400 Blvd Curé-Labelle, #304 Laval QC H7V 2S7 Canada
+1 450-681-3009

Ransomware détecté !

(Last Updated On: septembre 29, 2017)

Écrit par Phil Nussbaum

Nous avons été frappés !

hacked computerChez Les Services de Consultation Namtek, nous utilisons la même solution de continuité d’affaires QBR (Quick Backup Recovery) qui protège les actifs informatiques, les logiciels et le matériel informatique de nos clients afin de protéger nos 8 serveurs et de nombreux postes de travail. Nous le faisons parce que nous sommes conscients de la puissance de cette solution et nous sommes très confiants.

Un jeudi matin à 8 h 58, nous avons subi une attaque de ransomware, qui a abattu le serveur utilisé par nos programmeurs dont les sources codes des 14 années sont stockées. À ce moment-là, tous les dossiers importants de Namtek ont été chiffrés avec ransomware, rendant le tout complètement inaccessible.

Un nouveau fichier texte, qui a été ajouté dans le répertoire racine, présentait des instructions sur la façon de payer la rançon exigée pour obtenir un fichier décrypter afin de récupérer les données gelées ou cryptées.

encrypted dataEst-ce que ceci était une CATASTROPHE ? Pas pour nous ! Personne ici n’a remarqué.

Quelques clics, et le déploiement du BMR (Bare metal restore) est fait.

Le BMR (Bare metal restore) a restauré le système aux paramètres d’usine, et ensuite reconstitué l’intégralité de tous les lecteurs virtuels et physiques à la dernière sauvegarde. Dans notre cas, environ 350 Go, ont été sauvegardés automatiquement il y a 9 heures, à minuit. (QBR effectue des sauvegardes automatiques où l’intervalle de sauvegarde est défini par l’usager. Deux copies sont faites à chaque fois, une locale et l’autre hors site, dans le nuage).

Une fois que ce processus de restauration a été démarré, il n’y a rien à faire, sauf attendre qu’il soit complété. Il a fallu 80 minutes du début à la fin ; 10 minutes pour se rendre compte que nous avons été touchés et 70 minutes pour que le BMR (Bare metal restore) finisse.

Tout est passé à la normale et nous avons pu continuer comme si rien n’est jamais arrivé.

Important :

Même si vous payez la rançon et que vous obtenez le fichier de décryptage du crook de ransomware pour résoudre le problème, la logistique pourrait prendre des heures à compléter, au cours de laquelle les utilisateurs du système sont à l’arrêt, incapable de fonctionner dans l’absence de l’infrastructure informatique sur laquelle ils comptent jour après jour.

S’appuyer sur une sauvegarde de fichier est encore pire. Dites que vous avez une sauvegarde de tous les fichiers, des bases de données, etc. que vous avez sur votre serveur. Le ransomware a infecté les zones de système non incluses dans les sauvegardes de fichiers. Dans ce cas, un nouvel équipement de remplacement est nécessaire ou vous êtes malheureusement confronté à une longue réinitialisation manuelle et à la configuration de l’équipement actuel.

En tout cas, le temps d’arrêt est énorme, et les pertes peuvent être grandes. Ne courir pas le risque d’être touché !

 Votre meilleure solution est le Service de Continuité d’Affaire QBR propulsé par Datto, fourni par Les Services de Consultation Namtek.

 

Appelez-nous immédiatement au 450-681-3009 ou visitez-nous à Quick-Backup-Recovery.com

Vous pouvez même m’envoyer un courriel à sales@namtek.ca

Lire l’article original sur LinkedIn aujourd’hui par Phil Nussbaum

Related Posts