Jump to content

Recommended Posts

Bonjour à tous,

Un client m'a confié son pc qui est infecté par un ransonware , la plupart de ses fichiers sont cryptés surtout les photos. C'est la première fois que je suis confronté à ce problème et j'ai des questions à vous posez:

Comment identifier le type de rançon logiciels?

Il y a t'il des solutions pour déchiffrer les fichiers sans payer la rançon?

 

Share this post


Link to post
Share on other sites

Salut !

 

Alors naturellement, tu ne le connecte pas a ton réseau ! et ne travail pas dessus avec la machine allumé (si il reste des fichiers a crypté, il va finir de le faire quand il est allumé.

 

Le premier conseil est d'extraire le disque dur et de le passer sur une autre machine.

tu as un site internet qui est assez bien fait et mis a jour.

https://www.nomoreransom.org/fr/index.html

 

tu auras je pense les informations qu'il te manque (tu peux upload des fichiers crypté, il va essayer d'identifier le virus et la variante) et il t'indiqueras si il est possible de décrypté ou non.

 

J'imagine que ce client n'a pas de sauvegarde de ses données ?

professionnels ou particulier ?

si il n'en a pas, c'est le moment de faire une piqûre de rappel pour les sauvegardes ! 

Share this post


Link to post
Share on other sites

Pareil, je dirai dans l'ordre :

  • Démonter le disque, et le connecter sur une machine en live CD.
  • Extraire les données cryptées, et les stocker sur un disque.
  • Uploader un fichier sur une service d'identification de ransomware en ligne.
  • S'il existe une solution pour déchiffrer les données, le faire, sinon conserver les donnés chiffrées en vue d'un éventuel moyen de le faire dans le futur (saisie des clés de chiffrement par les autorités, etc)
  • Partir sur une installation propre, disque neuf ou formaté.
  • Sensibiliser le client sur l'aspect sauvegarde.

Share this post


Link to post
Share on other sites

ok merci à vous deux, effectivement je l'ai déconnecté du réseau, bien évidement le client n'a pas de sauvegarde c'est un particulier. 

Merci pour c'est info.

Share this post


Link to post
Share on other sites
il y a 10 minutes, ducke a dit :

Pourquoi sortir le HDD du boitier et ne pas utiliser directement le live CD?

Oui tu peux tout à fait.

C'est juste l'habitude. Avec une machine qui a de l'Usb 3 et une configuration potable pour bosser correctement et copier assez vite.

Mais sur une machine acceptable ça le fait oui.

Share this post


Link to post
Share on other sites
Il y a 17 heures, ducke a dit :

Pourquoi sortir le HDD du boitier et ne pas utiliser directement le live CD?


pareil,

l'habitude de faire les recup sur des machines que l'on a sous linux.

elle ne servent que a faire les recups de données.

 

Share this post


Link to post
Share on other sites

@jeanb Le but n'est pas de les déchiffrer (plutôt que décrypter) puisqu'il n'y a pas beaucoup de ransomware qui le sont pour le moment.

Mais surtout d'identifier le ransomware précisément. Comme ca de temps à autres, il faut se renseigner si la situation évolue.

Et si c'est le cas, en ayant gardé les fichiers dans un coin, ils seront alors récupérable.... peut être...

Share this post


Link to post
Share on other sites
Le 21/02/2020 à 10:28, Pyrithe a dit :

@jeanb Le but n'est pas de les déchiffrer (plutôt que décrypter) puisqu'il n'y a pas beaucoup de ransomware qui le sont pour le moment.

Mais surtout d'identifier le ransomware précisément. Comme ca de temps à autres, il faut se renseigner si la situation évolue.

Et si c'est le cas, en ayant gardé les fichiers dans un coin, ils seront alors récupérable.... peut être...

ok merci

Share this post


Link to post
Share on other sites

×
×
  • Create New...