Sécurité

Ransomware avec chiffrement de fichiers : Quelques pistes

Un de vos clients est victime d’un ransomware. Cryptolocker, Cryptowall, Supercrypt, TeslaCrypt, … Peut importe le malware, le résultat est à peu prêt le même. Ses fichiers sont  cryptés chiffrés, et l’impact est énorme. Dans l’urgence, il convient de procéder correctement, en prenant certaines précautions. Je vais donc ici vous donner quelques pistes (un peu en vrac) afin de traiter au mieux le problème.

Sauvegarde

J’imagine que si vous consultez cet article, aucune sauvegarde de votre client n’est exploitable. Sinon, vous l’auriez remontée. Cependant, avant d’envisager toute action sur le/les systèmes infectés, pensez à procéder à une sauvegarde. Je recommande d’arrêter immédiatement ces systèmes infectés. Ensuite, qu’il s’agisse d’un serveur, ou d’un simple client, clonez le disque dur. Pour cela, effectuez un clone en mode hors ligne, avec un de ces outils par exemple : Acronis, Veeam, AOMEI.
Ca vous permettra d’effectuer les tests que vous voulez sur le clone, sans aucun risque.

Lister les fichiers chiffrés

Un outil bien pratique permet de lister les fichiers chiffrés par Cryptowall. En effet, cette infection stock la liste des fichiers qu’elle chiffre dans le registre. L’outil ListCWall permet de localiser et utiliser ces infos afin de vous sortir une liste des fichiers, et permet aussi de les exporter afin de les stocker par exemple sur un média externe avant de formater la machine si besoin.

Utilitaires de déchiffrage

Ce qu’il faut retenir de ce paragraphe, ce n’est pas autant la liste des outils (non exhaustive) que je vous propose, mais que de tels outils voient le jour périodiquement. Pensez à regarder du côté des éditeurs d’antivirus (ou sur Tech2Tech!!), si un nouvel outil existe concernant l’infection que vous avez à traiter en particulier. En effet, suite à des enquêtes internationales, parfois, des réseaux tombent. Et lorsque les services en charge de ces enquêtes découvrent un lot de clés de chiffrement, les éditeurs d’antivirus peuvent les exploiter afin de les intégrer dans des outils de déchiffrement. Pas sur que ça fonctionne donc (si la clé utilisée ne fait pas partie de celles qui ont été  découvertes) mais vous pouvez le tenter…

On peut lister par exemple :

Récupérer les fichiers

A ma connaissance, si vous n’avez pas de sauvegardes, et que le ransomware n’a pas d’outil de déchiffrement dédié ayant été élaboré, il y a peu de chances de retrouver les fichiers.

Cependant, deux pistes peuvent s’avérer intéressantes :

Shadow Volume Copies

Les shadow copies (service de clichés instantanés), peuvent s’avérer utiles dans le cas d’un ransomware. Cependant, il faut déjà que le service soit activé et configurée correctement. Ensuite, la majorité des ransomware un peu élaborés et récents désactivent ce service, et vont effacer les snapshots déjà présents. S’ils s’avèrent utilisables, le logiciel Shadow Explorer sera pratique pour récupérer les fichiers.

Récupération de données

Il semblerait que, dans le cas de certains ransomware, les fichiers soient copiés, chiffrés, puis supprimés. Il serait alors envisageable, si la machine est arrêtée au plus vite, de récupérer des fichiers à l’aide d’un utilitaire de récupération de données.

Pour cela, clonez d’abord le disque par précaution, en mode hors ligne (Live CD).

Se protéger des ransomwares

Plusieurs éditeurs de solutions de sécurité proposent des utilitaires plus ou moins élaborés afin de se protéger contre un chiffrement de données.

Il y a d’abord une approche qui consiste à interdire le lancement d’exécutables situés dans %APPDATA%. C’est en effet un mode de fonctionnement courant de ce type de malwares. Cette fonction est proposée par Bitdefender à travers son outil gratuit Anti-Cryptowall. Personnellement cet utilitaire ne m’a pas vraiment convaincu lorsque je l’ai essayé, puisque j’ai pu lancé des exe situés dans %APPDATA%…

CryptoPrevent, utilitaire développé par Foolish IT permet de se prémunir d’une attaque par un CryptoLocker. Cependant, la version gratuite nécessite des mises à jours manuelles visiblement. Voyez plutôt vos besoins sur les différentes versions commerciales.

BitDefender a intégré dans sa version grand public 2016 un moteur d’analyse de chiffrement. Le but est d’analyser en temps réel une éventuelle activité de cryptage sur la machine, et de la stopper. Cette fonction sera intégrée dans les antivirus pro maximum en début d’année 2017.

Pour ma part, je suis distributeur des solutions Panda Security Cloud. Et un outil a été mis au point durant l’été : Adaptive Defense 360. Venant en renfort de n’importe quel antivirus, ce produit permet de bloquer tous les logiciels que l’entreprise n’a pas décidé explicitement de laisser fonctionner sur son parc. Il en résulte une protection quasi parfaite, même si ca a un coût. Et comme il faut bien manger, je me fais au passage une petite pub : n’hésitez pas à me contacter si vous désirez vous équiper de cette solution!

Ce ne sont évidement que des exemples, non exhaustifs. Mais ils traduisent la diversité des solutions élaborées afin de contrer les ransomwares et cryptolockers, qui sévissent actuellement de manière dramatique.

Samuel Monier

Informaticien indépendant Réseaux et systèmes - Infrastructure - Serveurs. J'interviens sur les départements 42 - 63 - 69 - 43 - 71, et à échelle nationale à distance. N'hésitez pas à me demander conseil!

Articles similaires

6 commentaires

  1. effectivement un sacré merdier quand le client n’a pas de sauvegarde ni de shadow copy. les outils ne permettant pas tous de decrypter les fichiers…. bref se premunir des risques en mettant en place de la sauvegarde, des controles antivirus efficace!

    1. Oui, sauvegarde multiples surtout, (locales et externalisées) et avec un exemplaire deconnecté (cartouches ou bandes par jour).
      Pour les antivirus, je recommande quand même d’utiliser un outil de prévention des cryptolocker sur les sites sensibles!!

  2. pour avoir eu un client avec cryptolocker c’est une belle merde. en attendant a priori decryptolocker n’est plus disponibnle . vous avez ce logiciel qui traine ailleur ?

  3. Nous avons été attaqué par un ransomware nommé Arena qui a attaqué nos serveurs. De nombreux fichiers ont été cryptés. Malheureusement pour certaines applications nous n’avions pas effectués récemment de sauvegardes externes. Existe t-il une solution pour décrypter ces fichiers?
    Merci pour votre aide.

    1. Bonjour,
      Il existe plusieurs variantes d’Arena.
      Je vous invite à me contacter par mail (samuel.monier at tech2tech.fr)
      Envoyez moi si possible :
      Un fichier crypté, un fichier texte d’instructions laissé par le ransomware.

      Je vous indiquerai ensuite s’il existe une solution.

  4. bonjour,le serveur de mon entreprise a était cryptolocke par le cryptolocker (arena) pensez vous quil y’ai une solution de decryptage.
    cordialement.
    william

Répondre à Damien Deilder Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page