NAKIVO > Blog

Attaques par ransomware et récupération des données : aperçu complet

Publié le: février 27, 2019

Written by: NAKIVO Team

<> & Compte tenu des pertes de données et des temps d’arrêt qu’elles provoquent, les attaques par ransomware constituent une menace dangereuse pour les entreprises de tous les secteurs. Selon Sophos, la rançon moyenne en 2023 a atteint 1,54 million de dollars . Malheureusement, l’intensité des attaques par ransomware augmente d’année en année. Tout le monde est exposé à ce risque. Après qu’il a été installé sur un ordinateur, le ransomware supprime ou corrompt les données par l’intermédiaire d’algorithmes de chiffrement puissants.

Les auteurs malveillants à l’origine du ransomware exigent généralement une somme d’argent (une rançon) pour libérer les données et les rendre à nouveau accessibles. Cependant, en plus d’encourager les criminels, ces paiements ne garantissent pas que vous obtiendrez un accès complet à des données utilisables. Cet article de blog explique comment procéder à la récupération efficace après une attaque par ransomware tout en évitant toute transaction avec les pirates.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Que faire après une attaque par ransomware

Malgré les nombreuses mesures préventives disponibles, il est toujours possible que votre organisation soit victime d’une attaque par ransomware. Les pratiques suivantes peuvent vous aider à minimiser l’impact d’une attaque par ransomware si elle se produit. Si vos machines sont infectées par du ransomware, suivez ces recommandations avant la récupération des fichiers.

  • Déconnectez l’appliance infectée. Dès que vous détectez qu’une machine est infectée par du logiciel malveillant, vous devez immédiatement déconnecter l’appliance du réseau et des périphériques de stockage externes. De cette façon, vous pouvez vous assurer que les autres machines et systèmes de votre infrastructure ne seront pas également infectés. Cette étape vous permet de sauvegarder les données non affectées et de réduire la quantité de travail nécessaire pour la récupération des fichiers du ransomware.

    Après, identifiez le nombre de machines qui ont été réellement affectées par l’attaque du ransomware et recherchez toute activité suspecte dans votre infrastructure.

  • Identifiez le type de ransomware. Discutez avec la personne qui a détecté le problème en premier. Demandez-lui ce qu’elle faisait avant l’incident, si elle a reçu des e-mails contenant des pièces jointes suspectes et quels fichiers elle a récemment téléchargés. Identifier le type de ransomware fournit des informations précieuses qui peuvent être utilisées pour identifier les vulnérabilités de votre système de protection des données et le modifier en conséquence.

    De plus, si vous parvenez à déterminer le type de ransomware, vous pouvez savoir exactement comment vos fichiers sont affectés (c’est-à-dire s’ils sont cryptés ou verrouillés). Vous pouvez alors comprendre les répercussions potentielles du non-paiement de la rançon et déterminer la stratégie à adopter pour réaliser avec succès la récupération après l’attaque par ransomware.

  • Signalez le problème. Lorsque vous formez vos employés, expliquez-leur qu’il est important de signaler toute activité suspecte sur leur ordinateur à l’équipe d’assistance technique. Ainsi, les professionnels de l’informatique pourront réagir à temps à l’attaque par ransomware avant que des dommages graves ne soient causés. Après, signalez l’attaque par ransomware aux autorités (par exemple, le FBI si vous êtes aux États-Unis) et fournissez-leur toutes les informations nécessaires sur l’incident. Le fait de signaler l’incident aux autorités peut contribuer à prévenir de futures attaques par le ou les mêmes auteurs de ransomware.
  • Ne payez pas la rançon. Les forces de l’ordre déconseillent de céder aux exigences des attaquants, car cela encourage encore plus d’attaques par ransomware à l’avenir. Les pirates informatiques qui cherchent à gagner rapidement de l’argent vous considéreront comme une cible facile pour leurs futures attaques. De plus, dans la plupart des cas, le paiement de la rançon ne garantit pas que les pirates débloqueront ou effectueront le déchiffrement des données comme promis. N’oubliez pas que vous avez affaire à des criminels qui ne s’intéressent qu’au profit.
  • Identifiez l’impact de l’attaque par ransomware. Vous devez déterminer la quantité de données corrompues, le nombre de machines infectées à la suite de l’attaque et le temps nécessaire pour la récupération des données. De plus, évaluez la criticité des données rendues indisponibles et déterminez si elles peuvent être récupérées sans payer la rançon.
  • Récupération de votre système après une attaque par ransomware. Après avoir enlevé le ransomware de vos ordinateurs, vous pouvez commencer la récupération après l’attaque du ransomware.

Options de récupération pour les fichiers cryptés par un ransomware

Il existe plusieurs méthodes pour récupérer des données après une attaque par ransomware. L’efficacité de ces méthodes varie en fonction de la situation.

Utilisation des outils intégrés à votre système d’exploitation

Si vous utilisez Windows 10, vous pouvez essayer d’utiliser l’utilitaire de restauration du système Windows pour réaliser la récupération des paramètres du système et des paramètres des programmes à partir d’un point de récupération créé automatiquement. Cette méthode ne permet pas de restaurer toutes les données. Les ransomwares modernes peuvent désactiver la restauration du système et supprimer ou corrompre les points de récupération Windows. Dans ce cas, cette méthode est inefficace.

Utilisez l’outil de déchiffrement des ransomwares

Si vous avez détecté le type et la version du ransomware, essayez de trouver l’outil de déchiffrement fourni par les chercheurs en sécurité. Les outils de déchiffrement ne sont pas disponibles pour toutes les versions de ransomware. Il est également de plus en plus rare de trouver un outil de déchiffrement de nos jours.

Utilisez un logiciel de récupération de fichiers supprimés

Si le ransomware n’a pas écrasé les fichiers sur le disque et rempli la surface du disque avec des zéros ou des données aléatoires, il est possible que vous puissiez récupérer certaines données critiques. L’analyse de la surface du disque prend beaucoup de temps. Les noms de fichiers après la récupération peuvent être perdus et ressembler à RECOVER0001.JPG, RECOVER0002.JPG, etc.

Récupérez les données à partir d’une sauvegarde

Le point essentiel de cette méthode est que vous devez vous préparer à l’avance et ne pas attendre que le ransomware infecte vos machines. Si vous n’avez pas créé de sauvegarde avant l’attaque du ransomware, cette méthode ne s’applique pas. Vous devez vous préparer à l’avance et sauvegarder vos données à intervalles réguliers. Les bonnes pratiques en matière de sauvegarde recommandent de suivre la règle de sauvegarde 3-2-1 et de stocker les sauvegardes hors site et/ou hors ligne pour pouvoir les récupérer en cas d’attaque par ransomware. Vous pouvez utiliser le cloud, bande magnétique et/ou stockage de sauvegardes immuables à cette fin.

La meilleure façon de créer des sauvegardes est d’utiliser des solutions de protection des données dédiées qui prennent en charge différents types de Workloads et d’infrastructures et vous permettent de mettre en œuvre la règle de sauvegarde 3-2-1.

L’une de ces solutions est NAKIVO Backup & Replication. La solution de NAKIVO vous permet d’augmenter les performances de sauvegarde, de garantir la récupérabilité des données et d’améliorer la récupération après une attaque par ransomware. La solution prend en charge la protection des données pour les serveurs physiques, les machines virtuelles (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), les instances Amazon EC2 et Microsoft 365. Avec cette solution, vous pouvez :

  • Effectuer des sauvegardes et des réplications incrémentielles basées sur des images et cohérentes avec les applications.
  • Créer facilement des copies de sauvegarde sans impliquer les hôtes sources ou les Virtuelles Machines (VMs).
  • Stockez les sauvegardes sur un site distant, dans un cloud public ou sur bande magnétique.
  • Activez l’immuabilité pour les référentiels locaux basés sur Linux ou dans le cloud Amazon S3.
  • Choisissez parmi une variété d’options de récupération flexibles, notamment le démarrage instantané de la machine virtuelle, la récupération granulaire et la récupération Physique à virtuel des machines physiques en tant que VMs VMware vSphere.
  • Créez des workflows de reprise après sinistre en organisant diverses actions et conditions dans une séquence automatisée.

Combien de temps faut-il pour réaliser la récupération après une attaque par ransomware ?

Le temps nécessaire pour récupérer les fichiers cryptés par un virus ransomware dépend de la quantité de données corrompues sur les ordinateurs infectés et de la méthode utilisée pour la récupération. Lorsque nous estimons le temps nécessaire pour récupérer après une attaque ransomware, nous entendons la récupération des données et la remise en ligne de tous les systèmes avec restauration des Workloads.

Le temps nécessaire pour récupérer les données et restaurer les Workloads peut varier de quelques jours à plusieurs mois. Examinons les principaux facteurs qui influent sur le temps de récupération.

  • L’expérience d’un administrateur système. Les administrateurs système expérimentés disposent généralement de plusieurs plans de reprise après sinistre pour différents scénarios et savent quoi faire dans chaque situation. Vous devez disposer d’un plan de récupération après une attaque par ransomware afin d’être prêt à faire face à ce type d’attaque.
  • La récupération à l’aide d’un outil de déchiffrement (si vous en trouvez un pour une version spécifique du ransomware) peut prendre beaucoup de temps. Si les noms de fichiers ont également été modifiés après le chiffrement (par exemple sLc6-fAl26m.nSeB2 au lieu de image001.jpg), il faudra encore plus de temps pour les placer dans les répertoires appropriés après la récupération. Vous devez respecter la structure correcte des fichiers et des répertoires, en particulier si ces fichiers sont nécessaires au fonctionnement des applications.
  • La sauvegarde des données réduit le temps nécessaire à la récupération des fichiers et des serveurs après une attaque par ransomware. L’avantage de la restauration de fichiers à partir d’une sauvegarde après une attaque par ransomware est que vous récupérez des données structurées, y compris les noms de fichiers et de dossiers avec leur chemin d’accès correct. Vous devez sélectionner une sauvegarde pour la date/heure appropriée et choisir l’emplacement de destination où restaurer les données. Il suffit ensuite d’attendre que les données soient copiées et restaurées.
    De plus, les solutions de sauvegarde telles que NAKIVO Backup & Replication s’appuient sur une technologie basée sur l’image pour capturer les sauvegardes des machines virtuelles et physiques. Cela signifie que la sauvegarde capture le système d’exploitation et les autres fichiers associés au système d’exploitation, tels que les fichiers de configuration des applications et l’état du système, ce qui vous permet de gagner du temps pour remettre les systèmes en état de fonctionnement.
  • Un test inadéquat d’un plan de récupération après une attaque par ransomware peut entraîner des temps de restauration des données plus longs que prévu. C’est pourquoi vous devez toujours essayer de tester votre plan de récupération afin de vous assurer que vous pouvez récupérer tout ce dont vous avez besoin dans les délais impartis.

Notez que lorsque vous créez une stratégie de reprise après sinistre qui inclut un plan de reprise après sinistre ransomware, vous devez tenir compte des indicateurs RTO et RPO .

Conclusion

La récupération après une attaque par ransomware est un processus complexe qui comprend la récupération des données et la restauration des Workloads. Le coût et le temps nécessaires à la récupération après une attaque par ransomware dépendent du niveau de préparation de la stratégie de sauvegarde et de la récupération après une attaque par ransomware.

La principale approche pour atténuer les problèmes causés par les attaques par ransomware consiste à suivre des mesures préventives et à sauvergarder régulièrement les données. Suivez la règle de sauvegarde 3-2-1 et utilisez un stockage de sauvegardes immuables et une solution de protection des données fiable capable d’automatiser les tâches.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Comment monter Amazon S3 en tant que lecteur pour le partage de fichiers dans le cloud
Picture
Comment sauvegarder des données dans Azure Blob Storage
Picture
Comment sauvergarder des VMs VMware : le guide définitif