normalement, un rançongiciel (ou cryptologiciel) ne peut pas agir sans avoir les permissions administrateur.

Bah pour chiffrer les documents utilisateurs, pas besoin.... Et c'est évidemment la cible principale des rançongiciels (parce que bon, chiffrer les fichiers système, c'est cool, mais un OS ça se réinstalle, alors que les données utilisateurs, c'est toute la connaissance de l'entreprise).

Ensuite il y a l'exploitation de plusieurs failles humaines/IT:

• Le dossier partagé accessible en écriture à tous les utilisateurs du réseau (parce que c'est plus pratique...)
• Les failles OS non patchées (IT: bah ouais j'ai pas installé le fix des failles GPO de Windows car j'ai eu peur de tout casser)

Le second je l'ai vécu chez mon précédent employeur, on est restés 3 semaines sans pratiquement aucun service réseau le temps qu'ils remontent les backups de tous les serveurs "rançonnés" (et heureusement les backups étaient viables).

L'Université Paris-Saclay a publié mardi soir sur son site, maintenant hébergé chez OVH, une FAQ 'Piratage', où elle indique que la catastrophe est complète, tous ses serveurs internes ayant été touchés. Elle ne paiera pas la rançon, et les services mettront entre plusieurs semaines et plusieurs mois à être rétablis.
D'autre part, elle dit ne pas connaitre l'identité des pirates. Une messagerie provisoire sera mise en place en fin de semaine prochaine chez Microsoft.

Que s’est-il passé le dimanche 11 août ?
L’Université Paris-Saclay a subi une cyberattaque massive qui a impacté fortement ses services numériques, tous ses serveurs internes étant touchés. Sont notamment indisponibles un certain nombre de services comme la messagerie électronique, l’intranet, les espaces partagés et certaines applications métier.
...

Connait-on l’identité des pirates ? Une plainte a-t-elle été déposée par l’Université Paris-Saclay ?
L’identité des pirates n’est pas connue pour l’heure.
...
Une plainte a été déposée le 20 août auprès de la gendarmerie départementale de Palaiseau afin que des suites judiciaires soient données à cette attaque visant un service public fondamental.

Existe-il un calendrier prévisionnel de rétablissement des outils informatiques de l’Université Paris-Saclay ?
Il est encore trop tôt pour définir un calendrier précis de rétablissement des services numériques de l’Université Paris-Saclay. Néanmoins, ce rétablissement se fera par étapes, qui s’étaleront sur plusieurs semaines à plusieurs mois.

...
Quand pourrai-je disposer à nouveau d’une adresse email @universite-paris-saclay fonctionnelle ?
L’université se fixe comme objectif un rétablissement des adresses email @universite-paris-saclay pour la fin du mois d’août. Le choix a été fait de basculer sur une messagerie électronique Outlook (Microsoft) afin de gagner du temps,  le rétablissement d’une messagerie Zimbra étant beaucoup plus long.
....

https://www.universite-paris-saclay.fr/piratage/

NextInpact (devenu Next) a un article sur le sujet, qui reprend la FAQ :
https://next.ink/147248/cyberattaque-contre-luniversite-paris-saclay-les-serveurs-emails-intranet-et-dinscription-touches/

Oui, ils disent simplement :

Puis-je ou pourrai-je récupérer les données stockées sur des serveurs et espaces partagés ?
Les services de la Direction des systèmes d’information (DSI), accompagnés notamment par l’ANSSI, travaillent actuellement à l’analyse de la situation, afin de déterminer les données stockées sur les serveurs qui pourront être récupérées ou non.

Il aurait fallu une sauvegarde externe, a priori il n'y en avait pas. Mais vu le volume de données, le coût d'une sauvegarde externe aurait probablement été faramineux, sans compter les capacités en bande passante pour sauvegarder en un temps raisonnable. Et il faut aussi qu'elle ne soit pas atteinte par le ransomware.

Pour une administration se pose aussi la question des marchés obligatoires au delà d'un certain montant, et à renouveler tous les 4 ans, qui compliquent sérieusement la gestion.