Gérer une attaque par ransomware
SES Evolution protège les postes de travail de votre entreprise contre les attaques par ransomware. Il est capable de détecter les actions exécutées habituellement par les ransomware sur un système, telles que la modification ou le chiffrement de fichiers, et de les arrêter aussitôt. Si un poste de travail fait l'objet d'une attaque, les logs SES Evolution vous permettent de détecter si certains fichiers ont été chiffrés et lesquels. La procédure ci-dessous indique comment récupérer les données perdues.
ATTENTION
La création de clichés instantanés par SES Evolution ne remplace pas les sauvegardes régulières. Il est primordial de disposer d'une solution de sauvegarde dédiée en parallèle.
Pré-requis
Pour pouvoir bloquer les attaques par ransomware, vous devez configurer SES Evolution comme suit :
- Activez la protection Ransomware. Si vous utilisez les politiques Politique par défaut ou Protection des composants Backoffice, elle est activée par défaut dans le jeu de règles Protection anti-ransomware.
- Activez les clichés instantanés Windows.
- Optionnel : Interdisez l'exécution de commandes malveillantes visant notamment à supprimer les clichés instantanés. Utilisez pour cela le filtrage d'applications par arguments de ligne de commande. Si vous utilisez les politiques Politique par défaut ou Protection des composants Backoffice, elle est activée par défaut dans le jeu de règles Protection anti-ransomware.
Détecter une attaque par ransomware
Si vous avez activé la protection ransomware SES Evolution et choisi l'option Bloquer et interrompre, chaque attaque par ransomware génère un log de niveau Alerte et un incident :
"Le processus nom_processus a tenté d'effectuer une attaque par ransomware. Consultez la liste des fichiers chiffrés dans le fichier chemin_fichier."
Le log contient :
- Le nom du processus responsable de l'attaque,
- Le chemin du fichier de remédiation qui identifie tous les fichiers chiffrés par le ransomware avant son blocage. Ce dernier est conservé pendant 30 jours dans le dossier %PROGRAMDATA%\Stormshield\SES Evolution\Agent\Diagnostics\Ransomware Protection.
- La liste des dix premiers fichiers chiffrés (dans le log détaillé).
Récupérer les données perdues
Si vous avez mis en place les pré-requis, vous pouvez récupérer les données perdues à l'aide de l'utilitaire ShadowCopyExpose développé par Stormshield. Il permet d'afficher le contenu des clichés instantanés sur un poste de travail et de récupérer une version antérieure des fichiers perdus.
Stormshield recommande de récupérer les données dans les 5 jours car SES Evolution va continuer de créer des clichés instantanés quotidiennement après une attaque. Sachant que seuls les cinq derniers clichés sont conservés, les nouveaux clichés contenant des fichiers chiffrés vont écraser les clichés plus anciens.
Pour récupérer les données perdues :
-
Ouvrez le fichier de remédiation correspondant à la date et l'heure de l'attaque. Il contient le nom et l'emplacement de tous les fichiers chiffrés par le ransomware.
-
Téléchargez l'utilitaire ShadowCopyExpose.exe depuis votre Espace Client. Vous le trouverez dans le menu Téléchargements > Téléchargements, puis dans Stormshield Endpoint Security Evolution > Evolution > Tools > Ransomware remediation tool.
-
Sur le poste de travail ayant subi l'attaque par ransomware, dans une fenêtre de commandes Windows ou Powershell, rendez-vous dans le dossier où vous avez téléchargé l'utilitaire.
-
Exécutez la commande suivante en tant qu'administrateur :
ShadowCopyExpose.exe --list
La liste des clichés instantanés du poste de travail s'affiche.
-
À l'aide de la date de création (Timestamp), identifiez le dernier cliché instantané antérieur à l'attaque et copiez son GUID, y compris les accolades.
-
Affichez le contenu du cliché instantané dans un lecteur non utilisé en exécutant la commande :
ShadowCopyExpose.exe --expose "{GUID}" lettre_lecteur
EXEMPLE
ShadowCopyExpose.exe --expose "{12A8B00F-E89F-44E7-BC30-DC85CAC470A2}" R:- ou -
Affichez le contenu du cliché instantané dans un dossier vide existant en exécutant la commande :
ShadowCopyExpose.exe --expose "{GUID}" chemin_dossier
EXEMPLE
ShadowCopyExpose.exe --expose "{12A8B00F-E89F-44E7-BC30-DC85CAC470A2}" C:\RecoveryLe contenu du cliché instantané s'affiche dans le lecteur ou le dossier.
-
A l'aide du fichier de remédiation, identifiez les fichiers ayant été chiffrés et récupérez-les via l'Explorateur Windows dans le lecteur ou le dossier spécifié.
-
Arrêtez l'affichage du cliché instantané en exécutant la commande :
ShadowCopyExpose.exe --unexpose "{GUID}"
Le tableau ci-dessous énumère tous les paramètres de l'utilitaire ShadowCopyExpose :
| Paramètre | Description |
|---|---|
| --list |
Liste les clichés instantanés dont le contenu est affichable sur le système de fichiers. Tous les clichés créés par SES Evolution sont affichables et apparaissent donc dans cette liste. |
| --list -v | Affiche des informations supplémentaires sur les clichés instantanés. |
| --list -a | Énumère tous les clichés instantanés présents sur le système, y compris ceux qui ne sont pas affichables sur le système de fichiers. |
| --expose {GUID} lettre_lecteur|chemin_dossier |
Affiche le contenu du cliché instantané identifié par son GUID dans le lecteur ou le dossier vide spécifié. |
| --unexpose |
Arrête l'affichage du cliché instantané. Le contenu d'un cliché instantané ne peut être affiché qu'à un seul endroit en même temps. S'il est déjà affiché dans un lecteur, vous devez d'abord arrêter l'affichage avant de pouvoir le faire dans un répertoire vide par exemple. |
| --help | Affiche l'aide. |
| --readme | Affiche la documentation de l'utilitaire. |