Passer au contenu
Français
Contactez-nous
  • Il n'y a aucune suggestion car le champ de recherche est vide.

Ransomware ou crypto-ransomware

Vous constatez l’apparition de noms de fichiers inhabituels après l’ouverture d’une pièce jointe ou le téléchargement d’un programme ? Lorsque vous essayez d’ouvrir ces fichiers, leur contenu n’est plus accessible ou ne correspond plus à vos données.

 Fichiers_infectés.png

Si un fichier texte, souvent nommé Readme, vous demande de payer une somme d’argent pour récupérer vos données, il s’agit très probablement d’une attaque par ransomware.

Ransomware.png

 

Qu'est-ce qu'un ransomware ?

Un ransomware, ou rançongiciel, est un logiciel malveillant qui chiffre vos données pour les rendre inutilisables, ou qui bloque votre ordinateur. Il exige ensuite le paiement d’une rançon pour fournir une clé de déchiffrement ou rétablir l’accès.

 

Ransomware

On distingue:

  • les ransomwares à chiffrement : qui rendent vos données inutilisables sans clé de déchiffrement ;

  • les verrouilleurs : qui bloquent l'accès à votre poste

 

Il est fortement déconseillé de payer la rançon. Vous n’avez aucune garantie de récupérer vos données et ce paiement alimente le développement de nouvelles attaques.

 

Comment l'infection se déroule-t-elle ?

L’infection survient souvent après l’ouverture d’une pièce jointe malveillante. L’exécution du ransomware peut être invisible pour l’utilisateur.

Le ransomware devient généralement visible une fois les données chiffrées. À ce stade, il est souvent trop tard pour empêcher l’impact sur les fichiers. Plusieurs jours peuvent s’écouler entre l’infection et l’apparition du message de rançon.

Les fichiers pouvant contenir un ransomware incluent notamment :

  • les exécutables (.exe ou .scr)

  • les dossiers compressés en .zip ou .rar

  • les fichiers Office (.doc, .doxw, xls, xlsx, ppt, pptx,...) avec des macros vulnérables

  • les raccourcis.

Si vos données ne sont pas sauvegardées, elles peuvent être irrécupérables sur le poste infecté. En revanche, si elles ont été synchronisées avec NetExplorer, vous pouvez les restaurer depuis la plateforme.

Procédure à suivre

En cas d’infection :

  1. Vérifiez les derniers ajouts de fichiers dans les journaux d’événements de la plateforme et identifiez les extensions malveillantes.
  2. Recherchez ces extensions sur la plateforme, puis supprimez les résultats concernés.
  3. Restaurez depuis la corbeille utilisateur les éléments déplacés suite au chiffrement.
  4. Sur les dossiers restaurés, remettez les droits d’accès directement depuis la plateforme.
  5. Sur le poste infecté, recherchez les extensions malveillantes sur vos disques, puis supprimez les fichiers concernés.
  6. Lancez un scan antivirus sur votre poste pour vérifier qu’il n’est plus infecté.

Les données stockées sur NetExplorer sont récupérables depuis les corbeilles utilisateurs. En revanche, les données présentes uniquement sur le poste local peuvent être perdues si elles n’ont pas été synchronisées.

Si nécessaire, NetExplorer peut vous proposer une solution de nettoyage clé en main. Vous pouvez contacter le service commercial au 05 61 61 20 10.

 

Quelques recommandations

  • Installez un antivirus et maintenez-le à jour.
  • Mettez régulièrement à jour votre système d’exploitation.
  • Soyez vigilant lorsque vous ouvrez des pièces jointes.
  • N’ouvrez une pièce jointe que si vous connaissez l’expéditeur.
  • Ne cliquez pas sur tous les liens reçus.
  • Privilégiez une solution de stockage en ligne comme NetExplorer plutôt que de conserver uniquement vos fichiers en local.

Attention : les postes Mac et Linux peuvent également être infectés par un ransomware.

Filtrage des extensions malveillantes

NetExplorer filtre les extensions connues comme malveillantes afin d’éviter la contamination des données synchronisées.

2022-01-24_17h32_10.png

Si vous tentez de déposer un fichier avec une extension bloquée, celui-ci ne sera pas envoyé, quel que soit l’outil utilisé : NetSync, plateforme web, etc. Votre compte utilisateur peut même être désactivé automatiquement en cas de tentative de dépôt d’un fichier malveillant.

Certaines nouvelles extensions peuvent toutefois ne pas encore être connues. Dans ce cas, les fichiers chiffrés peuvent apparaître dans votre librairie, tandis que vos fichiers d’origine se trouvent dans la corbeille de l’utilisateur impacté. Vous pouvez alors les restaurer.

Les ransomwares connus

Il est difficile d'établir un listing exhaustif des ransomwares connus puisque de nouveaux ransomwares apparaissent tous les jours.
 Cependant voici les plus connus en France: Locky, Petya, CryptXXX, TeslaCrypt, Cerber, CTB Locker,... 

Nos dernières vidéos