[Tuto Business Hub] Comment nettoyer un réseau infecté par un ransomware
Premiers pas :
Déconnectez immédiatement du réseau les appareils infectés par un ransomware pour éviter que d’autres appareils de votre réseau ne soient infectés !
Notre laboratoire antivirus est incapable de décrypter les fichiers cryptés affectés par les ransomwares, et ces fichiers cryptés ne contiennent aucune donnée utile à ajouter à nos définitions de virus. La suppression des ransomwares n’est généralement pas nécessaire car la plupart des ransomwares se suppriment souvent eux-mêmes après s’être exécutés (en cours d’exécution). Cependant, des logiciels malveillants secondaires sont parfois installés pour attaquer à nouveau le système ou même permettre d’autres violations. Pour cette raison, la première étape pour nettoyer les appareils infectés est d’identifier la variante du ransomware qui a attaqué vos appareils :
Identifiant du ransomware
Outils de décryptage des ransomwares
Une fois identifié, vous pouvez savoir quels emplacements communs toute infection restante peut occuper, la portée de l’attaque et s’il existe ou non un outil de décryptage qui vous permettrait de récupérer vos fichiers. En règle générale dans la communauté de la sécurité, tous les outils de décryptage qui ont été développés sont généralement partagés gratuitement par le développeur. Voici un lien vers les outils de décryptage d’Avast :
Outils de déchiffrement gratuits Avast Ransomware
Identifier les sources de l’attaque :
L’identification de l’infection peut également vous permettre d’identifier les sources potentielles de l’attaque. L’identification de la source sera importante car à mesure que vous avancez, votre principale préoccupation devrait être une deuxième attaque plutôt que la persistance de la même infection. Voici quelques informations sur les zones que vous pouvez vérifier afin de vous d’enquêter sur l’attaque :
Ports RDP
De nombreux pirates informatiques réussissent à abuser des ports RDP ouverts. Même lorsque le mot de passe administrateur n’est pas connu, le mot de passe peut être brutalement forcé si le port RDP est ouvert au public et que votre politique de sécurité actuelle le permet. Lorsque le mot de passe administrateur semble avoir été utilisé, vous devez supposer qu’il a été deviné ou volé. Dans les deux cas, il est fortement recommandé de réinitialiser les mots de passe administrateur.
Les mots de passe sont souvent volés par hameçonnage, et l’examen de la politique de messagerie de l’entreprise peut être un bon pas vers la protection contre ces attaques. Enfin, l’examen de l’activité des utilisateurs dans les logs Windows peut vous aider à déterminer quel compte d’utilisateur a été utilisé pour lancer l’attaque.
Vulnérabilités du système d’exploitation
Si votre site est sécurisé par un pare-feu, il peut être conseillé de fermer votre site aux connexions SMB sauf si cela est strictement nécessaire au fonctionnement de votre entreprise.
Enfin, de nombreuses attaques de ransomware exploitent des vulnérabilités inhérentes au système d’exploitation Windows. Sensible à ces attaques, Microsoft tente de corriger les vulnérabilités connues aussi rapidement qu’elles sont trouvées. Dans cet esprit, il est toujours conseillé de maintenir Windows aussi à jour que le permet la politique de sécurité de votre entreprise.
Avast Business Patch Management peuvent vous aider à maintenir votre système d’exploitation et vos applications à jour pour éliminer ces vulnérabilités.
Récupération après un ransomware :
À moins que vous ne disposiez d’une solution de sauvegarde sécurisée, de préférence hors site, pour vos appareils et leurs fichiers importants, vous ne pourrez peut-être pas récupérer les fichiers cryptés après une attaque de ransomware. Nous vous recommandons toujours d’utiliser des sauvegardes sécurisées pour vous assurer que votre entreprise puisse retrouver rapidement son fonctionnement normal.
Restauration de fichiers :
Déconnectez immédiatement les appareils infectés physiquement du réseau pour éviter que d’autres appareils de votre réseau ne soient infectés.
Formatez et réinstallez le(s) système(s) d’exploitation sur tous les appareils infectés.
Nous ne recommandons PAS de supprimer manuellement le virus.
Restaurer les fichiers à partir de sauvegardes de données hors site/en ligne non affectées.
Une fois votre site nettoyé et sécurisé, nous pouvons essayer de vérifier que l’infection ne se reproduira plus. Bien que l’analyse des définitions puisse être notoirement difficile à utiliser en référence aux ransomwares, nous pouvons toujours utiliser n’importe quel échantillon du malware pour créer de nouvelles définitions pour l’attaque. Si vous trouvez des restes du malware, veuillez soumettre le fichier à VirusTotal© et nous envoyer le lien URL de la page de résultats VirusTotal. Notre équipe antivirus utilisera le hachage de fichier créé pour mettre à jour nos définitions de virus. Nous utiliserons également toutes les informations recueillies pour améliorer nos défenses contre les ransomwares lorsque cela est possible.