Suppression des ransomwares : Guide étape par étape pour éradiquer les logiciels malveillants de vos systèmes

Table des Matières

Le ransomware est l’une des cyberattaques les plus préjudiciables auxquelles les organisations sont confrontées aujourd’hui. Ces logiciels malveillants chiffrent les fichiers et verrouillent les systèmes, exigeant le paiement d’une rançon pour rétablir l’accès. Bien que tentant, le paiement de la rançon ne permet souvent pas de récupérer les fichiers et enhardit les cybercriminels. La récupération d’une attaque de ransomware sans payer nécessite un effort méthodique pour supprimer complètement le logiciel malveillant et restaurer les systèmes. Ce guide sur la suppression des ransomwares détaille la procédure étape par étape pour éradiquer les ransomwares de vos systèmes et récupérer les fichiers cryptés. Le respect des procédures de réponse aux incidents permet de minimiser les perturbations et d’empêcher la propagation des logiciels malveillants.

Étape 1 : Isoler et contenir l’infection par le ransomware

Dès les premiers signes d’infection par un ransomware, tels que des utilisateurs signalant des fichiers verrouillés ou des demandes de paiement de rançon affichées à l’écran, une action immédiate est nécessaire pour limiter sa propagation :
  • Isolez les systèmes touchés en vous déconnectant des réseaux et en coupant les connexions Wi-Fi et Bluetooth. Pour les ordinateurs de bureau, débranchez les câbles Ethernet. Éteignez les appareils qui permettent une connexion à distance.
  • Déterminez la souche du ransomware en cause et sa méthode de propagation. Identifiez le patient zéro et la source de l’infection si possible. Veillez à ce que les sauvegardes soient protégées par un système d’air comprimé et inaccessibles aux logiciels malveillants.
  • Prévenez le personnel de l’incident par des communications hors bande, telles que des appels téléphoniques. Demandez-leur d’éviter d’accéder aux lecteurs partagés, aux serveurs ou aux systèmes liés à des appareils infectés. Arrêtez les activités inutiles telles que l’installation ou la mise à jour de logiciels.
  • Contenez le ransomware en évaluant les systèmes potentiellement touchés et en les mettant en quarantaine sur le réseau. Segmentez les systèmes et utilisez des règles de pare-feu pour empêcher les mouvements latéraux.
  • Signalez l’incident au personnel chargé de la cybersécurité et mettez en place des procédures pour y répondre. Contactez les forces de l’ordre et les entreprises de cybersécurité, le cas échéant. Commencez à rassembler des preuves en vue d’une analyse médico-légale.
L’isolement rapide des systèmes infectés empêche le ransomware de crypter d’autres fichiers ou de se propager aux serveurs et réseaux critiques. Évitez toute activité permettant aux logiciels malveillants de s’infiltrer davantage dans les systèmes.

Étape 2 : Identifier la souche et la variante du ransomware

Une fois les systèmes isolés, déterminez la souche exacte du ransomware afin de comprendre ses capacités et de savoir comment le supprimer complètement :
  • Examinez les notes de rançon, les écrans de connexion, les extensions de fichiers et les clés de registre. Les familles de rançongiciels ont des indicateurs distinctifs qui peuvent aider à les identifier.
  • Exploitez les informations sur les menaces fournies par les fournisseurs de cybersécurité pour faire correspondre les tactiques, les techniques et les procédures avec les variantes connues de ransomware.
  • Analysez les échantillons de fichiers, les journaux d’événements et les rapports d’anomalies afin d’obtenir des informations sur les méthodes de propagation et les signatures du code du logiciel malveillant lui-même.
  • Certaines souches comme Ryuk cachent leurs exécutables, ce qui rend leur identification plus difficile. Utilisez l’analyse comportementale des processus suspects, des connexions réseau et des activités de fichiers pour déterminer la présence d’un ransomware.
L’identification du ransomware permet de comprendre comment il infecte les systèmes, se propage latéralement et échappe à la détection. Cette connaissance permet d’atténuer et de bloquer des comportements spécifiques lors de l’enlèvement.

Étape 3 : Arrêter les processus et les services du Ransomware

Avant de supprimer entièrement le ransomware, il faut arrêter les processus et services actifs qui permettent son fonctionnement :
  • Utilisez le gestionnaire des tâches ou la commande `ps` pour lister les processus en cours et identifier ceux qui sont liés au ransomware. Les noms peuvent être aléatoires, mais les ressources utilisées peuvent indiquer la présence de logiciels malveillants.
  • Arrêtez tous les processus inconnus qui ne sont pas liés à des services critiques et qui pourraient être des processus de ransomware ou des charges utiles laissées sur place. Tuez également les processus enfants associés.
  • Vérifiez les services et désactivez tous ceux que vous ne connaissez pas et qui ne sont pas liés à des programmes légitimes, qui peuvent être des mécanismes de persistance des ransomwares.
  • Utilisez les outils de détection des points d’accès pour bloquer les processus actifs présentant des schémas comportementaux de ransomware, tels que le chiffrement des fichiers.
  • Démarrez les systèmes suspectés d’être infectés à l’aide d’un support externe de confiance dans un système d’exploitation temporaire tel que Linux afin d’analyser les processus en toute sécurité.
L’arrêt des processus malveillants prive le ransomware des ressources dont il a besoin pour continuer à infecter le système. Mais les exécutables supprimés peuvent être restaurés, ce qui nécessite des étapes de suppression supplémentaires.

Étape 4 : Désactiver les points de restauration du système et les copies fantômes

Certaines familles de ransomwares tentent de rendre la récupération plus difficile en supprimant les copies d’ombre des volumes et les points de restauration du système :
  • Démarrez en mode sans échec puis exécutez `vssadmin delete shadows /all /quiet` et `bcdedit /set {default} bootstatuspolicy ignoreallfailures` pour supprimer les points de restauration.
  • Utilisez un outil de récupération tel que ShadowExplorer pour vérifier si des copies fantômes contenant des versions de fichiers existent toujours. Si c’est le cas, sauvegardez rapidement les données dont vous avez besoin.
  • Effectuez immédiatement des sauvegardes de toutes les données récupérables à partir des points de restauration avant que des redémarrages irréguliers du système ne se produisent et supprimez-les.
L’enregistrement des données à partir des fonctions de récupération et de restauration existantes permet de préserver les fichiers autrement perdus. La suppression de ces outils de récupération du système empêche également les ransomwares de les utiliser pour persister ou se cacher.

Étape 5 : Empêcher la communication et le chiffrement des ransomwares

Il est essentiel de couper l’activité d’appel du ransomware et le cryptage des données avant d’essayer de le supprimer :
  • Bloquez l’accès à l’internet et toutes les connexions sortantes des systèmes infectés afin de perturber la communication avec les serveurs de commande et de contrôle.
  • Désactivez le partage de fichiers SMB et l’accès RDP pour empêcher les mouvements latéraux. Définissez des règles de pare-feu limitant le trafic entre les points d’extrémité.
  • Créez une politique AppLocker personnalisée pour empêcher le lancement des exécutables en cours d’exécution. Utilisez des règles de liste blanche pour les extensions de fichiers et les programmes.
  • Configurez un IPS ou un filtre web pour bloquer les connexions aux infrastructures connues de ransomware en fonction des informations sur les menaces. Les politiques de listes noires d’URL/domaines sont utiles.
  • Supprimez la persistance du ransomware en supprimant les tâches planifiées créées, les installations de services ou les modifications des clés d’exécution du registre.
  • Utilisez les outils de détection des points d’extrémité pour arrêter les processus présentant des comportements de ransomware tels que le chiffrement de fichiers en masse.
Ces mesures coupent l’accès du ransomware à l’infrastructure et entravent sa capacité à se propager, ce qui permet de gagner du temps pour les efforts de suppression. Le cryptage continu des fichiers peut toutefois se produire localement.

Étape 6 : Éradiquer le Ransomware des systèmes infectés

Une fois le ransomware actif bloqué, procédez à la suppression complète des points d’accès infectés :
  • Passez en mode sans échec pour exécuter des analyses et empêcher le chargement de logiciels malveillants. Utilisez un disque de démarrage de confiance pour une analyse plus contrôlée si nécessaire.
  • Exécutez des outils antimalwares de nouvelle génération mis à jour pour rechercher et supprimer automatiquement les composants de ransomware détectés.
  • Vérifiez les emplacements de fichiers courants des ransomwares comme AppData/Local, AppData/Roaming et les dossiers Temp pour y trouver des exécutables, des scripts, des fichiers de configuration ou des outils déposés.
  • Examinez le registre à la recherche de mécanismes de persistance du ransomware, tels que des clés d’exécution ou des tâches planifiées, et supprimez soigneusement tous les éléments trouvés. Sauvegardez d’abord le registre.
  • Supprimez manuellement tous les éléments de démarrage, services, processus, tâches du planificateur de tâches ou plugins de navigateur inconnus détectés au cours de l’enquête.
  • Surveillez les moyens de défense contre la suppression des ransomwares, comme les redémarrages automatiques déclenchés par la suppression de fichiers ou de dossiers, et contournez-les.
  • Après avoir nettoyé les artefacts du ransomware, exécutez à nouveau des analyses approfondies pour vérifier la suppression avant de rétablir la connectivité.
Faites preuve d’une grande rigueur dans la suppression des ransomwares avant de reconnecter les systèmes. Tout résidu peut entraîner une réinfection et la poursuite du cryptage des fichiers.

Étape 7 : Restaurer la sauvegarde du système et récupérer les fichiers cryptés

Une fois que le ransomware a été éliminé de tous les points finaux, restaurez soigneusement les systèmes :
  • Nettoyez et réimagez entièrement les systèmes infectés pour les remettre en bon état si nécessaire, puis appliquez les dernières mises à jour du système d’exploitation, les logiciels anti-programmes malveillants et les outils de surveillance.
  • Ne reconnectez les systèmes nettoyés aux réseaux qu’une fois que toutes les traces de ransomware ont été supprimées, afin d’éviter toute réinfection. Ouvrir progressivement l’accès.
  • Restaurez les fichiers chiffrés à partir de sauvegardes hors ligne propres qui n’ont pas été exposées lors de l’attaque. Utilisez les versions des fichiers si elles sont disponibles dans les sauvegardes de la copie cachée.
  • Utilisez les outils de décryptage des sociétés de sécurité, s’ils existent pour cette variante de ransomware, afin de déverrouiller les fichiers. Cela dépend toutefois des algorithmes de cryptage utilisés.
  • Dans les cas extrêmes, les spécialistes de la police scientifique peuvent être en mesure de récupérer manuellement certains documents cryptés, en donnant la priorité aux données critiques.
  • Informer les utilisateurs de la restauration des systèmes et des fichiers. Demandez-leur de valider les données restaurées et de vous signaler toute information manquante ou endommagée qui n’a pas encore été récupérée.
Le retour des systèmes infectés à la dernière configuration connue permet d’éliminer les menaces potentielles de ransomware dormantes. La restauration des fichiers permet aux utilisateurs de redevenir rapidement opérationnels.

Étape 8 : Corriger les vulnérabilités et renforcer les défenses après la suppression du ransomware

Une fois les opérations rétablies, évitez les incidents de ransomware en procédant comme suit :
  • Correction des vulnérabilités du système d’exploitation, des logiciels et des microprogrammes afin d’éliminer les vecteurs d’infection exploités initialement ou par déplacement latéral.
  • Sécuriser les solutions de messagerie électronique hébergées et basées sur le client par des méthodes telles que le filtrage des pièces jointes et des liens.
  • Former en permanence le personnel à l’identification des techniques d’ingénierie sociale, des courriels d’hameçonnage et des liens suspects. Utilisez des simulations pour améliorer la vigilance.
  • Segmenter les réseaux, limiter les accès inutiles et désactiver les macros pour réduire la surface d’attaque et le risque d’infection.
  • Sauvegarder régulièrement les données à l’aide de magasins distants à couverture aérienne et d’un système de stockage d’objets immuables lorsque cela est possible. Restauration de l’essai.
  • Mettre en œuvre le principe du moindre privilège et de l’authentification multifactorielle à grande échelle afin d’élever les barrières contre les mouvements latéraux.
  • Déployer des outils de détection des points d’extrémité et de réponse automatisée pour stopper rapidement les ransomwares en action. Surveillez attentivement les paramètres.
  • Effectuer des tests d’intrusion, des exercices en équipe rouge et des validations de plans de reprise après sinistre pour renforcer encore les environnements.
Bien qu’il soit difficile de prévenir complètement les ransomwares, les entreprises peuvent réduire considérablement leur vulnérabilité et leur impact grâce à des programmes de sécurité bien conçus.

Conclusion

En conclusion, les ransomwares représentent un formidable défi, mais il est possible de le relever efficacement en adoptant les bonnes stratégies et procédures. Notre guide complet détaille un processus robuste de suppression de ransomware en plusieurs étapes, depuis l’isolement de l’infection jusqu’à l’éradication complète du logiciel malveillant. Cette approche méthodique est essentielle non seulement pour faire face à la menace immédiate, mais aussi pour prévenir les attaques futures.
Le paiement d’une rançon ne fait qu’enhardir les cybercriminels et n’aboutit souvent pas à la récupération des données. Notre guide insiste sur l’importance de ne pas céder à ces exigences. En suivant les procédures décrites, les organisations peuvent démanteler l’emprise du logiciel malveillant sur leurs systèmes, récupérer les données affectées et renforcer leurs défenses contre les menaces futures.
En outre, il est impératif d’adopter des mesures de sécurité proactives. Des mises à jour régulières des logiciels, la formation du personnel, la segmentation du réseau et des solutions de sauvegarde robustes sont essentielles pour réduire la vulnérabilité aux ransomwares. Ce guide permet non seulement de s’y retrouver dans la complexité de la suppression des ransomwares, mais il souligne également l’importance d’une approche proactive en matière de cybersécurité.
Pour obtenir de l’aide ou en savoir plus sur la protection de votre organisation, nous vous invitons à consulter notre page de contact. En outre, pour une compréhension plus approfondie de nos services de cybersécurité et de la façon dont nous pouvons vous aider à renforcer vos défenses, veuillez consulter nos informations sur les Services de test d’intrusion.
Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Partager cet article sur les médias sociaux :

Articles de Blogue Récents

Services en Vedette

Catégories

Les Derniers Articles de Blogue de Vumetric

Qu’il s’agisse des dernières tendances du secteur ou des bonnes pratiques à adopter, apprenez-en davantage sur la cybersécurité:

CONTACTEZ NOUS

Faites-nous part de vos besoins
Obtenez une réponse le même jour ouvrable

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

  • Un expert vous contacte pour comprendre vos besoins
  • Nous travaillons ensemble pour définir une portée
  • Vous obtenez une soumission détaillée sans engagement
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.