intègre.

Chiffres et statistiques alarmantes sur les rançongiciels

Les ransomwares ciblant les mobiles ont augmenté de plus de 250% depuis début 2017.

Source : Kapersky
 

Les ransomwares infectent 20 000 ordinateurs en France tous les mois.

Source : Avast
 

390 000 nouveaux programmes malveillants émergent chaque jour. 93% de toutes les attaques de phishing incluent maintenant un ransomware.

Source : SANS 2016 Threat Landscape Survey, SANS Institute.
 

On peut se procurer des ransomwares pour un prix entre 50 $ et 175 $ (exploitable directement en ligne en RaaS : Ransomware as a Service)

Source : Altospam

Liste de ransomwares connus

À quoi ressemble mon ordinateur lorsqu’il est infecté par un ransomware ? Voici une liste d’exemples de ransomwares tristement célèbres pour leurs dégâts, accompagnés d’images pour les reconnaître.

Cryptolocker

Le virus Cryptolocker est un cheval de troie qui chiffre les données et se propage sur les PC équipés de Windows. En 2013, Microsoft a estimé que 34 000 machines ont été infectées.

Certains analystes ont estimé à 3 millions de dollars le montant total des rançons versées aux hackers utilisant Cryptolocker. Ce virus a fait par ailleurs beaucoup de mal aux mairies en France.

Exemple du cheval de troie Cryptolocker en action dans l’image ci-dessous :

Le ransomware Cryptolocker : exemple en image

Locky Ransomware

Il s’agit d’un cheval de troie envoyé par email. Le destinataire ouvre le plus souvent la pièce jointe qui se trouve être une facture fausse et propage le virus Locky.

Exemple du cheval de troie Locky Ransomware en action dans l’image ci-dessous :

Locky Ransomware : exemple

Odin

Le virus Odin est une autre version de Locky, arrivant toujours par pièce jointe d’un courrier spam. Il s’agit de l’extension .odin qui infecte les ordinateurs depuis 2016.

Exemple du virus Odin en action dans l’image ci-dessous :

Virus Odin : exemple

Zepto

Zepto est une autre variante du rançongiciel Locky Ransomware qui transforme tous vos fichiers en remplaçant leur extension par .zepto et encrypte leur accès.

Exemple du rançongiciel Zepto en action dans l’image ci-dessous :

un exemple du rançongiciel Zepto

KeRanger : une infection ciblant les ordinateurs Macintosh

KeRanger est un ransomware visant les ordinateurs Macintosh. Il agit via un faux pop-up de mise à jour de logiciel des systèmes MacOSX et chiffre les données.

Exemple du ransomware Keranger en action dans l’image ci-dessous :

Exemple du ransomware Keranger en action

Spora ransomware

Ce malware utilise les liens web pour manipuler l’internaute et se répand depuis 2017.

Démonstration du fonctionnement de Spora ransomware en vidéo :

WannaCrypt aussi appelé WannaCry

Le malware appelé WannaCrypt ou WannaCry cible les machines dont le système d’exploitation Windows est vieux tel que Windows XP, Windows 7 ou 8.1, ou pour lequel la mise à jour de sécurité n’a pas été faite.

WannaCry sévit actuellement dans 150 pays et a infecté plus de 300 000 ordinateurs en mai 2017.
Un organisme anglais s’est fait extorquer 100 000 $.

Le ransomware virus gendarmerie

C’est la fausse publicité typique qui s’affiche sur une page web. Le hacker joue sur le fait que l’utilisateur est susceptible d’avoir téléchargé illégalement des fichiers tels que des films ou de la musique. Le malware rend impossible le redémarrage de Windows en mode sans échec.

Exemple du ransomware virus gendarmerie en action dans l’image ci-dessous :

Exemple du ransomware virus gendarmerie en action

BtcKING Ransomware

Comme la plupart des cryptovirus, le ransomware nommé BtcKING crypte vos fichiers remplaçant leur extension ; ici c’est l’extension .BtcKING qui sévit et bloque l’accès à vos fichiers. Un script malveillant infecte votre ordinateur suite au téléchargement d’une copie illégale de logiciel via un réseau peer to peer ou par spam.

Nous le voyons dans l’image ci-dessous, comme tous les logiciels de rançon, un fichier texte vous indique les instructions pour payer la somme demandée :

BtcKING Ransomware : exemple

Le ransomware Petya et son successeur NotPetya

Petya a surtout sévi en 2016, NotPetya depuis 2017. Tous deux chiffrent vos fichiers.

Exemple du ransomware Petya en action dans l’image ci-dessous :

ransomware Petya : exemple

En 2016 le ransomware petya a coûté 300 millions de dollars au transporteur FedEx dont la filiale TNT a été touchée

Source : zdnet, septembre 2017

Solutions pour supprimer un ransomware

Ransomare : que faire lorsque son ordinateur est bloqué par un virus ? Entre un antivirus ransomware et une procédure déconseillée aux novices de l’informatique, voici plusieurs solutions.

Supprimer BtcKING avec SpyHunter

Avertissement : de nombreux sites recommandent de télécharger gratuitement SpyHunter pour supprimer le ransomware BtcKING.

L’article « SpyHunter - Faux blog de désinfection » est édifiant à ce sujet :

Beaucoup "de faux sites" de désinfection suggèrent de télécharger l'antispyware SpyHunter. ll est possible que les auteurs de malwares, qui gagnent de l'argent via les virus, soient derrière ces sites.

Il faut donc rester vigilant quant aux sources d’informations et consulter un site de confiance tel qu’appvizer par exemple 😇.

L’algorithme de correction de la dernière version de la solution SpyHunter 5 détecte les virus, les met en quarantaine et bloque les logiciels malveillants avant qu’ils ne puissent être lancés.

Découverte de SpyHunter 5 en vidéo :

Télécharger un anti-ransomware gratuit chez Avast

Chez Avast, le particulier peut télécharger gratuitement un antivirus. Cependant, il faut passer à une version payante pour bénéficier d’un anti-ransomware efficace.

En effet, Avast propose des outils gratuits de suppression de certains ransomwares seulement : ces antivirus ransomware ne font pas preuve d’une protection à toute épreuve.

L’antivirus pour les entreprises existe en version autonome pour 4 appareils maximum, ou connecté à une Cloud Management Console.

Découvrez Avast Business Cloud Care en vidéo :

Un anti-ransomware gratuit pour MAC : Malwarebytes

En version gratuite, Malwarebytes s’adresse aux particuliers. Cet anti-ransomware est téléchargeable gratuitement. Cette version gratuite de Malwarebytes est compatible avec les ordinateurs Mac et agit seulement en renfort de votre antivirus existant pour nettoyer les appareils infectés.

Il devient vraiment efficace en version payante : il devient alors compatible avec tous les systèmes d’exploitation (Windows, Mac OS, iOS et Android pour les smartphones).

La version payante pour les entreprises, à savoir Malwarebytes Endpoint Protection et Incident Response, est disponible à l’essai (durée non indiquée) et offre une plateforme de protection permettant de gérer les menaces.

Aperçu de Malwarebytes en image :

anti-ransomware gratuit pour MAC : Malwarebytes

Utiliser le mode sans échec de Windows

Supprimer le virus avec le mode sans échec de Windows est une technique de suppression qui ne s’adresse qu’aux utilisateurs experts et n’est efficace que pour supprimer certains logiciels malveillants.

De plus, la procédure à suivre varie selon la version du système d’exploitation Windows XP, Windows 7, Vista, 8, 8.1 ou 10 et le fabricant du PC ….

Les 2 principales étapes du processus :

  • Elle consiste en premier lieu à redémarrer le PC en mode sans échec, c’est-à-dire en appuyant sur la touche F8 ou F5. Il faut choisir la prise en charge réseau, télécharger et installer un anti-malware, puis redémarrer à nouveau l’ordinateur ;
  • La manipulation suivante consiste à restaurer le système en invite de commandes en mode sans échec ; il s’agit de restaurer votre système en choisissant une date antérieure à l’attaque du ransomware.

Conseils : certains malwares bloquent des pilotes de Windows ; il ne faut alors surtout pas utiliser la méthode msconfig pour redémarrer en mode sans échec, car Windows redémarre en boucle sans en mode sans échec.

Logiciels anti-ransomware pour protéger son entreprise

Rien de mieux qu’un logiciel professionnel pour se protéger des ransomwares, plutôt que de tenter une solution qui s’apparente plus à du bricolage hasardeux qu’à une véritable protection contre le ransomware, ainsi que contre toutes les menaces existantes. Démonstrations.

Altospam : le champion de la protection toutes catégories

Altospam est un logiciel SaaS redoutable pour lutter efficacement contre tout type d’attaque et pourriels. La solution protège en effet les adresses email de l’entreprise grâce à la conjugaison de 16 technologies anti-spam, 6 antivirus et 4 technologies anti ransomwares.

Altospam protège également les serveurs de l’entreprise : ceux d’Altospam servent d’intermédiaire pour bloquer toute attaque et ne laisser passer que les emails légitimes.

Découverte du logiciel anti-ransomware Altospam en vidéo :

Cette solution à la fois anti-spam, anti-virus et anti-phishing filtre les courriers électroniques : elle bloque les pièces jointes dommageables comme celles contenant un ransomware.

Vos serveurs sont également à l’abri des attaques DDoS (déni de service) ou de hackers souhaitant utiliser l’un de vos serveurs comme relais pirate pour envoyer des mails en masse et crypter les données d’autres entreprises.

MailInBlack : solution anti-virus et antispam

MailInBlack vérifie l’identité de l’expéditeur avant de délivrer un email ou de le bloquer. Si l’expéditeur est inconnu, un email de vérification lui est envoyé afin qu’il s’authentifie comme étant un véritable humain et non un robot dangereux. Ce principe de précaution repose sur celui de l’authentification : seuls les expéditeurs qui ont montré patte blanche sont inscrits sur la liste blanche. Les autres, direction la liste noire.

Découverte de la solution anti-ransomware MailInBlack en vidéo :

MailInBlack offre une protection simultanée à plusieurs niveaux : la solution filtre les adresses email, scanne chaque message pour détecter les virus tels que les ransomwares et les bloquer, applique un filtre anti-spam RBL strict, et protège également les serveurs de messagerie à la manière d’Altospam.

Par ailleurs, chaque utilisateur peut gérer manuellement les emails en attente dans son, espace personnel : il peut bannir une adresse email en la mettant sur liste noire, autoriser un expéditeur spécifique, etc.

Vade Secure : l’intelligence artificielle protège vos emails

La vocation du logiciel d’analyse d’emails — la sécurité informatique — est clairement affichée : bloquer tous les spams, les virus et malwares tels que les ransomwares, mais aussi les attaques de type Phishing et Spear Phishing (attaque ciblée sur une personne ou une entreprise spécifique).

Vade Secure analyse chaque courrier électronique arrivant : l’adresse de l’expéditeur, le contenu, mais aussi le contexte grâce une intelligence artificielle intégrée, pour séparer les emails malveillants des messages licites.

Découverte de la solution anti-ransomware Vade Secure en vidéo :

La solution est dotée d’un antivirus et d’un antispam à toute épreuve : les messages d’attaques contenant un virus ou un ransomware sont écartés, tout comme les spams.

L’intelligence artificielle applique des règles prédictives et analyse des milliards de données chaque jour pour s’améliorer et faire face aux nouvelles menaces dans les meilleures conditions de défense possibles.

E-Securemail : atomisation des pubs parasites et des virus

La mise en quarantaine en amont de la messagerie reste de mise avec la solution anti ransomware E-Securemail : elle filtre les courriers électroniques avant de les envoyer dans les boites email de vos employés.

Les virus, spams, phishing, pièces jointes contenant un ransomware et adresses sur liste noire sont écartés : aucun n’arrive dans la messagerie de l’entreprise.

Fonctionnement de la solution E-Securemail dans le schéma ci-dessous :

logiciel anti-ransomware E-Securemail

La solution E-Securemail offre des infrastructures sécurisées : elles constituent un centre de traitement des emails. Chaque message est analysé, passé au filtre anti-spam et anti-virus pour notamment bloquer le ransomware à l’entrée, très sélective.

Fonctionnement commun à toutes les solutions : vos messages sortants passent par les serveurs de E-Securemail pour sécuriser vos envois, économiser en bande passante et accroître la productivité de vos collaborateurs.

Les bons réflexes pour réagir et se protéger des ransomwares

La meilleure des protections contre les ransomwares passe d’abord par la sensibilisation de vos collaborateurs.

Guide de sécurité à transmettre à vos utilisateurs

Faites adopter les bons réflexes par des actions de prévention en interne :

  • Méfiez-vous d’un expéditeur inconnu : c’est la 1ere fois qu’une adresse email vous envoie un message ? Vérifiez l’adresse : si c’est une adresse professionnelle que vous pouvez facilement retrouver dans un annuaire ou sur le site professionnel de l’entreprise, c’est bon signe. Dans le cas contraire, méfiance ;
  • Soyez attentif à la qualité du message : même si l’adresse email est professionnelle, certains signes peuvent vous alerter sur un éventuel piratage de la messagerie. Des fautes d’orthographe, un message vous demandant de l’argent ou des données personnelles comme un identifiant ou un mot de passe. Restez vigilant ;
  • N’ouvrez pas de pièces jointes sans vérifications : c’est l’attaque privilégiée du ransomware ! Vérifiez à minima que votre antivirus est bien actif et mis à jour. Le moyen le plus sûr est d’utiliser l’un des logiciels cités plus haut : ils bloquent les messages de ce type en amont et conjuguent plusieurs anti-virus pour prévenir des nouvelles formes d’attaques. Si votre ordinateur montre des signes inhabituels comme un ralentissement, demander à ce qu’il soit entièrement analysé ;
  • Réfléchissez avant de cliquer sur un lien sur une page web : les fautes d’orthographe, un mauvais français et un design hasardeux sont extrêmement douteux. Passez le curseur de votre souris sur le lien cliquable ou sur la bannière SANS CLIQUER et observez l’adresse URL qui s’affiche : elle doit correspondre au site officiel de la marque ou du nom de l’entreprise utilisé dans le texte. Dans le cas contraire, abstenez-vous. La règle à connaître : une entité comme votre banque ou un service administratif ne vous demandera jamais vos identifiants et mots de passe, ni de l’argent sur une page web accessible au public, ni par email ;
  • Sauvegardez vos données chaque jour : il est conseillé d’externaliser une sauvegarde de vos données. En cas d’attaque frontale sur vos serveurs, vous pourrez récupérer vos données sauvegardées sur un serveur externe et reprendre l’activité en utilisant des versions intègres de vos fichiers sauvegardés ;
  • Mettez vos logiciels à jour régulièrement : nous l’avons vu plus haut, les hackers profitent des failles de sécurité. Vos outils de bureautique et tous vos logiciels doivent être mis à jour régulièrement pour bénéficier des derniers correctifs en matière de sécurité. Bien entendu, évitez de télécharger une copie illégale de logiciel et la navigation sur les sites pornographiques ;
  • Paramétrez votre messagerie : bloquez par défaut l’exécution automatique des ActiveX, des plug-ins et des téléchargements, et empêchez la prévisualisation automatique des messages. Encore plus sûr : utilisez l’un des logiciels anti-ransomware plus haut. Ces logiciels emploient des serveurs dédiés pour bloquer les messages contenant des virus et ne vous transmettent que les messages légitimes ;
  • Consultez les alertes de sécurité du CERT-FR : le Computer Emergency Response Team est un réseau mondial dont la vocation est d’effectuer une veille permanente sur les attaques informatiques. L’instance française dépend du Secrétariat Général de la Défense Nationale et met régulièrement en ligne des alertes concernant des attaques ou des failles de sécurité.

Que faire en cas d’infection ?

Vous constatez un écran vous demandant de payer une rançon ?

L’ANSSI — l’agence nationale de la sécurité des systèmes d’information — vous recommande d’appliquer ces conseils :

  • Ne payez pas, vous encourageriez la pratique des hackers ;
  • N’éteignez pas votre ordinateur, mettez-le en veille prolongée si vous pouvez ;
  • Pour éviter que le virus ne se propage à tous vos appareils, débranchez immédiatement tous vos appareils (ordinateurs, disques durs, etc.) et déconnectez-les du réseau ;
  • Contactez d’urgence votre responsable informatique pour qu’il désinfecte l’ordinateur concerné avec un CD bootable de sécurité par exemple, et qu’il restaure les données grâce à la sauvegarde vue plus haut ;
  • Portez plainte.
Suggestion de logiciels pour vous

CLOUD IKOULA ONE

Ikoula Cloud
Le cloud public au service inégalé en France
Offre exclusive à 1 € / mois
Voir ce logiciel

Captain DPO

Captain DPO
Logiciel pour DPO / RGPD
Contactez Captain DPO
Voir ce logiciel

RESOPOST

RESOPOST
Gestion Electronique de Courrier
Tester gratuitement
Voir ce logiciel
Commenter cet article

Ajouter un commentaire