Vos fichiers se retrouvent avec une extension étrange (.encrypt, .lockbit, .deadbolt…) et un message réclame un paiement. Avant tout : ne cédez pas à la panique, et surtout ne payez pas dans la précipitation. Plusieurs pistes méritent d'être examinées.
Premier réflexe
Isolez la machine du réseau immédiatement (débranchez le câble, coupez le Wi-Fi) pour stopper la propagation. Ne réinstallez rien, ne formatez rien, et conservez le poste en l'état le temps d'évaluer les options.
Comment fonctionne un ransomware ?
Les fichiers sont chiffrés avec une clé symétrique (AES), elle-même chiffrée par la clé publique de l'attaquant. Sans la clé privée correspondante — que seul l'attaquant détient — le déchiffrement est mathématiquement impossible. D'où l'importance de chercher la clé ailleurs, ou une copie non chiffrée des données.
Les pistes à examiner avant de céder
- Un decryptor public existe-t-il ? Le projet No More Ransom (porté par Europol) publie des outils gratuits pour les variantes dont les clés ont été saisies — plus de 200 outils.
- La machine est-elle encore allumée ? Si l'attaque est récente, la clé AES en clair peut être encore en mémoire vive (analyse RAM avec Volatility).
- Des Shadow Copies ont-elles survécu ? Sous Windows,
vssadmin list shadows peut révéler des clichés que le ransomware n'a pas réussi à supprimer.
- Des snapshots NAS sont-ils intacts ? La plupart des ransomwares NAS oublient les snapshots Btrfs/ZFS en lecture seule (voir notre article récupérer un NAS).
- Existe-t-il une sauvegarde immuable ou hors-ligne ? C'est souvent la voie la plus sûre.
Faut-il payer la rançon ?
C'est une décision lourde. Payer n'offre aucune garantie de recevoir une clé fonctionnelle, finance l'écosystème criminel, et désigne la victime comme « payeuse » pour de futures attaques. En 2024, près de deux victimes sur trois refusaient de payer. Examinez toutes les autres pistes — et faites-vous accompagner.
Pourquoi conserver les fichiers chiffrés ?
Parce que les clés des ransomwares historiques (LockBit, Hive, REvil…) sont régulièrement saisies par les forces de l'ordre et publiées des mois ou des années après. Stockez les fichiers chiffrés sur un disque hors-ligne : un déchiffrement gratuit pourra peut-être devenir possible.
Comment éviter la prochaine fois ?
La seule protection réellement efficace est une sauvegarde immuable ou air-gappée — que l'attaquant ne peut ni chiffrer ni supprimer — testée régulièrement, complétée par le MFA sur tous les comptes d'administration. Le volet prévention est détaillé dans le guide complet de la récupération de données.
Frappé par un ransomware ? Isolez, et ne payez pas dans l'urgence.Diagnostic gratuit sous 24 h · paiement au résultat · 25 € seulement si échec.
Questions fréquentes
Peut-on déchiffrer des fichiers ransomware sans payer ?
Parfois. Si un decryptor public existe (No More Ransom), si la clé est encore en mémoire vive, si des Shadow Copies ou des snapshots NAS ont survécu, ou si une sauvegarde existe. Sans aucune de ces pistes et avec un chiffrement correctement implémenté, le déchiffrement est mathématiquement impossible.
Faut-il payer la rançon ?
Payer n'offre aucune garantie de récupérer les données et finance l'activité criminelle. En 2024, environ deux victimes sur trois refusaient de payer. Examinez d'abord toutes les autres pistes.
Pourquoi garder les fichiers chiffrés si je ne peux pas les ouvrir ?
Parce que les clés de nombreux ransomwares sont saisies par les autorités et publiées des mois, voire des années plus tard. Conservés sur un disque hors-ligne, vos fichiers pourront peut-être être déchiffrés un jour.
Comment éviter une prochaine attaque ?
Une sauvegarde immuable ou air-gappée (que l'attaquant ne peut pas supprimer), testée régulièrement, plus le MFA sur tous les comptes d'administration. C'est la seule protection réellement efficace.