Kroll Ontrack offre aux victimes de ransomware des solutions alternatives au paiement de la rançon
mars 2017 par Marc Jacob
Une étude indique que les versements de
rançons aux auteurs d’attaques par ransomware ont explosé pour atteindre
presque 1 milliard de dollars en 2016, et ceci ne semble pas devoir
s’arrêter sachant que les entreprises et les particuliers continuent de
payer. Le ransomware est une sorte de logiciel malveillant qui bloque
l’accès aux données sur un appareil ou un serveur en les chiffrant. En
travaillant avec les entreprises affectées par un ransomware, Kroll Ontrack
a identifié plus de 225 souches uniques de ransomware et ses ingénieurs ont
défini des processus de déchiffrement pour plus de 80 de ces variantes.
Tandis que n’importe quelle personne utilisant un ordinateur ou un appareil
connecté peut être la cible d’un ransomware, les entreprises sont souvent
les plus touchées. Non seulement une entreprise infectée est contrainte de
verser une rançon exorbitante pour récupérer ses données, mais d’autre part
celle-ci fait face à des pertes financières dues aux temps d’arrêt et aux
retards qui en découlent. Parmi les plus exposés se trouvent les organismes
de santé, les institutions financières et les agences gouvernementales.
Afin de limiter les dommages causés par les ransomware, Kroll Ontrack a
développé un ensemble de solutions permettant de récupérer rapidement les
données prises en otage et d’éviter de payer les malfaiteurs qui se
trouvent derrière ces attaques, comprenant :
· Des logiciels et des outils pour déchiffrer les données « prises
en otage ». Il existe plusieurs méthodes utilisées pour déchiffrer les
différentes souches de ransomware – nous avons identifié plus de 225
souches et défini des processus de déchiffrement pour plus de 80 d’entre
elles.
· Des connaissances et une certaine expérience en récupération des
données pour trouver des copies non chiffrées des données en otage et
restaurer ou reconstruire ce qui a été trouvé. S’il n’existe aucun
processus ou logiciel de déchiffrement en mesure de déchiffrer une
variante de ransomware, nous utilisons nos outils propriétaires de
récupération des données pour chercher des copies non chiffrées des données.
Ces particuliers et entreprises les plus exposés doivent prendre certaines
précautions pour réduire les risques et amoindrir les effets d’une attaque.
Ci-dessous se trouve une liste des mesures à prendre :
– Ne payez jamais la rançon car il se peut que les agresseurs ne
débloquent jamais les données. Il existe de nombreux cas de victimes de
ransomware ayant payé la rançon exigée et n’ayant jamais vu leurs données
restituées. Plutôt que de courir ce risque, les entreprises doivent
travailler avec les experts en récupération des données, lesquels peuvent
être en mesure de récupérer l’accès aux données par le biais d’une
ingénierie inversée du logiciel malveillant.
– Créez un plan de sauvegarde et de récupération et suivez-le. Faites
en sorte que votre plan intègre le stockage des sauvegardes hors site.
– Prenez soin de tester les sauvegardes de façon régulière. Les
organisations doivent être au fait de ce qui est stocké dans les archives
de sauvegarde et s’assurer que les données les plus critiques soient
accessibles dans le cas où les ransomware cibleraient les sauvegardes.
– Mettre en place des politiques de sécurité. Utilisez les logiciels
antivirus et anti-malware les plus récents et contrôlez en permanence afin
de prévenir toute infection.
– Développez des politiques en matière de technologies et
d’informatique qui limitent les infections sur les autres
ressources réseau.
Les entreprises doivent mettre en place des protections afin qu’un appareil
infecté par un ransomware ne permette pas à ce dernier de se propager dans
tout le réseau.
– Assurez la formation des utilisateurs afin que tous les employés
puissent repérer une attaque potentielle. Assurez-vous que les employés
soient au fait des meilleures pratiques pour éviter le téléchargement
accidentel d’un ransomware ou l’ouverture du réseau aux personnes
extérieures.