Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=Malware

Flux de travail de résolution des problèmes de ransomware

Procédez comme suit pour remédier à une attaque de ransomware.

Introduction

Avertissement

Lorsque vous remédiez à une attaque, vous êtes susceptible de supprimer les preuves de la façon dont l’attaque s’est produite. Nous vous recommandons de sauvegarder les systèmes et fichiers affectés par l’attaque. Si vous n’êtes pas sûr que les fichiers soient sains, vous pouvez les compresser pour les empêcher de s’exécuter.

Plus de ressources

Comment utiliser Microsoft Autoruns pour retrouver un malware non détecté

ID d’événements Windows intéressants - Malware/Investigation générale

Ransomware : Récupération et suppression

Ransomware : Information et prévention

Définir l’étendue du problème

Pour comprendre l’étendue de votre problème, procédez de la manière suivante :

  1. Identifiez tous les terminaux et serveurs affectés.

    Les appareils affectés ont des fichiers chiffrés et des demandes de rançon dans leurs dossiers.

    1. Si vous trouvez des fichiers chiffrés et des demandes de rançon sur les partages de fichiers, vous devez vérifier quel utilisateur ou appareil les a créé.
    2. Assurez-vous de stocker plusieurs échantillons des fichiers chiffrés et des demandes de rançon dans un emplacement accessible afin de pouvoir les identifier ultérieurement.

  2. Découvrez quel compte a été compromis.

    Si vous savez quel compte a été compromis, vous pouvez découvrir l’étendue maximale des fichiers locaux et distants que le ransomware a affecté depuis cet appareil car les autorisations du compte utilisateur limitent ceci. Pour trouver un compte compromis, procédez de la manière suivante :

    1. Recherchez un fichier chiffré, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés.
    2. Cliquez sur Détails et recherchez le propriétaire du fichier.
    3. Notez les détails relatives au propriétaire du fichier.

  3. Vous pouvez également utiliser un dossier pour trouver les détails du propriétaire. Pour utiliser un dossier, procédez de la manière suivante :

    1. Dans l’Explorateur Windows, accédez à un dossier contenant des fichiers chiffrés.

      Nous vous recommandons de choisir un partage de fichiers réseau accessible à plusieurs utilisateurs.

    2. Choisissez la vue Détails, qui vous donne différentes colonnes d’informations sur les fichiers.

    3. Cliquez avec le bouton droit de la souris sur un intitulé de colonne, puis cliquez sur Plus.
    4. Faites défiler la liste vers le bas et sélectionnez Propriétaire puis cliquez sur OK.

  4. Différents appareils infectés peuvent avoir différents comptes compromis. Vous devez répéter ce processus sur tous les appareils infectés et créer une liste de comptes compromis.

  5. Assurez-vous de noter tous les comptes compromis disposant de droits administratifs (locaux et de domaine).
  6. Lorsque vous avez la liste des comptes, vérifiez les partages de fichiers auxquels ces comptes ont accès EN ÉCRITURE. Vous devez vérifier tous ces partages.

Limiter l’impact du malware

Maintenant que vous avez les données initiales, vous devez mener votre investigation. Dans un premier temps, vous devez empêcher le ransomware de chiffrer plus de données. Pour arrêter le ransomware, procédez comme suit :

  1. Éteignez tous les appareils infectés.

    Éteindre vos appareils est votre meilleure chance de sauvegarder vos données. Plus un appareil infecté reste allumé, plus le ransomware a de temps pour chiffrer les fichiers.

  2. Identifiez la méthode d’attaque du ransomware avec Ransomware : Comment est menée une attaque ? avant d’effectuer des tests. Vous pouvez perdre des données en raison de chiffrement supplémentaire.

  3. Certains ransomwares s’exécutent lorsque vous démarrez un appareil. Créez l’image d’un appareil infecté, puis démarrez l’appareil infecté pour voir si les fichiers sont toujours chiffrés.

  4. Si vous ne pouvez pas déterminer les appareils infectés, vous avez un choix difficile. À ce stade, pour sauvegarder vos données, éteignez tous vos appareils.

    Cette action permet conserver les choses en l’état. Vous avez maintenant le temps de poursuivre votre investigation.

  5. Allumez vos appareils un par un afin de travailler dessus. Nettoyez un appareil puis passez au suivant.

    Nous vous recommandons de nous contacter et d’acheter notre service Managed Detection and Response. Il s’agit d’une équipe hautement qualifiée qui peut s’occuper de l’opération de remédiation pour vous. Celle-ci peut également fournir une analyse détaillée de l’attaque et des conseils de sécurité.

Identifier l’auteur du ransomware

Connaître l’auteur du ransomware vous donne de nombreuses informations sur l’impact exact auquel vous faites face. Cela permet de définir les fichiers qui ont été chiffrés, le vecteur d’infection le plus probable (comment ils sont arrivés) et si vous êtes confronté à un problème de persistance possible. Cela peut aussi aider à prévenir toute nouvelle infection. Si vous avez une demande de rançon provenant d’un appareil infecté ou des échantillons de fichiers chiffrés, vous pouvez identifier le groupe de malwares responsable.

Pour identifier l’auteur, procédez de la manière suivante :

  1. Téléchargez votre demande de rançon ou des échantillons sur https://id-ransomware.malwarehunterteam.com/.

    Remarque

    Ce site n’est pas pris en charge par Sophos.

Améliorer votre sécurité

Pour améliorer votre sécurité, procédez de la manière suivante :

  1. Si vous n’utilisez pas encore Sophos Central avec Intercept X et EDR, vous devez migrer.

    Il s’agit de notre offre de sécurité de pointe qui offre la meilleure protection contre les menaces.

    • Il contient CryptoGuard qui protège contre les ransomwares.
    • Contactez-nous si vous avez des questions sur la raison de cette situation critique ou sur la façon de procéder à la migration. Nous disposons d’une équipe d’intervention rapide que vous pouvez recruter pour vous aider à effectuer la migration.

  2. Confirmez que vous suivez nos conseils en ce qui concerne les paramètres de stratégie de protection contre les menaces. Ceci est important car votre environnement a été récemment compromis. Vous devez renforcer votre sécurité pour prévenir une nouvelle infection. Pour plus d’informations, consultez les liens suivants :

  3. Assurez-vous que vos appareils disposent des derniers correctifs de sécurité Windows.

    Ceux-ci protège contre de nombreux exploits puisque Microsoft corrige de nombreuses vulnérabilités dans ses mises à jour.

  4. Mettez à niveau les appareils utilisant d’anciennes versions de systèmes d’exploitation, telles que Windows Server 2003, Windows 2008 non-R2, Windows 7 ou Windows XP.

    Les systèmes d’exploitation Windows qui ne sont pas officiellement pris en charge par Microsoft présentent des vulnérabilités de sécurité qui n’ont pas de correctifs.

  5. Vérifiez que vous n’avez pas de appareils vulnérables faisant face publiquement à Internet.

    Remarque

    Il est courant que SMB 445, RDP 3389 ou autre ports soient ouverts. Des acteurs malveillants peuvent exploiter ces ports.

    Vous devez vérifier votre appareils. Vous devez savoir quel ports vous avez ouvert et réduire vos risques. Pour vérifier vos appareils, procédez de la manière suivante :

    1. Vous pouvez utiliser Shodan.io ou Censys.io avec vos adresses IP publiques pour confirmer les ports visibles hors de votre environnement.
    2. Si vous avez des appareils ou des ports ouverts, modifiez votre stratégie de pare-feu pour réduire votre exposition.

Restaurer vos données et vos opérations normales

Maintenant que vous avez nettoyé tous vos appareils et que vous les avez protégés avec Sophos Central Intercept X Advanced avec EDR, vous êtes prêt à redevenir opérationnel.

Procédez de la manière suivante :

  1. Restaurez vos données à partir de vos sauvegardes.

    Remarque

    Si vous voulez effectuer une analyse détaillée de l’attaque, vous avez besoin des sauvegardes et des images des appareils infectés. La restauration de vos appareils détruit les preuves et rend impossible une analyse détaillée de l’attaque.

    1. Assurez-vous d’utiliser les sauvegardes de données que vous avez effectuées avant l’infection.
    2. Assurez-vous que vous pouvez accéder aux données des fichiers de la sauvegarde.

  2. Remettez vos appareils en ligne.

    1. Si le système d’exploitation est endommagé ou si vous ne disposez pas de sauvegardes suffisantes des appareils infectés, vous devez les réparer ou les reconstruire.
    2. Suivez les procédures de réparation et de reconstruction fournies par le fabricant de votre système d’exploitation.

  3. Effectuez un test pour vous assurer que vos appareils fonctionnent normalement. Procédez de la manière suivante :

    1. Vérifiez qu’ils peuvent accéder aux ressources nécessaires.
    2. Vérifiez que les applications fonctionnent correctement.
    3. Effectuez tous les autres tests nécessaires pour confirmer que vos appareils fonctionnent correctement.

  4. Autorisez vos utilisateurs à accéder aux appareils.

Analyse détaillée des attaques

Pour protéger votre environnement à l’avenir, vous devez savoir comment l’infection s’est produite. Cela vous permet d’identifier les failles de conception et de configuration de votre réseau ou de votre environnement et des améliorer pour l’avenir. Effectuez une analyse détaillée de l’attaque pour faciliter cette opération.

Pour effectuer une analyse détaillée de l’attaque, vous devez avoir des sauvegardes et des images de vos appareils dans leurs états infectés.

Vidéo sur la résolution des problèmes de ransomware

Cette vidéo aborde ce flux de travail.