Comment arrêter et supprimer en toute sécurité Pomoch Ransomware

Le ransomware Pomoch, une variante nouvellement identifiée de la famille de ransomwares MedusaLocker, représente une menace importante pour les entreprises du monde entier. Ce logiciel malveillant crypte les fichiers du système infecté, les rendant inaccessibles sans la clé de décryptage. Le ransomware ajoute une extension « .pomoch45 » aux noms de fichiers, ce qui facilite la détection des fichiers compromis. Par exemple, un fichier nommé « exemple.jpg » deviendrait « exemple.jpg.pomoch45 » après cryptage.

Une fois le processus de cryptage terminé, une demande de rançon intitulée « How_to_back_files.html » est créée. Cette note est spécifiquement conçue pour cibler les entreprises plutôt que les utilisateurs individuels, en utilisant une tactique connue sous le nom de double extorsion.

La demande de rançon et les tactiques d’extorsion

La demande de rançon délivrée par le ransomware Pomoch informe la victime que son réseau a été violé et que les fichiers ont été cryptés à l'aide d'une combinaison d'algorithmes cryptographiques RSA et AES. La note révèle en outre que des données sensibles et confidentielles ont été exfiltrées du réseau, ajoutant ainsi une pression supplémentaire sur la victime. Les attaquants exigent une rançon en échange de la clé de déchiffrement et menacent de divulguer les données volées si leurs demandes ne sont pas satisfaites.

Les victimes disposent d’un délai de 72 heures pour contacter les agresseurs. S’ils n’y parviennent pas, le montant de la rançon devrait augmenter. Les attaquants offrent une petite concession en permettant à la victime de décrypter jusqu'à trois fichiers non essentiels comme preuve de leur capacité à restaurer les données. Cependant, payer la rançon est risqué, car les victimes ne reçoivent souvent pas les outils de décryptage promis, même après avoir effectué le paiement.

La réalité des attaques de ransomwares

Notre vaste expérience des ransomwares a montré que le décryptage est rarement possible sans l'aide des attaquants, à moins que le ransomware ne soit mal conçu. Même dans les cas où la rançon est payée, rien ne garantit que les attaquants fourniront les clés de décryptage nécessaires. De plus, le paiement de la rançon ne fait qu’alimenter l’entreprise criminelle derrière ces attaques, les encourageant à continuer de cibler davantage de victimes.

La suppression du ransomware Pomoch du système arrêtera le cryptage ultérieur mais ne récupérera pas les fichiers déjà cryptés. La meilleure solution consiste à restaurer les données à partir d’une sauvegarde effectuée avant l’infection et stockée dans un emplacement sécurisé et séparé.

Prévenir les infections par ransomware

Pour vous protéger contre les ransomwares comme Pomoch, il est crucial d'adopter de solides pratiques de cybersécurité. Voici quelques recommandations clés :

1. Téléchargez uniquement à partir de sources fiables : assurez-vous de télécharger uniquement des logiciels et des fichiers à partir de sources officielles et vérifiées. Les téléchargements tiers contiennent souvent des logiciels malveillants cachés.
2. Soyez prudent avec les e-mails : méfiez-vous des e-mails non sollicités, en particulier ceux qui contiennent des pièces jointes ou des liens. Le phishing est une méthode courante utilisée pour propager des ransomwares.
3. Utilisez un logiciel de sécurité fiable : installez un programme antivirus fiable et maintenez-le à jour. Analysez régulièrement votre système à la recherche de menaces et supprimez rapidement tout problème détecté.
4. Effectuez des sauvegardes régulières : sauvegardez régulièrement vos données sur plusieurs emplacements, notamment sur des serveurs distants et des périphériques de stockage hors ligne. Cette pratique vous permet de récupérer vos fichiers même s'ils sont chiffrés par un ransomware.

Le ransomware Pomoch est une menace dangereuse et sophistiquée qui souligne l'importance de mesures de cybersécurité robustes. En restant vigilant et en suivant les meilleures pratiques, vous pouvez réduire considérablement le risque d'être victime de telles attaques. Si votre système a déjà été infecté, il est essentiel de supprimer immédiatement le ransomware et de consulter des professionnels de la cybersécurité pour atténuer les dommages supplémentaires.