Les experts en sécurité ne recommandent pas aux utilisateurs de redémarrer leur ordinateur après avoir été infecté par un ransomware, car cela pourrait aider le malware à faire le travail dans certaines circonstances.
Les experts recommandent plutôt aux victimes de mettre l’ordinateur hors tension, de le déconnecter de leur réseau et de faire appel à une entreprise spécialisée pour prendre en charge la machine.
Les experts recommandent de ne pas redémarrer l’ordinateur parce qu’une récente enquête menée auprès de 1 180 adultes américains qui ont été victimes d’un ransomware au cours des dernières années a montré que près de 30 % des victimes ont choisi de redémarrer leur ordinateur pour lutter contre cette infection.
Les dangers du redémarrage en mode sans échec
Mais bien que le redémarrage en mode sans échec soit un bon moyen de supprimer les anciens types de ransomware, il n’est pas recommandé lorsqu’il s’agit de versions modernes de logiciels de rançongiciels qui chiffrent les fichiers.
“Généralement, l’exécutable [le ransomware] qui chiffre vos données est conçu pour parcourir les disques de stockage en réseau sur une machine donnée. Parfois, il se bloque à cause d’un problème d’autorisation et cesse de chiffrer” a déclaré Bill Siegel, PDG et cofondateur de Coveware, une société qui fournit des services de récupération de données, dans un courriel à ZDNet cette semaine.
“Si vous redémarrez la machine, elle redémarrera et tentera de terminer le travail” dit Siegel. “Une machine partiellement chiffrée n’est que partiellement chiffrée en raison d’une erreur ou d’un problème, donc les victimes devraient en profiter et NE PAS laisser le malware terminer son travail…ne redémarrez pas !”
Deux étapes à suivre
Siegel a dit à ZDNet que ces conseils s’appliquent aussi bien aux entreprises qu’aux particuliers. De plus, les victimes d’une demande de rançon doivent également prendre note qu’elles doivent passer par deux étapes d’un processus de récupération de la demande de rançon.
La première est de trouver les artefacts du logiciel de ransomware — tels que les processus et les mécanismes de persistance de démarrage — et de les supprimer d’un hôte infecté. La deuxième est de restaurer les données si un mécanisme de sauvegarde est disponible.
Siegel prévient que lorsque les entreprises sautent la première étape, le redémarrage de l’ordinateur redémarre souvent le processus du logiciel de ransomware et finit par chiffrer les fichiers récemment restaurés, ce qui signifie que les victimes devront recommencer à zéro le processus de récupération des données.
Dans le cas des entreprises, cela augmente le temps d’arrêt et coûte de l’argent. Pour en savoir plus sur la gestion des attaques de ransomware, vous pouvez consulter le guide d’Emsisoft sur la façon de les supprimer et le guide Coveware sur la gestion des attaques par rançon.
Article “Experts: Don’t reboot your computer after you’ve been infected with ransomware” traduit et adapté par ZDNet.fr
Comments