Scribd
Importer
34 vues3 pages

TP Ransomware

Transféré par

philipherndon991
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
34 vues3 pages

TP Ransomware

Transféré par

philipherndon991
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

TP : Investigation Numérique et Réponse à

un Ransomware
🎯 Objectifs :
 Apprendre à détecter et analyser un ransomware sur un système compromis.
 Identifier les fichiers affectés, les processus suspects et les traces laissées.
 Mettre en place une stratégie de réponse et de récupération des fichiers.

🔍 Partie 1 : Infection et Détection d’un Ransomware


(Environnement de Test)
💡 Précautions :

 Ne jamais tester un vrai ransomware sur une machine réelle !


 Utiliser une machine virtuelle Windows 7/10 isolée et déconnectée d’Internet.

1. Mise en place de l’environnement

 Installer Windows 10 non mis à jour sur VirtualBox ou VMware.


 Désactiver l’antivirus Windows Defender dans la VM.

2. Infection Simulée (avec RanSim)

 Télécharger RanSim de KnowBe4 (simulateur de ransomware sécurisé).


 Lancer RanSim et exécuter un test d’infection.
 Observer le comportement du ransomware (modifications de fichiers, alertes système).

3. Analyse des Changements

Utiliser ces outils pour voir les effets du ransomware :

 Process Explorer : Identifier les processus suspects.


 Wireshark : Capturer le trafic réseau pour voir si le ransomware communique avec un
serveur.
 Sysinternals Autoruns : Vérifier les programmes lancés au démarrage.

Partie 2 : Investigation Forensique du Ransomware


1. Identifier les fichiers modifiés
 Lister les fichiers chiffrés avec PowerShell :

Get-ChildItem -Path "C:\Users\test\Documents" -Recurse | Where-Object


{$_.Extension -eq ".locked"}

 Vérifier la présence d'une note de rançon (README.txt, DECRYPT_ME.html).

2. Analyser les processus du ransomware

 Lancer Process Explorer et repérer les processus inconnus.


 Vérifier les connexions réseau avec netstat :

netstat -ano | findstr :443

→ Chercher des connexions à des adresses IP suspectes.

3. Déterminer le type de chiffrement utilisé

 Ouvrir la note de rançon :


o Contient-elle un ID unique ou une adresse Bitcoin ?
o Mentionne-t-elle un site Tor pour le paiement ?
 Vérifier sur nomoreransom.org si une clé de déchiffrement est disponible.

Partie 3 : Réponse et Récupération des Données


1. Isoler et stopper l’attaque

 Déconnecter la machine du réseau immédiatement.


 Terminer les processus du ransomware avec Task Manager ou taskkill :

taskkill /F /IM ransomware.exe

2. Restaurer les fichiers chiffrés

 Vérifier si Windows Shadow Copies est activé :

vssadmin list shadows

Si oui, restaurer les fichiers :

vssadmin restore shadows /for=C:

 Utiliser un outil de récupération comme Recuva si les fichiers ont été supprimés.

3. Supprimer le ransomware

 Scanner le système avec Malwarebytes ou Windows Defender Offline Scan.


 Vérifier les fichiers de démarrage avec Autoruns et supprimer les entrées
malveillantes.

📄 Partie 4 : Rapport et Stratégie de Protection


Après l’analyse, rédiger un rapport d’investigation avec :

1. Résumé de l’attaque (ransomware utilisé, impact).


2. Méthodes de détection (processus suspects, fichiers modifiés, trafic réseau).
3. Stratégie de réponse (isolation, suppression du ransomware, récupération).
4. Moyens de prévention :
o Activer les sauvegardes automatiques.
o Restreindre les permissions des utilisateurs.
o Bloquer les macros et les scripts non signés.
o Déployer un EDR (Endpoint Detection & Response) pour surveiller les
comportements suspects.

💡 Durée Estimée du TP
 Partie 1 : Infection et Détection → 1h - 1h30
 Partie 2 : Investigation Forensique → 1h
 Partie 3 : Réponse et Récupération → 45 min - 1h
 Partie 4 : Rapport et Discussion → 30 min

Total : 🕒 3h - 4h

🏆 Résultats attendus
✔️Simulation réussie d’un ransomware sans risques. ✔️Analyse détaillée des fichiers infectés
et des processus malveillants. ✔️Mise en place de contre-mesures et récupération des fichiers.

💡 Besoin d’une autre variante avec analyse mémoire et logs Windows ? 🚀

Vous aimerez peut-être aussi