Attaques par ransomware et récupération de données : Aperçu complet

Les attaques de ransomwares sont une menace dangereuse pour les entreprises de tous les secteurs en raison des pertes de données et des temps d’arrêt qu’elles entraînent. Le montant moyen de la rançon en 2023 a atteint 1,54 million de dollars, selon Sophos. Malheureusement, l’intensité des attaques de ransomwares augmente d’année en année. Tout le monde est exposé. Une fois installé sur un ordinateur, le ransomware supprime ou corrompt les données en utilisant des algorithmes de cryptage puissants.

Les acteurs malveillants derrière les ransomwares demandent généralement une somme d’argent (une rançon) pour restituer les données et les rendre à nouveau disponibles. Cependant, en plus d’encourager les criminels, ces paiements ne garantissent pas un accès complet à des données utilisables. Cet article de blog explique comment récupérer efficacement après une attaque de ransomware tout en évitant les transactions avec les attaquants.

Que faire après une attaque de ransomware

Malgré les nombreuses mesures préventives disponibles, il existe encore une possibilité que votre organisation soit victime d’une attaque de ransomware. Les pratiques suivantes peuvent vous aider à minimiser l’impact d’une attaque de ransomware si cela se produit. Si vos machines sont infectées par un ransomware, suivez ces recommandations avant de récupérer des fichiers après une attaque de ransomware.

• Déconnectez l’appareil infecté. Dès que vous détectez qu’une machine est infectée par un logiciel malveillant, vous devez immédiatement déconnecter l’appareil du réseau et des dispositifs de stockage externes. De cette manière, vous pouvez vous assurer que d’autres machines et systèmes de votre infrastructure ne sont pas infectés. Cette étape vous permet de sauvegarder les données non affectées et de réduire le travail nécessaire pour récupérer les fichiers des rançongiciels.

  Ensuite, identifiez le nombre de machines réellement touchées par l’attaque de rançongiciel et recherchez toute activité suspecte dans votre infrastructure.

• Identifier le type de ransomware. Parlez avec la personne qui a détecté le problème en premier. Demandez ce qu’elle faisait avant l’incident, si elle avait reçu des emails avec des pièces jointes suspectes et quels fichiers elle avait récemment téléchargés. Identifier le type de ransomware fournit des informations précieuses qui peuvent être utilisées pour identifier les vulnérabilités dans votre système de protection des données et le modifier en conséquence.

  De plus, si vous parvenez à déterminer le type de ransomware, vous pouvez savoir exactement comment vos fichiers sont affectés (c’est-à-dire s’ils sont chiffrés ou verrouillés). Ensuite, vous pouvez comprendre les répercussions potentielles de ne pas payer la rançon et quelle stratégie doit être utilisée pour récupérer avec succès de l’attaque par ransomware.

• Signaler le problème. Lors de la formation des employés, expliquez à votre personnel qu’il est important de notifier l’équipe de support informatique de toute activité suspecte sur leurs machines. De cette manière, les professionnels de l’informatique peuvent répondre à l’attaque de ransomware à temps avant que des dommages sérieux ne soient causés. Ensuite, signalez l’attaque de ransomware aux autorités (par exemple, le FBI si vous êtes aux États-Unis) et fournissez-leur toutes les informations nécessaires sur l’incident. Le signalement aux autorités peut aider à prévenir de futures attaques par les mêmes acteurs de ransomware.

• Ne payez pas la rançon. Les autorités chargées de l’application de la loi déconseillent de céder aux demandes des attaquants car cela encourage encore plus d’attaques de ransomware à l’avenir. Les pirates informatiques cherchant à gagner rapidement de l’argent vous verront comme une cible facile pour leurs futures attaques. De plus, dans la plupart des cas, le paiement de la rançon ne garantit pas que les attaquants déverrouilleront ou décrypteront les données comme promis. Rappelez-vous que vous avez affaire à des criminels qui ne s’intéressent qu’au profit.

• Identifier l’impact de l’attaque de ransomware. Vous devriez déterminer combien de données ont été corrompues, combien de machines ont été infectées en conséquence de l’attaque, et combien de temps il faudra pour récupérer de l’attaque. De plus, évaluez la criticité des données rendues indisponibles et déterminez si elles peuvent être récupérées sans payer la rançon.

• Récupérez votre système du ransomware. Après avoir supprimé le ransomware de vos ordinateurs, vous pouvez commencer la récupération de l’attaque de ransomware.

Options de récupération pour les fichiers cryptés par ransomware

Il existe plusieurs méthodes de récupération de données après une attaque par ransomware. L’efficacité de ces méthodes varie en fonction de la situation.

Utilisation des outils intégrés dans votre système d’exploitation

Si vous utilisez Windows 10, vous pouvez essayer d’utiliser l’utilitaire de restauration du système Windows pour récupérer les paramètres système et les paramètres de programme à partir d’un point de restauration qui a été créé automatiquement. Toutes les données ne peuvent pas être restaurées avec cette méthode. Les ransomwares modernes peuvent désactiver la Restauration du système et supprimer ou corrompre les points de restauration Windows. Dans ce cas, cette méthode est inefficace.

Utilisez l’outil de décryptage du ransomware

Si vous avez détecté le type et la version du ransomware, essayez de trouver l’outil de décryptage fourni par les chercheurs en sécurité. Les outils de décryptage ne sont pas disponibles pour chaque version de ransomware. Il est également de plus en plus rare de trouver un outil de décryptage de nos jours.

Utilisez un logiciel de récupération de fichiers supprimés

Si le ransomware n’a pas écrasé les fichiers sur le disque et rempli la surface du disque avec des zéros ou des données aléatoires, il existe une chance que vous puissiez récupérer certaines données critiques. Le balayage de la surface du disque nécessite beaucoup de temps. Les noms de fichiers après la récupération peuvent être perdus, et leurs noms peuvent être comme RECOVER0001.JPG, RECOVER0002.JPG, etc.

Récupérer des données à partir d’une sauvegarde

Le principal point de cette méthode est que vous devez vous préparer à l’avance et ne pas attendre que les logiciels de rançon infectent vos machines. Si vous n’avez pas créé de sauvegarde avant l’attaque de logiciels de rançon, cette méthode ne s’appliquera pas. Vous devez vous préparer à l’avance et sauvegarder les données à intervalles réguliers. Les meilleures pratiques de sauvegarde recommandent de suivre la règle de sauvegarde 3-2-1 et de stocker les sauvegardes hors site et/ou hors ligne pour récupérer d’une attaque de logiciels de rançon. Vous pouvez utiliser le cloud, la bande magnétique et/ou le stockage sauvegarde immuable à cette fin.

La meilleure façon de créer des sauvegardes est d’utiliser des solutions de protection des données dédiées qui prennent en charge différents types de charges de travail et d’infrastructures et vous permettent de mettre en œuvre la règle de sauvegarde 3-2-1.

Une telle solution est NAKIVO Backup & Replication. La solution de NAKIVO vous permet d’augmenter les performances de sauvegarde, d’assurer la récupération des données et d’améliorer la récupération après une attaque de logiciels de rançon. La solution prend en charge la protection des données pour les serveurs physiques, les machines virtuelles (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), les instances Amazon EC2 et Microsoft 365. Avec la solution, vous pouvez :

• Réaliser des sauvegardes et réplications incrémentielles basées sur l’image et sensibles aux applications.

• Créer facilement des copies de sauvegarde sans impliquer les hôtes sources ou les machines virtuelles (VM).Stocker les sauvegardes dans un site distant, un cloud public ou sur bande magnétique.

• Stockez des sauvegardes sur un site distant, dans un nuage public ou sur bande.

• Activez l’immuabilité pour les référentiels locaux basés sur Linux ou dans le nuage Amazon S3.

• Choisissez parmi une variété d’options de récupération flexibles, y compris le démarrage instantané de VM, la récupération granulaire et la récupération P2V de machines physiques en tant que machines virtuelles VMware vSphere.

• Créez des workflows de reprise après sinistre en organisant diverses actions et conditions en une séquence automatisée.

Combien de temps faut-il pour se remettre d’un ransomware?

Le temps nécessaire pour récupérer les fichiers cryptés par un virus ransomware dépend de la quantité de données corrompues sur les ordinateurs infectés et de la méthode utilisée pour la récupération du ransomware. Lorsque nous estimons le temps nécessaire pour la récupération d’une attaque de ransomware, nous voulons dire la récupération des données et le retour de tous les systèmes en ligne avec des charges de travail restaurées.

Le temps de récupération des données et de restauration des charges de travail peut varier de quelques jours à plusieurs mois. Examinons les principaux facteurs qui influent sur le temps de récupération.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• La récupération à l’aide d’un outil de décryptage (si vous en trouvez un pour une version spécifique de ransomware) peut prendre beaucoup de temps. Si les noms de fichiers ont également été modifiés après le cryptage (comme sLc6-fAl26m.nSeB2 au lieu de image001.jpg), cela prendra encore plus de temps pour les remettre dans les répertoires corrects après la récupération. Vous devez respecter la structure de fichiers et de répertoires correcte, surtout si ces fichiers sont nécessaires pour que les applications fonctionnent.

• Avoir une sauvegarde des données réduit le temps nécessaire pour la récupération des fichiers et des serveurs après une attaque par ransomware. L’avantage de récupérer des fichiers à partir d’une sauvegarde après une attaque par ransomware est que vous récupérez des données structurées, y compris les noms de fichiers et de dossiers avec leur chemin correct. Vous devez sélectionner une sauvegarde pour la date/heure appropriée et sélectionner l’emplacement de destination où récupérer les données. Ensuite, il suffit d’attendre que les données soient copiées et récupérées.
  De plus, des solutions de sauvegarde comme NAKIVO Backup & Replication reposent sur une technologie basée sur l’image pour capturer les sauvegardes de machines virtuelles et physiques. Cela signifie que la sauvegarde capture le système d’exploitation et d’autres fichiers associés au SE, tels que les fichiers de configuration d’application et l’état du système, ce qui vous aide à gagner du temps pour remettre les systèmes en marche.

• Un test insuffisant d’un plan de récupération après ransomware peut entraîner des temps de restauration des données plus longs que prévu. Pour cette raison, essayez toujours de tester votre plan de récupération pour vous assurer que vous pouvez récupérer tout ce dont vous avez besoin dans le délai approprié.

Notez que lors de la création d’une stratégie de reprise après sinistre qui inclut un plan de reprise après sinistre pour ransomware, vous devez prendre en compte les métriques RTO et RPO.

Conclusion

La récupération après ransomware est un processus complexe qui inclut la récupération des données et la restauration des charges de travail. Le coût et le temps de récupération après ransomware dépendent de la préparation qui est mise en œuvre dans la stratégie de sauvegarde et de la récupération après des attaques par ransomware.

La principale approche pour atténuer les problèmes causés par les attaques de ransomwares consiste à suivre des mesures préventives et à sauvegarder régulièrement les données. Suivez la règle de sauvegarde 3-2-1 et utilisez un stockage de sauvegarde immuable ainsi qu’une solution de protection des données fiable qui peut automatiser les tâches.