36

Vos sauvegardes sont-elle protégées des ransomware ?

« Un quoi ? ransomware ? C’est quoi ce truc ? » C’est un rançongiciel ou logiciel de rançon. Pour simplifier c’est un virus qui au lieu de détruire vos données va les crypter et il va vous demander une rançon pour que vous puissiez a nouveau avoir accès a vos données. Vos sauvegardes sont-elles protégées ?

 

Introduction

J’ai eu l’idée d’écrire cet article suite à une remarque que nous faisait Joëlle Verbrugge sur Facebook. Joëlle nous parlait d’une sauvegarde déconnectée pour se protéger des ransomware. Personnellement je n’aime pas les sauvegardes déconnectées, car il faut penser à connecter l’unité de sauvegarde (DD externe par exemple) et donc souvent ce n’est pas régulier. Mais je me suis dit qu’il serait intéressant de regarder la chose plus en détail

Ma sauvegarde peut-elle impactée par un ransomware ?

Je vais prendre pour exemple mes photos. C’est des RAW qui sont sur mon Disque dur. Ensuite ils sont copiés vers mon NAS. Et le NAS les copie sur le cloud. Il n’y a pas de propagation de l’effacement. Si un fichier est effacé sur le disque dur, il ne sera pas effacé sur le NAS. C’est pareil pour le deuxième niveau. Si je me connecte au NAS et que j’efface un fichier directement sur le NAS, il ne sera pas effacé sur le cloud. Le problème c’est qu’un ransonware n’efface pas une donnée, mais la crypte.

Il existe différents types de ransomware. Certains s’attaquent à certains types de fichiers, à différent type de lecteurs réseau. Certains renomment vos fichiers, d’autre pas. Donc, imaginons qu’un ransomware s’attaque à mon ordinateur. Que va-t-il se passer ?

  • Dans un premier temps il va crypter les données sur mon disque dur. On va prendre un ransomware qui ne renomme pas mes fichiers, mais qui les crypte simplement. C’est le pire cas. Si un ransomware renommait, c’est comme un effacement et création d’un nouveau fichier et comme je ne propage pas l’effacement je n’aurais pas de problème. Mais là, il crypte juste en gardant le même nom. Si je m’en rends compte rapidement, et qu’il n’y a pas eu de sauvegarde entre temps, j’ai toujours une bonne version sur mon NAS. Oui ? En fait pas forcement
  • Dans un deuxième temps le ransomware va s’attaquer aux disques réseau. Donc à mon NAS. Je n’ai pas de disque réseau à proprement parler. J’accède à mon NAS via son adresse UNC « \\MonServeurNas\Mondossier\ », mais certains ransomware sont capables de retrouver cette info. Donc mon NAS peut être impacté. Que va-t-il se passer après.
  • Mon NAS va simplement se répliquer sur le cloud. Donc un fichier crypté ira remplacer le bon fichier sur le cloud et donc même ma copie sur le cloud va se retrouvée impactée. Comme la synchronisation vers le cloud n’est pas super rapide je ne perdrais pas tout, mais je serais en théorie impacté. Et j’ai été impacté, car je fais une copie et pas une sauvegarde. Je vous ai déjà alerté sur le risque d’une copie (Miroir)

Comment se protéger

Dans un premier temps il faut évidemment ne pas attraper le virus. Pour cela trois précautions simples

  • Avoir un antivirus à jour.
  • Ne pas ouvrir de pièce jointe contenue dans un mail dont vous ne connaissez pas l’émetteur. Et même si vous connaissez l’émetteur faites attention à la pièce jointe. Si c’est un fichier exécutable il ne faut pas l’ouvrir
  • Bien regarder l’adresse d’un lien avant de cliquer dessus. Si ça ne vous dit rien, n’y allez pas.

Ensuite comme le ransomware peut aller partout il faut faire une sauvegarde qu’il ne peut pas voir. Deux solutions

  • Faire comme le disait Joëlle avoir une sauvegarde sur un Disque dur qui n’est pas connecté en permanence. Je vous en parlais dans cet article par exemple. Personnellement je n’aime pas les sauvegardes qui dépendent du bon vouloir de l’utilisateur. Donc je préfère une autre solution
  • Faire une sauvegarde qui n’est pas visible par mon ordinateur. Et là, le NAS a des solutions. Chez Synologie il y a un programme, Hyper Backup, qui permet de sauver les données du NAS soit sur le DD interne soit sur un disque dur connecté au NAS soit sur le cloud, soit sur un autre NAS. Cette sauvegarde n’est visible que par le NAS et pas par mon PC. Donc si mon PC se retrouve infecté il ne verra pas cette sauvegarde. Pour information c’est une vraie sauvegarde journalière qui peut garder l’historique sur plusieurs années si je le souhaite. Donc même si je mets du temps à me rendre compte du problème je peux récupérer mes données du jour d’avant l’infection.

Conclusion

Pour qu’une sauvegarde soit efficace, elle doit prendre en compte les différents niveaux de défaillance possible. Si un disque dur tombe en panne, c’est un niveau de la chaîne qui disparaît, mais les autres niveaux de protection sont toujours là. Dans le cas du ransomware le problème se propage à plusieurs niveaux. C’est pour cela qu’il fait être un peu plus vigilant. Mais au fait. Ça va prendre un peu de place cette nouvelle sauvegarde ? Oui. Ce n’est pas pour rien que j’ai 8To dans mon NAS

 

36 Comments

  1. bonjour ,on peut peut-être sécuriser le disque dur en le masquant où en créant des dossiers masques où cache

    • Oui mais c’est très lourd à gérer, il faut rendre visibles le dossier, disque pour que les logiciels puissent y accéder. C’est plus une solution d’archivage que de sauvegarde. On peut supprimer la lettre d’un lecteur aussi, et y accéder quand même si on connait le chemin et en modifiant la base de registre mais là encore super lourd et certains logiciels ne sauront pas y accéder.

  2. Vos NAS sont ils cryptés ? Idem pour les fichiers dans le cloud ? Parce que trouver un login ce n’est pas super compliqué (une question de temps) si une fois craqué le malware ou pirate tombe sur des fichiers cryptés ça devient beaucoup plus chiant pour lui.

    • Un fichier reste un fichier non ? Même Cryptés le Malware considère que c’est un fichier et le re crypte non ? Je ne vois pas trop en quoi le cryptage d’un fichier empêche le malware d’agir.

      • non le ransomware ne pourra pas écrire dessus, un DISQUE crypté et non un fichier, interdit l’écriture sur totu le disque/partition.

      • Pour le cloud par contre à moisn d’avoir un espace à soi o nne peut pas crypter la partition, juste envoyés des fichiers cryptés, et là ça permet juste d’éviter la lecture de ses documents et ne protège pas contre un ransomware en effet,mais pour le moment les ransomwares ne vérolent pas les espace sur le cloud (login qui bloque).

      • Par contre il faut absolument un disque ou partition dédiés à la sauvegarde, car même si on crypte son disque d’amorçage, une fois actif l’OS sera vulnérable, les dll et autres fichiers de l’OS ne sont pas encrpyptées une fois l’OS lancée, et comme tu le dis la ransomware cryptera les fichiers en service ou décryptés. C’est juste uen couche de protection supplémentaire qui demande un peu de ressource CPU et d’accès au disque dur. Ca protège de mal de logiciels pour cracker un ordi au passage. Ca fait parti du kit de l’utilsateur moderne comme un AV,antimalware etc.
        On peut aussi crypter ses messages email, messengers etc.
        au passage je dis crypter mais il faut dire chiffrer pour être précis.
        Truecrypt est celui que j’utilise. Après ton article rappelle les bases essentielles c’est déjà très bien.

  3. Le coup des extensions c’est bien mais hélas loin d’être sûr, on peut glisser un ex dans un jpg avec la bonne extension, la taille du fichier devrait éveiller les soupçons mais là aussi avec un éditeur hexadécimal c’est simple de faire croire au PC que le fichier pèse quelques Ko au lieu de quelques Mo.
    Et puis il faut que l’utilisateur connaisse les extensions de fichiers, et ne les efface pas en modifiant le nom par exemple (le nombre de dépannage que j’effectue à cause de ça).

  4. Il n’y a malheureusement pas que les pièces jointes en .exe qui peuvent être des virus. La secrétaire d’une association que je côtoie a reçu récemment un courriel d’une personne qu’elle connaissait, mail accompagné d’une pièce jointe en .docx (Fichier Word). Celui-ci contenait un ransomware.
    Résultat : disque dur infecté ainsi que la sauvegarde sur un disque externe connecté…

  5. Et le NAS peut être infecté comme n’importe quel lecteur réseau qui remonte sur l’OS (windows et mac même si ils sont souvent juste des porteurs sains), au boulot nous avons eu 2 ransomwares et 11000 postes infecté, et 2 NAS sur 6 infectés (les autres sont isolés du réseau par des VLAN et autres subterfuges firewall et plages IP). Nous avons dû utiliser les backups sur des serveurs de secours. La seconde fois 8000 postes infectés en 4H et un seul NAS (celui accessibles à tous logique).
    Bref comme indiqué dans l’article, toujorus se méfier, ne pas cliquer sans savoir ce que l’on fait, la meilleure protection et aussi le plus gros point faible dans la chaîne c’est l’utilisateur.
    PEKBAC Problem Exists Between Keyboard And Chair 😀

      • Je ne pense pas que le fait d’utiliser hyper backup puisse te protéger car les volumes sont montés et accessibles.
        D4arlunar a raison sur ce point. Fait gaffe Oui Oui. Dans le doute, utilise au moins un volume déconnecté et une synchro ou tu puisses avoir un journal qui te liste les actions avant toute execution (synckback par exemple). Au moins tu sauve le maximum en cas d’attaque importante

  6. Excellent résumé ! Je rajoute un petit « truc » au niveau de la prévention (qui est encore le plus efficace):
    Dans l’option d’affichage des dossiers de Windows, pensez à décocher « Masquer les extensions des fichiers dont le type est connu » qui ne l’est pas par défaut !
    En effet, bon nombre de virus ou ransonware se propageant par mail, il suffit à un « tordu » de vous envoyer un mail avec en PJ une de ces saloperies baptisée par ex : fond-ecran.jpg.exe » et vous, vous allez voir affiché « fond-ecran.jpg ».
    Et là, il suffit d’un clic « malheureux » sur la PJ et c’est trop tard…Et sans oublier que parfois, ces virus ou assimilés prennent les adresses de vos contacts pour vous envoyer ces mails, donc « l’honnêteté » de l’expéditeur n’assure de rien…
    Donc, ce décochage prend 5 secondes et peut éviter de grosses tuiles ! Faut pas s’en priver !

  7. Le plus important dans tout ça c’est comment se protéger; je l’expliquai récemment à quelqu’un de débutant, en lui disant qu’il faut toujours avoir l’initiative.
    Par exemple: je reçois un mail de ouioui avec un lien sur son site.
    Si je clique sur le lien c’est ouioui qui a l’initiative de ce qui va suivre. (je lui ai fait confiance en lui laissant l’initiative, mais peut etre à tort)
    Si je ne clique pas sur le lien du mail, mais que je vais sur le site de ouioui puis recherche l’endroit ou son lien devait m’amener alors c’est moi qui a l’initiative. Si je ne trouve pas cet endroit alors tant pis. Sur les sites « sains » cette méthode fonctionne généralement bien.
    En procédant ainsi la plupart des attaques malveillantes sont évitées.

  8. j’ai hélas donné l’été dernier, nom du fichier infecté : invoice 2016, et comme je suis trésorier de plusieurs associations cela ne m’a pas choqué ,et c’était un Word. hélas à l’ouverture ; rien dedans (ça c’est facile à faire ) mais le mal était fait , on ne s’en aperçoit pas de suite c’est vicieux, Mais le lendemain à la mise en route du PC, j’ai mis un peu de temps à réaliser;une belle fenêtre rose indiquant; vosu fichiers sont cryptés, pour les débloquer veuillez………
    plus rien sur le DD du PC ni sur la clé USB qui était connectée à ce moment là . par contre comme j’étais en vacances , je m’étais connecté au NAS , mais impossible de me rappeler si c’était avant l’ouverture de la pièce, pendant, ou après …… là il y a un grand moment de solitude …… (heureusement j’avais un disque externe, avec la majorité des fichiers dans un tiroir à la maison) pourtan t il y a anti-virus à jour et antimalware , mais avec ce type de pièce c’est imparable.
    Au retour, petit moment d’angoisse quand il a fallu allumer le micro et aller voir le NAS , MAIS PAS LE CHOIX !!! ouf , tout était là !!!!!

    mais d’un seul coup mon écran change et j’ai la fenêtre qui s’affiche , tous vos fichiers sont cryptés etc, etc, je bondis couper le NAS en arrachant la prise , mais je réalise que j’ai une alim de secours , le temps de la couper ………………
    bon, plus d’informatique , là on se sent un peu perdu ….. j’emmène le tout dans une société informatique et je pars en voyage pro 5 jours . Appel de la société, le PC portable et la clé, rien de sauvable . par contre la tour et le NAS n’ont rien, là on respire mieux .
    la fenêtre apparu sur le micro fixe était due à la synchronisation de W10 entre les micros …..

    depuis il y a un 2ème disque externe de sauvegarde (qui ne sont branchés que le temps de la sauvegarde et pas en même temps) un reste à la maison et l’autre voyage avec moi.
    il faut juste maintenant que je cherche un système pour protéger le NAS

  9. Au passage les vecteurs poru se faire infecter son :
    -PJ messagerie
    – clé USB
    – liens frauduleux
    -et depuis quelques temps des sites le simple fait d’afficher le site suffit à se faire véroler surtout avec IE

  10. La seule solution viable contre les ransomwares, c’est de crypter son disque ou au moins la partition de sauvegarde. Certains antivirus propose de créer une partition dédiée, mais on peut le faire soi même avec des logiciels libres et gratuits. Le disque étant crypté le ransomware en pourra pas écrire dessus et donc ne pourra pas crypter lui même les fichiers.
    Sur un PC récent l’impact du cryptage est quasiment nul sur les performances. En plus le cryptage du disque empêche de faire sauter/modifier le mot de passe d el’OS, chose très simple à faire sur un windows avec une clé bootable linux et le petit logiciel qui va bien 😀
    Donc cryptage du disque/partition avec un mot de passe fort (au moins 10 caractères alphanumérique avec majuscules, minuscules, caractères spéciaux genre $*) »# et surtout ne pas mettre un mot/nom qui existe dans le langage et dico.

Laisser un commentaire