Vous téléchargez depuis Internet un fichier que vous cherchiez depuis longtemps, vous le décompressez, vous l’analysez avec l’antivirus et, enfin, vous décidez de l’exécuter. Il ne se passe rien. Toujours rien ne se passe. Et tout d’un coup, vous voyez comment vos fichiers disparaissent et seul un fichier texte reste sur le bureau. Tu l’ouvres et tu trouves que vous avez été victime d’un ransomware. Comment est-ce possible, si j’avais mon antivirus en cours d’exécution ?
Les rançongiciels ne sont pas comme les virus normaux. Les pirates ont créé ces menaces afin qu’elles ne soient pas détectées par la plupart des antivirus. Son fonctionnement, dans les grandes lignes, est le suivant : on télécharge un script inoffensif, qui ne déclenche pas d’alertes antivirus, dont la fonction est de télécharger un exploit qui lui permet soit d’obtenir des autorisations dans Windows, soit de désactiver les mesures de sécurité de notre programme de sécurité .
Une fois qu’il atteint son objectif, il exécute un autre script, qui est chargé de télécharger le ransomware en question et de l’exécuter sur notre ordinateur, réalisant la catastrophe. Lorsque ce logiciel malveillant est exécuté, tous les fichiers que nous avons sur l’ordinateur sont cryptés, étant inaccessible. Nous n’aurons qu’un fichier texte sur le bureau, qui indiquera le montant d’argent que nous devons payer pour pouvoir récupérer les fichiers ou, sinon, nous les perdrons pour toujours. Spoiler : même si nous payons, nous ne les récupérerons pas.
Alors, comment puis-je me protéger de cette menace ? L’essentiel est de faire preuve de bon sens et de ne jamais exécuter de fichiers sans être sûr à 100% qu’ils sont légitimes. Et les copies de sauvegarde nous aident afin que, au cas où nous devions être infectés, nous puissions récupérer. Mais, si tout cela ne suffit pas, l’antivirus Windows lui-même dispose d’une couche de protection contre les ransomwares, mais nous devons l’activer manuellement.
Activer l’anti-ransomware Windows
Pour activer cette fonction de sécurité, la première chose à faire est d’ouvrir la fenêtre de configuration de l’antivirus Windows. Une fois dedans, nous sélectionnons la section « Antivirus et protection contre les menaces », et sélectionnons l’option « Protection contre les ransomwares », en bas.
Une fois ici, nous arriverons à la section de configuration de ce bouclier. Et nous trouverons deux sections. Le premier d’entre eux est celui de «Contrôler l’accès aux dossiers“, qui nous permet de protéger nos fichiers, dossiers et zones de la mémoire de l’appareil pour empêcher les modifications non autorisées par des applications malveillantes.
Lorsque nous activons cette option (désactivée par défaut), nous obtenons que l’antivirus se charge de surveiller les dossiers dans lesquels nous stockons nos fichiers les plus importants et bloque toute modification non autorisée de ceux-ci. Par exemple, si nous protégeons notre dossier photo et que le rançongiciel essaie de chiffrer ou de supprimer l’un d’eux, il sera automatiquement bloqué.
Nous pouvons également voir l’historique des blocages, pour savoir si quelque chose a essayé de modifier ces dossiers sans autorisation, et ajouter une série d’applications à la liste des applications de confiance afin que ces programmes puissent modifier les fichiers.
La deuxième option est « Récupération de données suite à une attaque de ransomware«. Si nous avons OneDrive activé et que le ransomware attaque les fichiers stockés dans le cloud, grâce à cette option, nous pouvons récupérer les fichiers grâce au versionnage des modifications que Microsoft enregistre dans son cloud.