La récupération à partir d’un rançongiciel comporte deux composants principaux : (1) Supprimer le logiciel malveillant qui a causé la rançon et (2) restaurer vos fichiers. Dans cet article, nous allons discuter de la suppression du rançongiciel.
Remarque Bien que cet article explique les méthodes pour trouver et éradiquer les rançongiciels, nous ne pouvons pas couvrir tous les cas d’utilisation possibles pour tous les rançongiciels. Coalition recommande une réinstallation et une restauration complètes à partir de la sauvegarde dans la mesure du possible. Les étapes énumérées dans ce document peuvent causer d’autres dommages. Nous recommandons une assistance professionnelle.
Arrêter la propagation
Le rançongiciel moderne est conçu pour se propager sur le réseau afin d’infecter autant de machines que possible. Pour cette raison, retirez immédiatement la machine touchée du réseau! Le chiffrement des fichiers se poursuivra sur l’appareil touché jusqu’à ce qu’il soit arrêté, mais cela arrêtera la propagation à d’autres ordinateurs locaux.
Trouver et éliminer l’infection
Ensuite, nous voulons essayer de trouver le ou les fichier(s) et processus(s) responsables de l’infection par rançongiciel.
(Conseil : Insérez une clé USB dans votre ordinateur avec quelques exemples de fichiers. Si le rançongiciel est toujours actif, il chiffrera probablement également ces fichiers. Si vous constatez que le rançongiciel est toujours actif)
-
Analysez votre système avec le logiciel antivirus de votre choix (c.-à-d. MalwareBytes, ESET, etc.)
-
Ouvrez votre gestionnaire de tâches pour voir si vous pouvez trouver le logiciel malveillant en cours d’exécution. Si vous le voyez, tentez de le tuer dans le gestionnaire de tâches ou en utilisant « Tâcher la tâche /f /im [MalwareFileName] » dans une invite de commande.
-
Vérifiez votre registre pour les fichiers configurés pour s’exécuter au démarrage en regardant dans les ruches de registre suivantes :
i. HKLM\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
II. HKLM\Software\Microsoft\Windows\CurrentVersion\Run -
Vérifiez vos services pour vous assurer qu’aucun exécutable malveillant n’est installé en tant que service sur le système à partir du panneau de commande ainsi que du registre à HKLM\SYSTEM\CurrentControlSet\Services
-
Vérifiez vos tâches planifiées pour vous assurer que le rançongiciel n’est pas configuré pour se déclencher à nouveau à une heure ou à une date spécifiée sur HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
-
Vérifiez le système de fichiers pour déceler les exécutables suspects ou les notes de rançon. Les noms de fichiers des rançongiciels peuvent varier d’une attaque à l’autre, mais vous voudrez rechercher des fichiers comme : AAAAA.exe, jo173.exe, MeBBf.exe, window.bat, psecex.exe et 1.exe. Certains de ces fichiers peuvent être masqués dans le système de fichiers, alors assurez-vous que vos paramètres de vue de l’Explorateur Windows vous permettent de visualiser les fichiers masqués.
i. C:\Windows\Temp
ii. C:\share$
IIi. C:\Users\Public
iv. C:\Users\[usernames]\Desktop
v. C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Démarrage
vi. C:\Users\[usernames]\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Démarrage -
Si vous avez trouvé et supprimé des fichiers ou des services suspects, exécutez à nouveau votre antivirus.
Chez Coalition, nous déconseillons généralement de tenter de trouver et de supprimer des rançongiciels sur les systèmes. Si vous manquez quelque chose, une réinfection pourrait se produire et vous mettre dans une pire position. Nous recommandons toujours une réinstallation complète des ordinateurs et des serveurs à partir de sauvegardes (si disponibles) ou de supports sources.
Pour plus de renseignements sur ce sujet, veuillez communiquer avec nous; nous sommes là pour vous aider!