Ransonware

[jeanb]

Bonjour à tous,

Un client m'a confié son pc qui est infecté par un ransonware , la plupart de ses fichiers sont cryptés surtout les photos. C'est la première fois que je suis confronté à ce problème et j'ai des questions à vous posez:

Comment identifier le type de rançon logiciels?

Il y a t'il des solutions pour déchiffrer les fichiers sans payer la rançon?

 

[ramius179]

Salut !

 

Alors naturellement, tu ne le connecte pas a ton réseau ! et ne travail pas dessus avec la machine allumé (si il reste des fichiers a crypté, il va finir de le faire quand il est allumé.

 

Le premier conseil est d'extraire le disque dur et de le passer sur une autre machine.

tu as un site internet qui est assez bien fait et mis a jour.

https://www.nomoreransom.org/fr/index.html

 

tu auras je pense les informations qu'il te manque (tu peux upload des fichiers crypté, il va essayer d'identifier le virus et la variante) et il t'indiqueras si il est possible de décrypté ou non.

 

J'imagine que ce client n'a pas de sauvegarde de ses données ?

professionnels ou particulier ?

si il n'en a pas, c'est le moment de faire une piqûre de rappel pour les sauvegardes ! 

[Pyrithe]

Pareil, je dirai dans l'ordre :

• Démonter le disque, et le connecter sur une machine en live CD.
• Extraire les données cryptées, et les stocker sur un disque.
• Uploader un fichier sur une service d'identification de ransomware en ligne.
• S'il existe une solution pour déchiffrer les données, le faire, sinon conserver les donnés chiffrées en vue d'un éventuel moyen de le faire dans le futur (saisie des clés de chiffrement par les autorités, etc)
• Partir sur une installation propre, disque neuf ou formaté.
• Sensibiliser le client sur l'aspect sauvegarde.

[jeanb]

ok merci à vous deux, effectivement je l'ai déconnecté du réseau, bien évidement le client n'a pas de sauvegarde c'est un particulier. 

Merci pour c'est info.

[Masenate]

Bonjour, 

 

J’ajouterai à cela de prévoir une boite de Kleenex pour le client 

[Pyrithe]

Prévoir de lui présenter une offre de sauvegarde classique et une externalisée au choix, et un antivirus avec protection web et mails...  Ca sera le bon moment!!!

[ducke]

Pourquoi sortir le HDD du boitier et ne pas utiliser directement le live CD?

[Pyrithe]

il y a 10 minutes, ducke a dit :

Pourquoi sortir le HDD du boitier et ne pas utiliser directement le live CD?

Oui tu peux tout à fait.

C'est juste l'habitude. Avec une machine qui a de l'Usb 3 et une configuration potable pour bosser correctement et copier assez vite.

Mais sur une machine acceptable ça le fait oui.

[ramius179]

Il y a 17 heures, ducke a dit :

Pourquoi sortir le HDD du boitier et ne pas utiliser directement le live CD?

pareil,

l'habitude de faire les recup sur des machines que l'on a sous linux.

elle ne servent que a faire les recups de données.

 

[jeanb]

Bonjour à tous je viens vous donnez des nouvelles , aucun des outils conseillé par le site https://www.nomoreransom.org/fr/index.html ne m'a décrypté les fichiers. Si vous avez une autre idée je suis preneur.

[Pyrithe]

@jeanb Le but n'est pas de les déchiffrer (plutôt que décrypter) puisqu'il n'y a pas beaucoup de ransomware qui le sont pour le moment.

Mais surtout d'identifier le ransomware précisément. Comme ca de temps à autres, il faut se renseigner si la situation évolue.

Et si c'est le cas, en ayant gardé les fichiers dans un coin, ils seront alors récupérable.... peut être...

[jeanb]

Le 21/02/2020 à 10:28, Pyrithe a dit :

@jeanb Le but n'est pas de les déchiffrer (plutôt que décrypter) puisqu'il n'y a pas beaucoup de ransomware qui le sont pour le moment.

Mais surtout d'identifier le ransomware précisément. Comme ca de temps à autres, il faut se renseigner si la situation évolue.

Et si c'est le cas, en ayant gardé les fichiers dans un coin, ils seront alors récupérable.... peut être...

ok merci