Quelques personnes mentionnent les sauvegardes comme solution aux ransomwares. Le ransomware fonctionne car la cible n'est pas préparée pour le résultat. Alors qu'un disque dur défaillant et un chiffrement de ransomware peuvent tous deux être "récupérés" via la restauration d'une sauvegarde sur un nouveau lecteur, le ransomware est parfois un malware qui s'exécute sur la machine elle-même. Dans tous les cas, la restauration à partir d'une sauvegarde externe ne supprimera pas le problème qui a permis aux attaquants d'accéder au système en premier lieu. Cela nécessite des contre-mesures telles que:
- des autorisations de sécurité élevées sur un système pour empêcher les chevaux de Troie
- des stratégies de sauvegarde à distance pour empêcher le chiffrement des sauvegardes connectées
- l'infiltration détection en cas de problème comme un ver
- mots de passe renforcés pour empêcher toute intrusion
Malheureusement, la plupart des utilisateurs d’ordinateurs n’ont pas mis en place ces contre-mesures.
Pour restaurer à partir d'un disque défectueux, effectuez simplement des sauvegardes sur un disque externe. En cas de panne d'unité, remplacez le disque et restaurez les volumes. Simple.
Pour récupérer à partir d'un ransomware, il faut du temps, des temps d'arrêt et une enquête pour déterminer si la machine a été compromise en raison:
- d'un compte utilisateur fonctionnant avec des autorisations qui l'étaient également élevé pour les besoins de l'utilisateur (utilisateur de bureau en tant qu'administrateur)
- une infection sur une autre machine ou un autre appareil qui a permis à un utilisateur de pivoter vers le système permettant l'infection (contrôleur de domaine infecté)
- un manque de sensibilisation à quelque chose comme une tentative d'hameçonnage dans un e-mail où l'utilisateur a cliqué sur quelque chose qu'il n'avait pas l'intention de faire (avec # 1)
- mots de passe très simples (si l'attaque était sur site)
- autorisations d'accès à distance à une machine avec un logiciel d'accès à distance comme LogMeIn ou Windows Remote Desktop
- un réseau non protégé par un pare-feu
- d'autres systèmes compromis comme les appareils IoT
Si le coût d'une enquête est élevé, il peut être moins cher de payer la rançon.
Remarque: le système / réseau doit encore être sécurisé avant et après une enquête, sinon la même attaque peut se reproduire.
Dans Dans certains cas, en activant le chiffrement sur un volume avec BitLocker où le volume n'était pas déjà chiffré, l'attaquant peut empêcher l'accès à l'ensemble du volume en bloquant l'utilisateur hors de son propre système. Dans ce cas, il s'agit d'une fonctionnalité Windows. Il n'y aurait aucune preuve que quoi que ce soit "installé" sur le système, mais plutôt une preuve d'intrusion si le système était configuré de telle manière que l'utilisateur compte pourrait être compromis à distance ou en personne avec l'insertion d'un appareil infecté.
En cas de panne de disque
Lorsqu'un disque tombe en panne, il vous suffit de remplacer le appareil car il s'agissait d'une panne physique. Si plusieurs disques échouent, il y a un problème avec le contrôleur. Vous pouvez seulement savoir si un disque est tombé en panne en le testant sur une machine différente si un nouveau disque présente les mêmes symptômes, ou si vous testez un nouveau disque dans la machine défaillante et que cela fonctionne, alors vous savez que le contrôleur fonctionne. Dans des situations comme un RAID où plusieurs disques fonctionnent ensemble, un disque défaillant peut supprimer d'autres disques, il existe donc un risque de défaillance systémique sur plusieurs périphériques. Pensez aux secteurs défectueux et à la corruption de fichiers sur un seul lecteur mis en miroir sur plusieurs copies sur un RAID. La panne de disque est généralement limitée à une seule machine, à l'exception des réseaux où les terminaux (clients légers) se connectent tous à un système central. Le remplacement d'un disque défectueux résout généralement le problème. Statistiquement, vous ne rencontrerez probablement pas le même problème à moins que le disque de remplacement n'ait été acheté au même moment et ne fasse partie de la même exécution du fournisseur, auquel cas il pourrait s'agir d'un défaut de fabrication d'une ligne de composants.
Ce n'est pas toujours une seule machine avec Ransomware
Certains ransomwares peuvent en fait crypter plus d'une machine sur un réseau. J'ai un client dont le serveur a été infecté et a permis au virus de se propager à plusieurs machines sur le réseau, puis le serveur et les postes de travail étaient tous verrouillés. Dans les cas où le serveur n'est peut-être pas infecté, mais agit en tant qu'hôte, cela peut provoquer des infections récurrentes sur les postes de travail qui se connectent aux fichiers infectés. Quoi qu'il en soit, le problème doit être résolu de manière systémique pour arrêter l'infection.
Si un disque dur d'un poste de travail meurt, il ne reproduit pas l'échec sur un réseau. Comparer les échecs de ransomware et de disque dur revient à comparer le cancer à un membre cassé; ils sont tous les deux débilitants.