Gérer une attaque par ransomware

SES Evolution protège les postes de travail de votre entreprise contre les attaques par ransomware. Il est capable de détecter les actions exécutées habituellement par les ransomware sur un système, telles que la modification ou le chiffrement de fichiers, et de les arrêter aussitôt. Si certains fichiers ont été chiffrés par le ransomware avant le blocage par SES Evolution, vous pouvez récupérer les données perdues en procédant à une remédiation.

ATTENTION
La création de clichés instantanés par SES Evolution ne remplace pas les sauvegardes régulières. Il est primordial de disposer d'une solution de sauvegarde dédiée en parallèle.

Prérequis

Pour pouvoir bloquer les attaques par ransomware, vous devez configurer SES Evolution comme suit :

Activez la protection Ransomware. Si vous utilisez les politiques Politique par défaut ou Protection des composants Backoffice, elle est activée par défaut dans le jeu de règles Protection anti-ransomware.
Activez les clichés instantanés Windows.
Optionnel : Interdisez l'exécution de commandes malveillantes visant notamment à supprimer les clichés instantanés. Utilisez pour cela le filtrage d'applications par arguments de ligne de commande. Si vous utilisez les politiques Politique par défaut ou Protection des composants Backoffice, elle est activée par défaut dans le jeu de règles Protection anti-ransomware.

Détecter une attaque par ransomware

Si vous avez activé la protection ransomware SES Evolution et choisi l'option Bloquer et interrompreou Bloquer, interrompre et mettre en quarantaine, chaque attaque par ransomware génère un log de niveau Alerte et un contexte:

"Le processus nom_processus a tenté d'effectuer une attaque par ransomware. Consultez la liste des fichiers chiffrés dans le fichier chemin_fichier."

Le log contient :

Le nom du processus responsable de l'attaque,
Le chemin du fichier de remédiation qui identifie tous les fichiers chiffrés par le ransomware avant son blocage. Ce dernier est conservé pendant 30 jours dans le dossier %PROGRAMDATA%\Stormshield\SES Evolution\Agent\Diagnostics\Ransomware Protection sur le poste de travail où est installé l'agent SES Evolution.
La liste des dix premiers fichiers chiffrés (dans le log détaillé).

Récupérer les données perdues

Si vous avez mis en place les prérequis, vous pouvez récupérer les données perdues à l'aide d'une tâche de remédiation. Elle permet de récupérer une version antérieure des fichiers perdus.

Stormshield recommande de récupérer les données dans les 5 jours car SES Evolution va continuer de créer des clichés instantanés quotidiennement après une attaque. Sachant que seuls les cinq derniers clichés sont conservés, les nouveaux clichés contenant des fichiers chiffrés vont écraser les clichés plus anciens.

Pour récupérer les données perdues :

Effectuez la procédure décrite dans la section Gérer les tâches de remédiation.
Lors de la création de la tâche, cochez les actions de type Récupérer les fichiers chiffrés par un ransomware.
Cliquez sur Démarrer la remédiation.
Le panneau Tâches manuelles s'affiche et SES Evolution procède à la récupération des fichiers chiffrés à partir des clichés instantanés Windows.
Une fois la tâche terminée, cliquez sur Détails pour visualiser les fichiers restaurés.
Dans l'explorateur Windows, vérifiez dans le dossier d'origine que les fichiers restaurés sont bien présents, sous leur nom initial. Les fichiers chiffrés sont également conservés avec une extension .bak.