Parmi tous les codes malveillants, les rançongiciels (ou « ransomware ») sont ceux qui touchent le plus les entreprises en ce moment. Un rançongiciel est un programme malveillant transmis en pièce jointe (aux formats ZIP, RAR, SRC, CAB mais aussi des documents bureautiques) par email ou « caché » dans un document en PDF par exemple sur un site Internet. Une fois ouvert, il vise à chiffrer (on dit souvent par erreur « crypter ») partiellement ou entièrement les données sur le système cible, en l’occurrence un ordinateur (ou un serveur) dans le cas d’une PME. L’objectif de cette attaque est de récupérer une rançon en échange de la « libération » des fichiers chiffrés.
Ces rançongiciels se répandent de plus en plus sur le web. Mais des entreprises en sont victimes depuis des années. En 2014, un cabinet d’avocats parisiens a été touché par ce type d’attaque. Le bilan a été catastrophique : trois mois de rupture d’activité et des clients perdus.
Comment réagir en cas d’infection par un rançongiciel ? Nos 4 conseils.
- Déconnectez immédiatement vos postes de travail de l’Internet (arrêt du Wi-Fi, câble Ethernet débranché).
- Ne payez pas la rançon : le paiement ne garantit en rien le “déchiffrement” de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
- Faites appel à des experts pour tenter de déchiffrer la clé qui bloque vos fichiers ou éradiquer le code malveillant (Live CD). Attention, ces méthodes ne marchent pas toujours, notamment si les pirates utilisent une clef unique. Il n’existe aucune technique de décryptement efficace à 100 %.
- En cas d’échec des méthodes précédentes : faites un formatage du disque dur ou achetez un disque dur. Toutes les données qui n’auront pas été sauvegardées auparavant auront donc été perdues…
Comment prévenir les risques ? Nos 4 conseils.
- Effectuez des sauvegardes fréquentes, voire quotidiennes, pour vos documents les plus sensibles : ainsi, en cas de « prise d’otage » du disque dur, une restauration des données sera possible.
- N’ouvrez pas les emails dont vous n’êtes pas certain de l’expéditeur : vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute, n’ouvrez pas les pièces jointes.
- Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER).
- Utilisez un antivirus et mettez-le à jour : de même, effectuez toutes les mises à jour logicielles et systèmes.