Que faire après avoir été infecté par un ransomware ?

La première chose à faire est de déconnecter sa machine du réseau, pas en débranchant le câble réseau, mais en passant par le panneau de configuration.

Mieux vaut prévenir que guérir ! C’est pour cette raison que bon nombre d’organisations investissent dans des antivirus pour se protéger des attaques de logiciels malveillants. Ces antivirus permettent d’assurer les applications installées sur les ordinateurs des employés, même si ces derniers sont infectés.

Cependant, dans bon nombre d’organisations, les employés ont pour réflexe de déconnecter le câble réseau de leurs ordinateurs en cas d’attaque pour éviter que le virus se propage vers d’autres machines sur le réseau. Ainsi, ces organisations s’appuient sur des processus d’assainissement manuels croyant permettre à l’utilisateur lésé de pouvoir de nouveaux recourir à ses applications métiers, le plus rapidement possible après l’attaque.

Néanmoins, un problème réside : si une machine est déconnectée manuellement du réseau, la machine ne peut plus être gérée à distance par la DSI. Un employé doit se rendre physiquement auprès de la machine pour la réparer, ce qui ne permet pas de connaître l’état de restauration de la machine.

Gestion à distance, les process qui sauvent

En effet, la première chose à faire est de déconnecter sa machine du réseau, pas en débranchant le câble réseau, mais en passant par le panneau de configuration. Pour cela il faut sélectionner l’outil « centre de réseaux et partage » puis cliquer sur le bouton « se déconnecter ». Ainsi, l’intrus ne pourra plus avoir le contrôle sur cet ordinateur.

Ensuite, s’il est jugé nécessaire par la DSI, un antivirus tiers peut être installé sur la machine pour obtenir un deuxième essai. La DSI reçoit simultanément le nom des différentes applications installées dans la machine et toutes les informations enregistrées dans la base de données centrale de l’entreprise.

Par ailleurs, les documents de l’utilisateur sont sauvegardés automatiquement et conservés s’ils sont protégés par une solution de sécurisation des terminaux. Ils ne pourront donc pas être cryptés par le malware.

Une machine isolée, mais toujours connectée

Bien que l’ordinateur soit isolé du réseau, il peut toujours être géré à distance par la DSI. L’administrateur système met en lumière l’état de la machine en temps réel et permet à la DSI d’en prendre connaissance à distance pour ainsi déterminer les étapes à suivre.

En fonction de l’avancement de la restauration système, l’administrateur système peut décider de reconnecter la machine au réseau. En effet, une solution automatisée saura analyser un problème et y remédier. En un clic, l'administrateur peut rétablir la liaison avec la machine à distance, réinstaller tous les paramètres et applications de l'utilisateur et copier tous les documents sauvegardés. Ainsi, les processus automatisés permettent de mieux appréhender les attaques.