Comment se prémunir et se débarrasser d’un ransomware ?

Après avoir évoqué le fonctionnement ainsi que les différents types de rançongiciels et avoir repéré comment les identifier, la rédaction vous propose de découvrir les bonnes astuces pour se protéger avec un antivirus - et surtout se débarrasser - des ransomwares, et remettre ainsi la main sur ses données chiffrées.

Les ransomwares, ou « rançongiciels » en français, ont le vent en poupe dans le domaine de la sécurité informatique. Ces logiciels sont constitués d'un ensemble de techniques mises en œuvre pour infecter un PC et demander une rançon pécuniaire aux victimes de l'attaque. La plupart du temps, la menace s'insinue dans l'ordinateur suite à l'ouverture d'une pièce jointe infectée ou après l'installation d'un logiciel cracké.

Ensuite, le ver se charge de chiffrer les données personnelles du PC infecté et peut même bloquer complètement son fonctionnement. Pour résoudre le problème, le programme affiche alors une demande de rançon à régler généralement en cryptomonnaies. Une chose à ne surtout pas faire ! Dans cet article, nous allons dresser une liste des conseils à suivre pour éviter au possible d'être infecté par un ransomware. Nous verrons ensuite par quels moyens les supprimer de son ordinateur et/ou déchiffrer ses données, mais également en quoi un antivirus nous protège de ce type d'attaque.

Les fondamentaux pour se protéger contre les rançongiciels

La crainte de retrouver son PC bloqué et ses fichiers chiffrés concerne aussi bien les particuliers que les entreprises. Voilà pourquoi il semble important d'adopter de bonnes pratiques pour se prémunir autant que possible contre toutes sortes d'attaques informatiques et en particulier contre les rançongiciels :

• Des menaces comme WannaCry ont notamment infecté des PC car leur système était dépassé. Il est donc vivement recommandé de mettre Windows à jour via Windows Update le plus régulièrement possible pour installer les derniers correctifs connus. Le même conseil peut être appliqué pour des logiciels qui peuvent présenter des failles de sécurité comme les navigateurs web, Flash ou Java.

• Sauvegarder encore et toujours.
  Il est important d'enregistrer régulièrement ses fichiers personnels et professionnels en local sur différents supports ainsi que dans le Cloud. L'utilisation de plusieurs services de stockage en ligne étant l'idéal pour minimiser l'impact d'une infection par ransomware et simplifier la récupération de données sauvegardées.
• Sensibiliser et éviter les pièges !
  En effet, ce sont souvent les erreurs et maladresses humaines qui mènent à une infection par ransomware. Il est ainsi recommandé d'éviter les sites web non sécurisés et notamment ceux hébergeant des contrefaçons qu'il est, là aussi, vivement déconseillé de télécharger et d'installer sur son PC.
• Un bon antivirus pour lutter contre les ransomwares.
  Si Windows Defender propose de solides boucliers de protection contre les menaces en ligne, il intègre également un module dédié à la protection des dossiers les plus sensibles afin de se prémunir contre le chiffrement de données. Une telle protection se retrouve aussi dans des solutions antivirus payantes comme Bitdefender, Avast ou Kaspersky. Il existe aussi d'autres antivirus gratuits.

• La boite e-mail, ce nid de guêpes !
  La plupart des rançongiciels se propagent via des mails malicieu :, un simple clic sur une pièce jointe vérolée peut en effet mener à une infection. Pour ce faire, il est conseillé d'éviter les pièges tendus par les tentatives d'hameçonnage. Il faut, entre autres, veiller à bien vérifier la provenance de l'e-mail, voir si son contenu est cohérent et semble officiel, mais aussi penser à observer la pièce jointe : est-elle douteuse ? Sa présence est-elle justifiée ?

Mais s'il est trop tard ? Si le PC de la maison ou le poste de travail de mon entreprise est infecté, voici la marche à suivre pour résoudre le problème et venir en aide aux victimes de telles attaques informatiques.

Comment faire pour se débarrasser d'un ransomware ?

Imaginons, vous êtes de retour au travail après un charmant week-end ou vous êtes tranquillement en train de démarrer le PC de la maison, quand soudain, un message s'affiche à l'écran et vous empêche d'accéder aux fonctions de votre ordinateur. L'avertissement emploie un ton déterminé : il affirme que vos données personnelles viennent d'être chiffrées et vous demande une rançon à payer en cryptomonnaies dans un court délai, en échange de la récupération de l'accès à votre PC. Quelle est alors la marche à suivre ? Éléments de réponse pour les particuliers (pour les entreprises ces questions seront abordées plus bas) :

1. Dès l'apparition d'un message menaçant, d'un changement de fond d'écran ou si vous ne pouvez plus lancer une tâche, il faut déconnecter la machine d'Internet et du réseau local en désactivant le Wi-Fi ou en débranchant le câble réseau Ethernet.

2. Ne surtout pas payer la rançon demandée ! Si des entreprises ont déjà payé d'importantes sommes aux pirates par le passé, il est primordial de ne pas céder au chantage, et ce, pour deux raisons principales : il est impossible de savoir si les malfaiteurs tiendront parole et il n'est pas exclu qu'ils laissent un ver ou une porte dérobée dans le but de revenir plus tard.

3. Récolter le plus d'informations possible pour identifier le ransomware avec précision. Cela servira à déterminer si son identité est connue et si un remède ou un outil de déchiffrement existe. Pour ce faire, il est conseillé de réaliser une capture d'écran ou une photo de l'avertissement et de noter les adresses e-mails, URL ou coordonnées bitcoin ou onion qui y figurent. Des outils comme No More Ransom et ID-Software permettent également d'en savoir plus sur le ransomware en chargeant simplement des fichiers chiffrés par ladite menace.

4. Une fois la menace identifiée, vous pourrez trouver comment procéder pour la déjouer ou la supprimer, ou au moins vérifier que les données chiffrées peuvent être récupérées. Dans ce domaine, les sociétés de sécurité sont rapides et développent des outils gratuits de déchiffrement. En effet, il est possible de télécharger des logiciels produits par des firmes de sécurité comme AVG, Kaspersky ou encore TrendMicro.

5. S'il est souvent possible de remettre la main sur des données chiffrées, éliminer un ransomware d'un PC infecté peut être plus compliqué. Dans ce cas, il faudra passer par la case de la réinstallation complète de Windows en ayant pris soin de sauvegarder les données les plus importantes. Dans cette situation, munissez-vous d'un DVD ou d'une clé USB bootable comprenant le fichier Windows ainsi qu'une clé d'installation. Tous les logiciels installés et les documents seront alors perdus, mais l'ordinateur retrouvera une base saine et sans menace.

En un mot comme en cent, la sauvegarde régulière des données les plus importantes sur différents supports et dans le Cloud est essentielle. Cela permet de limiter les conséquences d'une infection, que ce soit à la maison ou au travail.

Comment réagir en entreprise ?

Dans les entreprises, PME/TPE et administrations, les réflexes pour se prémunir contre ce type de menaces sont les mêmes, avec des cas particuliers à souligner dans quelques secteurs. En effet, certaines activités professionnelles sont plus atteintes par le phishing ou par des attaques malveillantes.

Si le poste informatique de votre travail est soudainement infecté, tous les postes à problème doivent être rapidement débranchés d'Internet et du réseau local. Dans la foulée, il est primordial de notifier le service informatique de votre organisation afin qu'il puisse intervenir. Il faudra penser à lui fournir le plus de détails possible sur la menace en cours via une capture du message à l'écran ou l'envoi d'un échantillon de fichiers chiffrés.

Si l'attaque est soupçonnée d'avoir porté atteinte à des données à caractère privé, les entreprises se doivent également d'alerter la CNIL dans le cas d'un accès, d'une modification ou d'une suppression de données personnelles. Il est ici nécessaire de mentionner la nature de l'attaque, le nombre de personnes concernées par la violation des données et les conséquences envisagées de l'infection.

Un accompagnement pour les victimes

Particuliers comme professionnels peuvent également porter plainte au commissariat de police ou à la brigade de gendarmerie la plus proche. Pour ce faire, il faudra tout de même conserver les preuves techniques de l'attaque ; il est ainsi conseillé de garder son système en l'état et donc de ne pas le réinstaller, pour fournir les preuves aux personnes en charge de l'enquête.

Si vous êtes victime d'une telle infraction, il existe également plusieurs moyens de se faire accompagner dans la résolution du problème et dans le traitement de ses conséquences :

• France Victimes est une association en lien avec le ministère de la Justice et qui dispose d'un site et d'un numéro gratuit : 116 006, ouvert 7 jours sur 7 de 9h à 19h. Il s'agit d'une plateforme d'écoute et d'aide aux victimes d'infractions dont l'escroquerie en ligne fait partie.
• Les gouvernement propose aussi la plateforme cybermalveillance.gouv.fr/ afin d'épauler les particuliers, entreprises et collectivités victimes de malveillance en ligne, dont les attaques par rançongiciels. La plateforme permet de décrire avec précision la nature de son problème et de se faire guider pas à pas dans sa résolution avec des personnes expertes en sécurité informatique.

• Si le paiement de la rançon a déjà eu lieu, il est vivement conseillé de s'orienter vers le service Info-Escroqueries et son numéro vert 0 805 805 817, ouvert du lundi au vendredi de 9h à 18h30. Il permet de s'informer sur la marche à suivre en cas d'escroquerie et vient en complément de la plateforme de signalement Pharos.