Lorsque vous découvrez que votre ordinateur ou votre réseau (le cas échéant) est infecté par un ransomware, vous devez immédiatement fermez-le pour l’empêcher de crypter d’autres fichiers. L’arrêt de l’ordinateur devrait arrêter tout cryptage sur d’autres lecteurs qui étaient connectés au moment de l’infection, comme expliqué ici par Lawrence Abrams, propriétaire du site de Bleeping Computer.

Après avoir détecté une attaque de ransomware, la première étape qu’une entreprise doit faire est fermer leur réseau et les ordinateurs qui y tournent. Ces actions empêchent le chiffrement continu des données et refusent l’accès au système aux attaquants. Une fois cela fait, une entreprise de cybersécurité tierce devrait être invitée à effectuer une enquête complète sur l’attaque et l’audit de tous les appareils internes et publics. Cet audit comprend l’analyse des appareils de l’entreprise à la recherche d’infections persistantes, de vulnérabilités, de mots de passe faibles et d’outils malveillants laissés par les opérateurs de ransomware.

La déconnexion d’Internet n’arrête pas le processus de cryptage localement.

L’ordinateur infecté doit être isolé d’autres appareils et si possible, vous devriez créer une copie ou une image de l’ensemble du disque dur. Cela vous permet d’enregistrer l’état complet de votre système. L’imagerie du lecteur sauvegarde tout ce qui est lié à l’infection y compris les fichiers cryptés, les notes de rançon, les fichiers de données clés (le cas échéant) et les entrées de registre contenant des informations possibles qui peut être nécessaire dans le cas où une solution de décryptage gratuite serait découverte à l’avenir. le fichiers cryptés et les fichiers texte des notes de rançon ne contiennent pas de code malveillant ils sont donc en sécurité. Vous pouvez également retirer le disque dur, rangez-le et remplacez-le par un nouveau disque dur et une nouvelle installation de Windows.

Même si un outil de décryptage est disponible, il existe aucune garantie que cela fonctionnera correctement (dysfonctionnement, défectueux, faux) comme indiqué ici ou que le développeur de logiciels malveillants ne publiera pas de nouvelle variante pour contrecarrer les efforts des chercheurs en sécurité.Par conséquent, conserver une sauvegarde des fichiers cryptés d’origine (ou du disque dur infecté d’origine) et des informations connexes est une bonne pratique.

le facteur de temps impliquant le processus de malware crypto (ransomware) l’infection et le chiffrement peuvent varier, cependant, les attaques sont généralement menées au fil du temps, allant d’un jour à un mois ou plus, à commencer par les criminels violant un réseau. Une fois que les attaquants ont eu accès à un ou plusieurs ordinateurs du réseau, ils peuvent voler des fichiers non chiffrés des périphériques et serveurs de sauvegarde avant de déployer l’attaque de ransomware comme expliqué ici par Lawrence Abrams, propriétaire du site de Bleeping Computer.

En termes simplistes, malware crypto est généralement emballé par une sorte d’obscurcisseur ou emballeur afin de se cacher et passe par différentes étapes avant même que les victimes ne prennent conscience de sa présence.

1. Le première étape d’une attaque est de accéder au système d’une victime, puis télécharger et exécuter ses fichiers malveillants. 2. Le Deuxième étape implique le malware connexion au serveur de commandement et de contrôle du criminel (C&C) afin d’envoyer des informations sur l’ordinateur ciblé. 3. Pendant la troisième étape, le ransomware scanne les lecteurs locaux, les supports amovibles connectés (USB, disques durs externes) et tout emplacements réseau accessibles (lecteurs mappés, partages réseau) recherche de fichiers à crypter. 4. Le étape de cryptage commence par crypter toutes les données identifiées (formats de fichier) en utilisant une forme Algorithme de cryptage. De nombreux schémas de chiffrement sont optimisés sur le processeur (spécifications de l’ordinateur) permettant au malware de crypter très rapidement des blocs de données… dans une affaire de quelques secondes, de quelques minutes à quelques heures ou jours en fonction de divers facteurs pour inclure la quantité et la taille des fichiers de données ainsi que les intentions des développeurs de logiciels malveillants. 5. Le dernière étape est généralement le apparition de la demande de rançon sous forme de message d’écran ou de notes de rançon déposées dans chaque dossier où les fichiers ont été cryptés.

Certains ransomwares (STOP Djvu, Ryuk et quelques autres) uniquement chiffre une partie du fichier pour la vitesse (d’abord autant de Ko, surtout si elles sont très grandes) afin de gagner du temps et de crypter le plus rapidement possible afin de ne pas lire / écrire / crypter réellement l’intégralité des données. Ce cryptage partiel entraîne souvent une corruption de fichiers et rend les données cryptées inutiles car le cryptage est généralement irréversible pour ces fichiers … le code de cryptage écrase une partie du fichier avec les données cryptées d’une autre partie et il n’y a aucun moyen de restaurer les données écrasées données comme expliqué ici.

Dans les cas impliquant d’autres types de ransomwares, il est également possible de rencontrer une infection par un bombe à retardement fonction conçue pour retarder l’exécution d’une attaque. Cependant, lorsque le cryptage commence, ce processus peut démarrer et se terminer très rapidement.

Entre 2017-2019, FireEye les chercheurs ont constaté que la plupart des ransomwares sont exécutés trois jours après l’infiltration initiale. Il s’agit d’une tactique délibérée qui permet aux attaquants de retarder le cryptage afin qu’ils puissent utiliser le temps supplémentaire pour collecter les données des victimes et les utiliser comme levier pour obliger les victimes à payer les rançons au titre du menace de fuite des informations volées.

.