Récupérer à la suite d’une attaque par ransomware dans Microsoft 365

S’applique à

Même si vous prenez toutes les précautions pour protéger votre organisation, vous pouvez toujours être victime d’une attaque par ransomware . Ransomware est une grande entreprise, et dans le paysage des menaces d’aujourd’hui Microsoft 365 est une cible de plus en plus pour les attaques sophistiquées.

Les étapes décrites dans cet article vous donneront la meilleure chance de récupérer des données et d’arrêter la propagation interne de l’infection. Avant de commencer, prenez en compte les éléments suivants :

  • Il n’y a aucune garantie que le paiement de la rançon renverra l’accès à vos fichiers. En fait, payer la rançon peut vous faire une cible pour plus de ransomware.

    Si vous avez déjà payé, mais que vous avez récupéré sans utiliser la solution de l’attaquant, contactez votre banque pour voir s’il peut bloquer la transaction.

    Nous vous recommandons également de signaler l’attaque par ransomware à l’application de la loi, aux sites web de création de rapports d’escroquerie et à Microsoft, comme décrit plus loin dans cet article.

  • Il est important que vous répondiez rapidement à l’attaque et à ses conséquences. Plus vous attendez longtemps, moins il est probable que vous puissiez récupérer les données affectées.

Étape 1 : Vérifier vos sauvegardes

Si vous disposez de sauvegardes hors connexion, vous pouvez probablement restaurer les données chiffrées après avoir supprimé la charge utile de ransomware (programme malveillant) de votre environnement et après avoir vérifié qu’il n’y a pas d’accès non autorisé dans vos environnements Microsoft 365.

Si vous n’avez pas de sauvegardes ou si vos sauvegardes ont également été affectées par le ransomware, vous pouvez ignorer cette étape.

Étape 2 : Désactiver Exchange ActiveSync et Synchronisation OneDrive

Le point clé ici est d’arrêter la propagation du chiffrement des données par le ransomware.

Si vous pensez que le courrier électronique est une cible du chiffrement de ransomware, désactivez temporairement l’accès utilisateur aux boîtes aux lettres. Exchange ActiveSync synchronise les données entre les appareils et les boîtes aux lettres Exchange Online.

Pour désactiver Exchange ActiveSync pour une boîte aux lettres, consultez Comment désactiver Exchange ActiveSync pour les utilisateurs dans Exchange Online.

Pour désactiver d’autres types d’accès à une boîte aux lettres, consultez :

La suspension de Synchronisation OneDrive vous aidera à protéger vos données cloud contre la mise à jour par des appareils potentiellement infectés. Pour plus d’informations, consultez Comment suspendre et reprendre la synchronisation dans OneDrive.

Étape 3 : Supprimer le programme malveillant des appareils affectés

Exécutez une analyse antivirus complète et actuelle sur tous les ordinateurs et appareils suspectés pour détecter et supprimer la charge utile associée au ransomware.

N’oubliez pas d’analyser les appareils qui synchronisent des données ou les cibles des lecteurs réseau mappés.

Vous pouvez utiliser Windows Defender ou (pour les clients plus anciens) Microsoft Security Essentials.

Une alternative qui vous aidera également à supprimer les ransomware ou les programmes malveillants est l’outil de suppression de logiciels malveillants (MSRT).

Si ces options ne fonctionnent pas, vous pouvez essayer Windows Defender hors connexion ou résoudre les problèmes liés à la détection et à la suppression de programmes malveillants.

Étape 4 : Récupérer des fichiers sur un ordinateur ou un appareil nettoyé

Une fois que vous avez terminé l’étape précédente pour supprimer la charge utile de ransomware de votre environnement (ce qui empêchera le ransomware de chiffrer ou de supprimer vos fichiers), vous pouvez utiliser Historique des fichiers dans Windows 11, Windows 10, Windows 8.1 et en utilisant la protection système dans Windows 7 pour tenter de récupérer vos fichiers et dossiers locaux.

Remarques :

  • Certains ransomware chiffrent ou suppriment également les versions de sauvegarde. Vous ne pouvez donc pas utiliser Historique des fichiers ou System Protection pour restaurer des fichiers. Si cela se produit, vous devez utiliser des sauvegardes sur des lecteurs externes ou des appareils qui n’ont pas été affectés par le ransomware ou OneDrive comme décrit dans la section suivante.

  • Si un dossier est synchronisé avec OneDrive et que vous n’utilisez pas la dernière version de Windows, il peut y avoir certaines limitations à l’aide de Historique des fichiers.

Étape 5 : Récupérer vos fichiers dans votre OneDrive Entreprise

La restauration de fichiers dans OneDrive Entreprise vous permet de restaurer l’intégralité de votre OneDrive à un point antérieur dans le temps au cours des 30 derniers jours. Pour plus dʼinformations, voir Restaurer votre espace OneDrive.

Étape 6 : Récupérer les e-mails supprimés

Dans les rares cas où le ransomware a supprimé tous vos e-mails, vous pouvez probablement récupérer les éléments supprimés. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Étape 7 : Réactiver Exchange ActiveSync et Synchronisation OneDrive

Une fois que vous avez nettoyé vos ordinateurs et appareils et récupéré vos données, vous pouvez réactiver Exchange ActiveSync et Synchronisation OneDrive que vous avez précédemment désactivés à l’étape 2.

Étape 8 (facultatif) : Bloquer les Synchronisation OneDrive pour des extensions de fichier spécifiques

Une fois que vous avez récupéré, vous pouvez empêcher OneDrive Entreprise clients de synchroniser les types de fichiers affectés par ce ransomware. Pour plus d’informations, consultez Set-SPOTenantSyncClientRestriction

Signaler l’attaque

Contacter l’application de la loi

Vous devez contacter vos organismes d’application de la loi locaux ou fédéraux. Par exemple, si vous êtes dans le États-Unis vous pouvez contacter le bureau local du FBI, IC3 ou secret service.

Envoyer un rapport sur le site web de signalement d’escroquerie de votre pays

Les sites web de création de rapports d’escroquerie fournissent des informations sur la façon de prévenir et d’éviter les escroqueries. Ils fournissent également des mécanismes pour signaler si vous avez été victime d’escroquerie.

Si votre pays n’est pas répertorié, demandez à vos organismes d’application de la loi locaux ou fédéraux.

Envoyer des e-mails à Microsoft

Vous pouvez signaler des messages d’hameçonnage qui contiennent des ransomware à l’aide de l’une des plusieurs méthodes. Pour plus d’informations, voir Signaler des messages et des fichiers à Microsoft.

Ressources supplémentaires sur les rançongiciels

Informations clés de Microsoft :

Microsoft 365 :

Microsoft 365 Defender :

Microsoft Azure :

Microsoft Defender for Cloud Apps :

Billets de blog de l’équipe de sécurité Microsoft :