Sécurité5 février 2025

Ransomware : Fichiers Chiffrés, Récupérer ses Données

Un ransomware (ou rançongiciel) est l'une des menaces informatiques les plus redoutables. Ce type de malware chiffre tous vos fichiers personnels (documents, photos, vidéos, bases de données) et exige le paiement d'une rançon, généralement en cryptomonnaie, en échange de la clé de déchiffrement. Si vous êtes victime d'un ransomware, ne cédez pas à la panique. Ce guide vous explique les étapes à suivre pour tenter de récupérer vos données et nettoyer votre système.

IMPORTANT : NE PAYEZ PAS LA RANCON ! Payer la rançon ne garantit en rien la récupération de vos fichiers. Les cybercriminels peuvent demander encore plus d'argent, ne jamais envoyer la clé de déchiffrement, ou fournir une clé défectueuse. De plus, chaque paiement finance et encourage ces activités criminelles.

Réaction immédiate : les premiers gestes

Dès que vous constatez l'infection, agissez vite pour limiter les dégâts :

  1. Déconnectez immédiatement votre PC d'Internet : débranchez le câble Ethernet et désactivez le WiFi. Cela empêche le ransomware de communiquer avec son serveur de commande et de chiffrer des fichiers sur le réseau local.
  2. Déconnectez tous les périphériques de stockage : disques durs externes, clés USB, NAS. Le ransomware peut aussi chiffrer les fichiers sur ces supports.
  3. Ne redémarrez pas votre PC immédiatement : certains ransomwares se lancent au redémarrage. La clé de chiffrement peut encore être en mémoire.
  4. Prenez une photo du message de rançon : notez le nom du ransomware, l'adresse Bitcoin et toute information affichée. Ces éléments seront utiles pour identifier le ransomware.

Étape 1 : Identifier le ransomware avec ID Ransomware

Avant de tenter quoi que ce soit, identifiez le ransomware qui vous a infecté. Le site ID Ransomware (id-ransomware.malwarehunterteam.com) permet d'identifier plus de 1100 variants de ransomware.

  1. Depuis un autre appareil (smartphone, autre PC), accédez au site ID Ransomware.
  2. Uploadez le fichier de demande de rançon (souvent un fichier .txt ou .html laissé par le ransomware).
  3. Uploadez également un fichier chiffré en exemple.
  4. Le site identifiera le ransomware et vous indiquera si un outil de déchiffrement existe.

Étape 2 : Chercher un déchiffreur sur No More Ransom

Le projet No More Ransom (nomoreransom.org) est une initiative d'Europol, de la police néerlandaise et de sociétés de cybersécurité. Il propose des outils de déchiffrement gratuits pour de nombreuses familles de ransomware.

  1. Rendez-vous sur nomoreransom.org.
  2. Utilisez l'outil Crypto Sheriff pour identifier votre ransomware.
  3. Si un déchiffreur est disponible, téléchargez-le et suivez les instructions.
  4. Si aucun déchiffreur n'est disponible actuellement, conservez vos fichiers chiffrés. Un outil pourrait être publié dans le futur.

Étape 3 : Vérifier les Shadow Copies (clichés instantanés)

Windows crée automatiquement des copies cachées de vos fichiers grâce au service de clichés instantanés (Volume Shadow Copy). Certains ransomwares les suppriment, mais pas tous.

  1. Faites un clic droit sur un dossier contenant des fichiers chiffrés.
  2. Sélectionnez Propriétés > onglet Versions précédentes.
  3. Si des versions précédentes apparaissent, sélectionnez une date antérieure à l'infection.
  4. Cliquez sur Restaurer pour récupérer les fichiers.

Vous pouvez également utiliser l'outil gratuit ShadowExplorer qui offre une interface plus pratique pour naviguer dans les Shadow Copies et restaurer des fichiers individuels ou des dossiers entiers.

Étape 4 : Restaurer depuis vos sauvegardes

Si vous aviez mis en place des sauvegardes régulières, c'est le moment de les utiliser. Mais avant de restaurer, vous devez d'abord supprimer le ransomware.

Étape 5 : Supprimer le ransomware et nettoyer le système

Une fois que vous avez récupéré ce que vous pouviez (ou conservé les fichiers chiffrés pour une future tentative), nettoyez votre système :

  1. Démarrez en mode sans échec.
  2. Lancez une analyse complète avec Windows Defender.
  3. Complétez avec Malwarebytes (analyse complète).
  4. Vérifiez le Planificateur de tâches et les programmes au démarrage pour supprimer toute persistance du ransomware.

Dernier recours : Formater et réinstaller

Si votre système est trop compromis ou si vous n'avez pas confiance dans le nettoyage, la solution la plus sûre est le formatage complet du disque et la réinstallation de Windows. Créez une clé USB d'installation Windows depuis un autre PC (outil Media Creation Tool de Microsoft), démarrez dessus, formatez le disque et réinstallez proprement.

Prévention essentielle : La meilleure protection contre les ransomwares est la sauvegarde. Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou disque déconnecté). Activez également la protection contre les ransomwares de Windows Defender (Accès contrôlé aux dossiers) dans Sécurité Windows > Protection contre les virus et menaces > Gérer la Protection contre les ransomwares.

Porter plainte

En France, vous pouvez porter plainte auprès de la gendarmerie ou de la police. Vous pouvez également signaler l'incident sur la plateforme cybermalveillance.gouv.fr qui propose un accompagnement gratuit et vous met en relation avec des professionnels de la cybersécurité près de chez vous.