academy
Sécurité
Confidentialité
Performance
Choisir la langue
Avast Academy Sécurité Ransomwares Comment supprimer un ransomware des appareils Android

Comment supprimer un ransomware des appareils Android

L’infection par un ransomware est une des situations les plus frustrantes qui puisse se produire sur votre téléphone Android. C’est pourquoi la meilleure stratégie de défense pour vos appareils est d’empêcher les ransomwares de les infecter. Si vous faites actuellement face à une infection, ne vous inquiétez pas ! Nous allons vous présenter les meilleures manières de supprimer un ransomware de votre appareil Android.

How_to_remove_Ransomware_from_Android-Hero

Est-il possible de supprimer un ransomware ?

Les ransomwares (ou rançongiciels) Android sont plus difficiles à éliminer que les autres types de malwares (programmes malveillants), leur simple suppression ne permettant en général pas de résoudre le problème. Ceci est dû au fonctionnement du ransomware : il recourt en général au chiffrement pour tenir vos fichiers ou votre appareil en otage. Et vous ne pouvez pas annuler le chiffrement sans la clé de déchiffrement spécifique. Même si vous parvenez à éliminer le ransomware, le chiffrement reste bien actif et bloque l’accès à vos fichiers ou à votre appareil.

Hamburguer menu icon

Cette article contient :

    La plupart des ransomwares sont des ransomwares de chiffrement : ils ciblent les fichiers et les dossiers et les chiffrent. Supprimer le ransomware de chiffrement (ou « filecoder ») l’empêchera de faire plus de dégâts mais n’a aucun impact sur le chiffrement qui a déjà été appliqué. La plupart des ransomwares avec chiffrement visent les PC et ceux qui visent les appareils mobiles ne sont pas très nombreux.

    Sur un téléphone Pixel, Samsung ou sur un autre appareil Android, vous risquez le plus souvent de rencontrer un type de ransomware appelé « verrouilleur d’écran » ou « verrouilleur » qui, comme son nom l’indique, verrouille le téléphone et affiche une demande de rançon. La bonne nouvelle, c’est que vous pouvez supprimer ce type de ransomware et retrouver le contrôle de votre appareil beaucoup plus vite qu’avec les ransomwares de chiffrement. Plus loin dans cet article, nous fournissons plusieurs guides détaillés pour supprimer les ransomwares sur Android.

    De nombreux ransomwares se suppriment d’eux-mêmes une fois leur tâche terminée afin d’éviter que les chercheurs en cybersécurité ne puissent les étudier et décrypter leurs algorithmes de chiffrement. Sinon, un outil anti-malwares comme Avast Mobile Security est en général assez puissant pour éliminer tout ransomware de votre appareil. Malheureusement, il ne peut pas procéder au déchiffrement une fois que celui-ci a eu lieu.

    Priorité à la prévention

    Face à de tels dangers, éviter les ransomwares est le seul moyen d’assurer la sécurité de vos données. Si vous attendez d’avoir été infecté, il est peut-être déjà trop tard pour sauver vos données. Conservez une sauvegarde complète de toutes vos informations importantes, soit dans un service cloud, soit sur un périphérique de stockage externe déconnecté. Ainsi, si votre appareil est infecté, vous pouvez toujours en rétablir une version antérieure.

    Avast Mobile Security analyse régulièrement votre appareil pour détecter et bloquer les programmes malveillants, y compris les vecteurs de ransomwares répertoriés. Bloquez les malwares avant qu’ils n’arrivent sur votre appareil avec une protection active contre les liens infectés et les réseaux Wi-Fi vulnérables. Notre solution de sécurité mobile s’appuie sur le même réseau de veille des menaces avec intelligence artificielle que nos outils PC et Mac primés. Installez Avast Mobile Security pour vous protéger des ransomwares.

    Vous êtes déjà victime d’une infection ? Suivez ces trois étapes pour supprimer les ransomwares Android.

    1. Isolez immédiatement les appareils infectés

    Si votre appareil Android a été infecté par un ransomware, la première chose à faire est de le mettre immédiatement en quarantaine. Ne l’utilisez pas sur votre réseau Wi-Fi domestique et ne le connectez pas à d’autres appareils : le ransomware risque de se diffuser. Déconnectez les appareils infectés et isolez-les pour réduire le risque d’infection.

    2. Cherchez à découvrir à quelle souche de ransomware vous avez affaire

    Une fois que vous avez isolé l’appareil Android infecté, vous devez déterminer le type de ransomware auquel vous êtes confronté.

    • Les ransomwares de chiffrement : plus répandu sur les PC que sur mobiles, ce type de ransomware chiffre vos fichiers, puis exige le paiement d’une rançon en échange d’une clé de déchiffrement, réelle ou non.

      Crypto ransomware encrypts your files.
    • Les ransomwares de verrouillage : aussi appelés « verrouilleurs d’écran ». Il s’agit du type de ransomware le plus courant. Au lieu de chiffrer vos fichiers, le verrouilleur d’écran bloque complètement l’accès à votre appareil. Bien qu’ils soient tout aussi pénibles, les verrouilleurs d’écran sont généralement plus simples à éliminer que les ransomwares avec chiffrement.

      An example of screenlocker ransomware, disguised as an FBI alert, shown on an Android phone

    • Les scarewares (alarmiciels) : ce type de malware manipule ses victimes pour leur faire acheter des logiciels superflus (et souvent inutiles). Il tente de vous convaincre que votre appareil Android a été infecté par un virus, puis vous invite à acheter une solution antivirus pour résoudre tous vos problèmes. L’arnaque consiste à vous faire acheter un logiciel inutile, voire un programme malveillant. Certains scarewares fonctionnent comme des ransomwares, mais habituellement, il s’agit d’une menace en l’air.

    • Doxxing : il ne s’agit pas d’un malware, mais cette technique implique souvent une rançon et il est donc important de la mentionner. Le doxxing est un chantage numérique qui consiste à menacer de publier des informations personnelles ou privées si la victime ne consent pas à payer une rançon.

    Tous les appareils, PC, Mac, Android et même iOS, ont été visés par au moins un de ces types de ransomwares. Actuellement, les possibilités de cybercriminalité sont aussi vastes que variées, et les pirates ont à leur disposition tout un arsenal d’options pour extorquer de l’argent à leurs victimes.

    Les verrouilleurs d’écran représentent la grande majorité des ransomwares Android. Par exemple Cyber Police, souvent appelé à tort « virus Cyber Police » pour Android ou autre nom du même genre, est un verrouilleur d’écran sous forme de cheval de Troie qui infecte les appareils lorsque les victimes cliquent sur une publicité malveillante. Cyber Police infecte uniquement les appareils avec Android 4.0.3 à 4.4.4. Alors si vous n’avez pas mis à jour votre logiciel depuis longtemps, faites-le dès maintenant. Le verrouilleur d’écran Article 161 ou « Koler » est un autre exemple de ce type.

    Comment identifier votre ransomware

    Pour savoir quel type de ransomware a infecté votre téléphone, consultez le site Europol No More Ransom. Le service Crypto Sheriff peut vous aider à identifier la souche de ransomware à laquelle vous êtes confronté. Une fois que vous l’avez identifiée, vous trouverez des guides détaillés qui vous expliquent quoi faire.

    Vous pouvez aussi consulter des forums comme ceux de Bleeping Computer. Les participants peuvent souvent vous y aider à identifier le ransomware PC en examinant les extensions sur les fichiers chiffrés.

    3. Supprimez le ransomware

    Une fois que vous avez identifié le type d’infection dont vous êtes victime, il est temps de voir comment supprimer ce ransomware d’Android :

    Option A : le ransomware se supprime de lui-même

    Comme mentionné plus haut, de nombreux ransomwares se suppriment d’eux-mêmes après avoir verrouillé l’appareil ou les fichiers qui s’y trouvent afin d’éviter que les experts en cybersécurité ne puissent les étudier et éventuellement décrypter leurs algorithmes de chiffrement. Si la souche se supprime d’elle-même de votre appareil Android, vous n’avez rien d’autre à faire pour le supprimer (mais vos fichiers restent chiffrés).

    Option B : utilisez Avast Mobile Security pour supprimer le ransomware

    Avast Mobile Security élimine un grand nombre de malwares de votre appareil Android, y compris de nombreuses souches de ransomwares. Il suffit de le lancer et de le laisser analyser votre appareil pour supprimer la menace. Avast Mobile Security peut également détecter et bloquer les ransomwares avant qu’ils n’infectent votre appareil.

    The main menu on Avast Mobile Security for Android, showing the Scan button

    Option C : supprimez le ransomware manuellement

    Si vous avez le temps et la motivation, il peut être intéressant de tester quelques méthodes maison avant de payer quelqu’un d’autre pour le faire à votre place. Suivez les instructions ci-dessous pour essayer de supprimer le ransomware Android vous-même. Vous allez redémarrer votre appareil en mode sans échec, ce qui empêche toutes les applications tierces de s’exécuter, y compris les ransomwares.

    Étape 1 : redémarrez votre téléphone en mode sans échec

    Cette procédure peut varier en fonction de votre appareil et de votre version d’Android, mais la plupart des appareils vous permettent de redémarrer directement en mode sans échec.

    Maintenez le bouton Marche/Arrêt enfoncé quelques secondes, comme pour éteindre votre téléphone.

    img_04Maintenez appuyée l’option Éteindre, puis appuyez sur OK.

    Rebooting to safe mode from the Power menu in Android 7.0Votre téléphone va redémarrer en mode sans échec. L’écran d’accueil devrait mentionner « Mode sans échec ».

    img_06Maintenant, partons à la recherche de ce programme malveillant.

    Étape 2 : vérifiez vos applications

    Accédez à Paramètres > Applications et recherchez les programmes qui n’ont rien à faire ici. Si vous voyez une application que vous ne vous souvenez avoir installée, c’est un signal d’alarme clair. Commencez par les applications installées récemment, car celles-ci sont certainement responsables de votre problème de ransomware, puis vérifiez les applications plus anciennes.

    Encore une fois, en fonction de votre appareil et de votre version d’Android, ce processus peut être légèrement différent.

    The Apps menu in Android 7.0

    Étape 3 : désinstallez les applications malveillantes

    Lorsque vous trouvez une application qui n’a pas sa place sur votre appareil, désinstallez-la. Appuyez sur l’application, puis appuyez sur Désinstaller.

    The App info menu in Android 7.0Certains ransomwares s’octroient des droits d’administration sur votre appareil et peuvent désactiver leur bouton de désinstallation. Voici comment contourner cet obstacle :

    Étape 4 : empêchez ces applications de devenir administrateur de vos appareils

    Consultez les paramètres de sécurité de votre téléphone et recherchez la liste des applications qui disposent des autorisations d’administrateur de l’appareil. Le chemin doit se présenter à peu près comme ceci : Paramètres > Sécurité > Administrateurs de l’appareil. Si vous voyez des applications indésirables dans cette liste, supprimez leurs droits en décochant leur case et en sélectionnant Désactiver cet administrateur de l’appareil.

    The Device Administrators menu in Android 7.0Retournez à la liste d’applications de l’étape 3. Vous devriez maintenant être en mesure de désinstaller cette application malveillante.

    Enfin, consultez votre dossier Téléchargements et supprimez le fichier d’installation de l’application au format .apk, si vous le trouvez.

    Vous pouvez maintenant redémarrer votre téléphone en mode normal, mais si des fichiers ont été chiffrés par le ransomware, ils sont encore chiffrés à ce stade. Si vous avez été infecté par un verrouilleur d’écran, une fois que vous l’avez supprimé en suivant les étapes qui précèdent, votre appareil devrait fonctionner de nouveau parfaitement.

    Récupérez vos fichiers chiffrés

    Si un ransomware de chiffrement a pris le contrôle de votre téléphone, le supprimer ne déchiffrera pas vos fichiers. Vous devrez les déchiffrer, ou mieux encore restaurer vos fichiers à partir d’une sauvegarde récente. Comme la plupart des ransomwares Android sont de type verrouilleur d’écran, la restauration des fichiers ne vous concernera pas.

    Mais si vous vous retrouvez avec de nombreux fichiers chiffrés, découvrez ici comment les récupérer sans payer de rançon.

    A. Restaurer à partir d’une sauvegarde

    Si vos fichiers sont enregistrés dans une sauvegarde, vous pouvez à la fois supprimer le ransomware de votre téléphone Android et restaurer les fichiers chiffrés en effectuant une réinitialisation des paramètres d’usine. Cette opération efface tout le contenu de votre téléphone (applications, fichiers et paramètres), puis vous permet de tout réimporter depuis une sauvegarde récente.

    C’est la principale raison pour laquelle il est essentiel d’effectuer des sauvegardes régulières sur tous vos appareils. Si vous disposez d’une copie non chiffrée de vos fichiers les plus importants, même le plus performant des ransomwares de chiffrement ne représente aucune menace. Si vous n’avez pas fait de sauvegarde de votre système, cette méthode ne vous sera d’aucune utilité et il est probable que vous souhaitiez ne rien supprimer de votre téléphone.

    Étape 1 : effectuez une restauration des données d’usine

    Allez dans Paramètres, Sauvegarder et Réinitialiser > Réinitialisation des données d’usine.

    The Backup & reset menu in the Settings of Android 7.0

    Pour commencer, appuyez sur Réinitialiser l’appareil.

    The Factory data reset screen in Android 7.0

    Étape 2 : entrez votre code PIN

    Confirmez la réinitialisation avec votre code PIN, puis appuyez sur Tout effacer.

    The password confirmation screen to reset a device using Android 7.0

    Étape 3 : redémarrez et restaurez

    Votre téléphone va redémarrer et vous guider dans la procédure de démarrage initial.

    The Welcome screen in Android 7.0 on an Asus phoneVous pourrez bientôt restaurer tous vos anciens fichiers à partir de la sauvegarde que vous aurez, espérons-le, créée récemment et avant le téléchargement du ransomware. Choisissez Conserver les données et les applications.

    The setup menu in Android 7.0 on an Asus phone

    B. Utiliser des outils de déchiffrement

    Une fois le type de ransomware identifié, vous pouvez peut-être trouver les clés de déchiffrement correspondantes. Si des chercheurs en cybersécurité décodent les algorithmes de chiffrement d’un ransomware de ce type, ils proposent les clés de déchiffrement gratuitement.

    La plupart des ransomwares actuels n’ont pas encore été déchiffrés, car dès qu’une clé de déchiffrement est récupérée, le ransomware ne constitue plus une menace. Les déchiffreurs Android en ligne ne sont pas faciles à trouver (même notre propre liste de déchiffreurs se limite actuellement aux solutions pour PC).

    Si vous n’avez pas de sauvegarde à votre disposition, vous allez devoir attendre qu’un chercheur arrive à décoder le ransomware qui bloque vos fichiers.

    C. Ne pas négocier

    Se retrouver infecté par un ransomware est extrêmement frustrant et nous comprenons tout à fait ce que peut impliquer la perte de fichiers. Il est extrêmement tentant de « payer la rançon pour en finir », et c’est tout à fait compréhensible, mais il est important de ne pas céder. Ne négociez pas avec les cybercriminels et ne payez jamais la rançon demandée.

    Si vous payez, vous financez directement de futures activités criminelles. Vous confirmez aussi que le ransomware est un outil de cybercriminalité efficace, ce qui peut encourager les pirates à s’attaquer à d’autres victimes. De plus, payer ne garantit en rien que vous allez pouvoir récupérer vos fichiers, ni que le ransomware va être supprimé.

    Ce n’est jamais une bonne idée de payer la rançon.

    Comment le ransomware prend-il le contrôle de l’appareil Android ?

    De nombreuses souches de ransomwares sur PC infiltrent l’ordinateur de leurs victimes en exploitant des failles de sécurité présentes dans les anciens systèmes d’exploitation. Par contre, la plupart des ransomwares Android ont besoin de vous pour s’installer. Les cybercriminels incitent leurs victimes à installer le ransomware via des e-mails de phishing (hameçonnage), des techniques d’ingénierie sociale et des campagnes de publicité malveillante.

    Les cybercriminels aiment faire passer leur ransomware pour une application apparemment inoffensive. C’est exactement ce qui s’est produit lors d’une attaque de ransomware mobile en Chine en 2017, avec un type de ransomware de chiffrement pour Android qui se faisait passer pour un jeu. Une fois l’application téléchargée et les autorisations nécessaires accordées, le ransomware dévoile sa vraie nature. Plus aucun moyen d’accéder à l’appareil Android, juste une demande de rançon. Les ransomwares peuvent également accéder à votre appareil par usurpation de demandes système ou de demandes de mise à jour.

    Comment savoir si mon téléphone a été infecté ?

    Nous avons beaucoup parlé de ransomware sur Android, mais à quoi ressemble exactement une infection ? Voici deux signes évidents qui indiquent que votre téléphone contient un ransomware :

    • Vous ne pouvez plus accéder à votre appareil : les ransomwares verrouilleurs d’écran verrouillent votre appareil et vous empêchent d’y accéder. À la place de votre écran d’accueil habituel, vous voyez une notification vous avertissant que votre téléphone n’est plus accessible. Ces applications ne chiffrent pas vos fichiers, mais elles rendent votre téléphone quasiment inutilisable.

    • Vous recevez des demandes de rançon : un ransomware n’en est pas un sans demande de rançon. De nombreuses souches de ransomware utilisent une demande de rançon qui leur est propre, c’est-à-dire une carte de visite unique qui fournit trois éléments d’information importants à la victime :

      • Votre appareil est bloqué (verrouilleur d’écran) ou vos fichiers sont chiffrés (ransomware de chiffrement).

      • Le montant de la rançon demandée.

      • Le mode de paiement, souvent sous forme de cryptomonnaie et via le navigateur Tor.

    L’objectif des cybercriminels est de vous faire savoir que vous avez été infecté et de vous mettre la pression pour payer : la demande de rançon est donc mise bien en évidence dans des fenêtres contextuelles.

    Les tablettes Android peuvent-elles aussi être affectées ?

    Les tablettes Android sont tout aussi vulnérables face aux ransomwares que les téléphones Android. Par exemple, Cyber Police est présent aussi bien sur les tablettes que sur les téléphones. C’est d’ailleurs l’une des souches de ransomware les plus répandues sur les tablettes Android.

    Comme le système d’exploitation sous-jacent est le même, les techniques de suppression des ransomwares présentées ici fonctionnent tout aussi bien sur votre tablette que sur votre téléphone. Si l’application de sécurité sur votre mobile n’est pas capable de mettre en quarantaine le ransomware et de l’éliminer et si vous ne pouvez pas accéder au mode sans échec, demandez de l’aide à un expert en cybersécurité.

    La défense reste la meilleure stratégie

    Vous aurez donc bien compris qu’il est vraiment déplaisant de se retrouver avec un appareil infecté par un ransomware. C’est pourquoi la meilleure tactique face aux ransomwares est la prévention plutôt que la suppression. Avast Mobile Security travaille 24 h/24, 7 j/7 à protéger votre mobile ou votre tablette Android des programmes malveillants, avec des analyses poussées de votre appareil, de vos applications, des liens Web et des réseaux Wi-Fi.

    Si vous ne faites pas encore régulièrement de sauvegardes de votre appareil, il est temps de vous y mettre. De nombreux téléphones Android offrent la possibilité d’automatiser ces tâches. Avec un système de sécurité mobile solide et une sauvegarde récente de votre système et de vos fichiers, vous n’avez rien à craindre.

    Protégez votre iPhone des menaces
    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE

    Protégez votre appareil Android des menaces
    avec Avast Mobile Security gratuit

    INSTALLATION GRATUITE