Après avoir précédemment fait le point sur la marche à suivre pour supprimer un ransomware dans une première partie, voici maintenant la marche à suivre pour récupérer des fichiers cachés et cryptés. Le temps est maintenant de réparer les dégâts causés par ces satanés malwares. Avec un peu de chance, le logiciel malveillant ayant infecté le PC n’a pas crypté les données. Et si certaines données ne sont plus visibles, c’est peut-être parce que le malware a caché les icônes, les raccourcis et les fichiers. Pour cela, il se débrouille simplement pour masquer les fichiers.
Voici comment le savoir, en fonction de la version du système Windows :
Sous Windows 7
1 - Ouvrir « Ordinateur » ou « Computer ».
2 - Appuyer sur la touche « Alt » et sélectionner « Outils ».
3 - Cliquer sur « Options dossiers » et sélectionner l'onglet « Affichage ».
4 - Sélectionner « Afficher les fichiers, les dossiers et les disques cachés », puis cliquer sur OK.
Sous Windows 8, 8.1 et 10
1 - Ouvrir une fenêtre « Explorateur de fichiers » de Windows.
2 - Sélectionner l'onglet « Affichage » dans le volet supérieur.
3 - Vérifier les objets cachés.
Si les données réapparaissent après avoir choisi l’option « Afficher les fichiers cachés », c’est que le problème sera facile à résoudre. Dans ce cas, il faut ouvrir « Computer » ou « Explorateur de fichiers », accéder à « C:\Users\ » et ouvrir le dossier du compte Windows. Ensuite, cliquer avec le bouton droit de la souris sur chaque dossier caché, ouvrir « Propriétés », décocher l'attribut caché, puis cliquer sur OK. Et tout revient dans l’ordre.
Par contre, si les données ne réapparaissent toujours pas, et si les fichiers ont été effectivement cryptés par des logiciels malveillants, le problème est un peu plus sérieux. Normalement, il n'est pas possible de décrypter ou de déverrouiller les fichiers pris en otages, parce que la clé de décryptage est le plus souvent stockée sur le serveur du pirate. Si dans certains cas, le pirate tient sa promesse, c’est-à-dire qu’il envoie bien la clef de décryptage une fois le paiement de la rançon, notre confrère, comme de nombreux spécialistes de la sécurité, recommande de ne pas payer et conseille plutôt de sauvegarder régulièrement ses données.
La sauvegarde, encore la sauvegarde, toujours la sauvegarde
Pour ceux qui ont déjà configuré et créé des sauvegardes, il recommande si possible de scanner les virus sur un autre PC (non infecté). Quand tous les fichiers importants ont été sauvegardés, il conseille de supprimer les malwares et de restaurer les fichiers sauvegardés.
Ceux qui ne disposent pas de système de sauvegarde peuvent encore essayer de récupérer certains fichiers à partir des copies de volume masquées « Shadow Volume Copies », si le logiciel malveillant ne les a pas supprimés. Shadow Volume Copies est un élément de la fonction de restauration du système Windows. Il faut soit cliquer avec le bouton droit de la souris sur les fichiers ou les dossiers que l’on souhaite restaurer et ouvrir « Propriétés » pour afficher la liste des versions précédentes, soit utiliser un programme appelé Shadow Explorer pour parcourir les instantanés.
Mais, mieux vaut ne pas compter pas cette ultime solution. La meilleure chose à faire est de sauvegarder ses données dès maintenant, si ce n’est pas déjà fait, et d’automatiser les sauvegardes afin d’avoir une version la plus à jour possible de ses données.
Empêcher les intrusions de ransomwares et de malwares
Les méthodes pour se protéger contre les ransomwares sont exactement les mêmes que celles qui protègent contre les malwares. Il faut toujours utiliser un bon antivirus et tenir à jour Windows et les composants liés au navigateur (Java, Adobe, etc.). Il faut aussi nettoyer régulièrement le navigateur, en supprimant les barres d'outils et les add-ons suspects afin d’éviter les invasions par des adwares, source d’infections malveillantes. Enfin, il faut se méfier des pièces jointes d’origine inconnue et du spam. Et, on ne le répètera jamais assez : encore une fois, se doter d’un bon système de sauvegarde, au cas où le PC serait infecté et quand aucune solution de récupération ne permet de restaurer les fichiers.
N'hésitez pas non plus à vous rendre sur le site nomoreransom.org qui prodigue conseils, informations pratiques et outils pour se défaire des ransomwares.
La qualité informative de cet article pour un professionnel reste discutable mais que vous ignoriez que le terme "crypter" n'existe pas... C'est effarant. On ne crypte pas, on chiffre. Et on déchiffre aussi. Même si on peut tenter de décrypter quand on ne possède pas la clé.
Signaler un abus