Ransomware et récupération de fichiers

Cette fois-ci, une page concernant la récupérations de fichiers après une attaque de Ransomware.
Notamment en ce qui concerne versions précédentes de fichiers de Windows.
Le cas observé est avec le ransomware Locky qui est le plus actif « Ransomware RSA-2048 and AES-128 ».
Les versions précédentes étaient le premier réflexe à avoir lorsque l’on a été attaqué par un ransomware… Mars 2016 : Windows infecté et tous les fichiers sont en .locky

Avant de commencer soyons clair sur une chose, ce qui est écrit ici n’est pas écrit dans le marbre pour l’éternité et n’est pas forcément vrai pour toutes les campagnes de Locky passé et à venir..

ransomware-logo

Shadow Copies et versions précédentes

Une explication concernant les Shadow Copies ou versions précédentes de fichiers.
Il s’agit d’une fonctionnalité introduite depuis Windows XP et améliorée sur Windows 7.

Les versions précédentes sont liées à la restauration du système.
En clair donc, si la restauration du système est activée, Windows créé des versions précédentes.
D’où l’intérêt d’activer la restauration du système sur Windows 8 et Windows 10, comme cela est indiqué sur cet article : Windows 10 : réactiver la restauration du système

Sur Windows 8, les versions précédentes sont aussi liés à l’historique des fichiers qui permet d’effectuer des sauvegardes de vos documents.

Le menu des versions précédentes est disponible par un clic droit sur un dossier ou fichier puis onglet versions précédentes.
La capture d’écran, montre la restauration du système désactivée sur Windows 10 alors que des versions précédentes sont disponibles car l’historique de fichiers est activé.
windows10_versions_precentes_recuperation_ransomware_locky

Sur Windows 8 et Windows 10, le menu des versions précédentes ne montrent pas les fichiers disponibles lorsque la restauration du système est activée.
Shadow Explorer permet, cependant, de récupérer ces copies.
shadow_explorer_restauration_versions_precedentes

Locky et les versions précédentes sur Windows 7

Sur un Windows 7, l’onglet versions précédentes..

version_precedente_avant_locky

On lance le ransomware Locky.versions_precedentes_apres_locky

Les versions précédentes sont supprimées et la restauration des fichiers chiffrés par le ransomware Locky n’est pas possible.versions_precedentes_apres_locky_2

Shadow Explorer peut lister encore les versions précédentes, si Windows n’a pas été redémarré.

locky_ransomware_shadow_explorer_windows7

Une fois que l’on a redémarré Windows…. Les shadow copies ont été supprimées.
locky_ransomware_shadow_explorer_windows7_2

Locky et les versions précédentes sur Windows 10

L’historique de fichiers est actif

Les versions précédentes sont disponibles à travers l’historique de fichiers.

windows10_versions_precentes_recuperation_ransomware_locky

J’ai aussi activé la synchronisation des documents sur OneDrive.windows10_versions_precentes_recuperation_ransomware_locky_2

On lance le ransomware Locky qui fait son boulot.. en chiffrant les fichiers et en changeant l’extension.
Ici l’extension mise est .thor qui va bien entendu changer dans le temps.

windows10_versions_precentes_recuperation_ransomware_locky_3

OneDrive synchronise avec les fichiers chiffrés par Locky.
Sans vraiment de grandes illusions, les services de stockage en ligne (Cloud) synchronisent les fichiers chiffrés par le ransomware.
Il est relativement difficile pour ces services de savoir si le chiffrement des fichiers a été effectué par l’utilisateur ou par un virus/malware.windows10_versions_precentes_recuperation_ransomware_locky_4 Plus problématique, si le support externe où les sauvegardes sont stockées et branchés au moment de l’exécution de Locky.
Les sauvegardes sont touchées.
windows10_versions_precentes_recuperation_ransomware_locky_5

Dans le cas où le support n’était pas branché.
L’onglet versions précédentes est vidé.
versions_precedentes_apres_locky_3

Il est toutefois possible de récupérer les sauvegardes à partir de l’explorateur de restauration de l’historique des fichiers :

versions_precedentes_apres_locky_4

Avec la restauration du système

Sans redémarrer les versions précédentes avec Shadow Explorer sont disponibles.

locky_ransomware_shadow_explorer_10

Après redémarrage, contrairement à Windows 7, elles sont toujours présentes.
Locky ne semble donc pas désactiver les versions précédentes pour Windows 10 (pour le moment).
locky_ransomware_shadow_explorer_10_2

Note…
Les tests ont été réalisés sans avoir eu besoin de désactiver Windows Defender, qui comme d’habitude, émet une alerte après que les fichiers aient été chiffrés.windows_defender_ransomware_locky_windows10

Recuva etc

Recuva et autres logiciels de récupération de fichiers supprimés ne peuvent récupérer les fichiers écrasés.
Ils peuvent s’avérer utile pour retrouver d’anciennes versions dans d’autres dossiers.

recuva_recuperation_ransomware_2 recuva_recuperation_ransomware

Conclusion

Sans réelle surprise tout est mis en oeuvre pour empêcher la récupération de fichiers.
Windows 10 semble pour le moment épargné et la récupération par Shadow Explorer est possible moyennant que la restauration du système soit active sur Windows 10.
Les chances pour que la restauration du système soit active sur les autres partitions C, sont faibles.
Pour ceux qui mettent leurs documents sur une autre partition que le C.

Dans tous les cas, testez Shadow Explorer, ça ne prend pas énormément de temps et vous serez fixé.

Une ressources de récupérations de fichiers chiffrés par des ransomwares : Outils de décryptage (Decrypt Tools Ransomware)

(Visité 356 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet