Les trois gestes réflexes en cas de ransomware

JéromineLe 1 février 2021

Le top 3 des choses à savoir (et à faire) quand on est victime de ransomware

On a beau faire preuve de prudence au quotidien, le drame peut arriver : un écran noir, un texte terrifiant, des données chiffrées et un lien direct pour payer une rançon peuvent apparaître du jour au lendemain à l’allumage de son poste. La signature d'un ransomware telle que CryptoLocker, NetWalker, LockBit, ou Babuk Locker peut également apparaître sur l'écran.

Avant de paniquer, faisons le point sur les 3 principales choses à savoir quand on est victime d’un ransomware (ou rançongiciel).

Non, éteindre et rallumer ne servira à rien : déconnectez-vous !

1e étape : il est indispensable de déconnecter au plus vite votre appareil du réseau, afin d’éviter que le rançongiciel ne contamine d’autres postes !

MAIS n’éteignez pas votre ordinateur, contrairement à ce que votre premier réflexe peut vous inciter à faire.

Déjà parce que ça ne changera rien, vos données seront toujours chiffrées au rallumage. Ensuite, parce que d’éventuelles traces enregistrées dans la mémoire vive de votre ordinateur et permettant potentiellement de déchiffrer vos fichiers sans avoir à payer la rançon ou mener des actions en justice seraient irrémédiablement effacées.

ransomware illustration

« We don’t speak to terrorists »

Quand l’intégralité de ses données se retrouve chiffrée, et qu’un pirate nous prouve qu’il y a accès ainsi qu'à tout notre ordinateur, la tentation est très forte de payer la rançon pour revenir à la vie normale.

Comme souvent dans les cas de cyberterrorisme, ça ne servirait pas à grand-chose. D’abord parce que payer n’apporte pas de garantie inconditionnelle de récupérer vos fichiers. Ensuite parce qu’un paiement peut encourager les cybercriminels : continuer leur activité afin d'extorquer d'autres personnes, ou même vous extorquer encore plus en vous menaçant de divulguer vos données même après vous avoir fourni la clé de déchiffrement.

Il faut signaler l'intrusion

La clé, c’est la communication. Si vous avez été piraté sur votre ordinateur professionnel, il est essentiel de rapporter IMMÉDIATEMENT le problème à votre DSI/RSSI ou votre supérieur, et de prendre note de toutes les activités effectuées avant l’incident afin d’identifier la porte d’entrée du ransomware.

Communiquer sur votre situation peut aussi permettre d’identifier le type de ransomware dont vous êtes victime, et potentiellement trouver une aide ou une solution auprès de votre service SSI ou un spécialiste lors d'une analyse forensique.

Bonus

Vos données ayant été compromises, pensez à changer tous les identifiants des comptes auxquels le poste concerné a eu accès. Profitez-en également pour demander la déconnexion de tous les postes si c’est proposé, et renforcez la sécurité de vos comptes avec la double authentification si vous en avez la possibilité. Restez en veille sur les alertes de connexion qui pourraient survenir dans les semaines suivant l’attaque. Et faites une croix sur vos anciens mots de passe, que vous avez mis tant de mois à retenir (car il était bien sécurisé, n’est-ce pas ?).

Nous n’abordons pas dans le présent article les méthodes pour se protéger en amont des ransomwares : si vous lisez ces lignes, c’est sans doute un peu tard pour cela. Vous trouverez néanmoins sur notre site, si vous en avez besoin, tous nos conseils sur les ransomware.

Si vous êtes victime d'un rançongiciel, l'équipe d'AlgoSecure peut vous aider à définir la marche à suivre.

You've enabled "Do Not Track" in your browser, we respect that choice and don't track your visit on our website.