Ransomware : récupérer vos données sans payer la rançon

Comprendre ce qui se passe

Un ransomware est un logiciel malveillant qui chiffre vos fichiers — documents, bases de données, emails — et exige une rançon en échange de la clé de déchiffrement. L'infection se propage généralement via un email de phishing, un accès RDP exposé ou une vulnérabilité non corrigée.

Deux types de dommages sont possibles : le chiffrement des données (récupérable avec la bonne clé ou une sauvegarde) et l'exfiltration préalable des données (les attaquants ont copié vos fichiers avant de les chiffrer). Ce second scénario, appelé "double extorsion", est de plus en plus fréquent.

La bonne nouvelle : avec la bonne réaction dans les premières minutes, vous pouvez souvent limiter l'étendue des dégâts et préserver les conditions d'une restauration.

Les 5 premières minutes — ce qu'il faut faire

1. Isoler immédiatement les machines infectées

Déconnectez les postes touchés du réseau : débranchez le câble Ethernet, désactivez le Wi-Fi. Si l'infection se propage via le réseau, chaque seconde compte. Une machine isolée ne peut plus chiffrer les partages réseau.

Ne pas éteindre les machines infectées — contra-intuitif, mais important. Certains ransomwares ne résident qu'en mémoire vive, et des indices forensiques précieux (processus actifs, connexions réseau) disparaissent avec le redémarrage.

2. Identifier l'étendue de l'infection

Avant d'agir plus loin, évaluez rapidement : combien de postes sont touchés ? Les serveurs sont-ils atteints ? Les partages réseau et les sauvegardes sont-ils affectés ? Cette cartographie rapide conditionne la stratégie de réponse.

3. Photographier les messages de rançon

Prenez des captures d'écran des messages affichés par le ransomware. Ces éléments permettront d'identifier la souche, de déposer plainte et d'éventuellement trouver un outil de déchiffrement.

4. Contacter votre prestataire informatique

N'agissez pas seul si vous n'êtes pas technicien. Un prestataire expérimenté dans la gestion d'incidents peut intervenir à distance en quelques minutes pour évaluer la situation et piloter la réponse.

5. Déposer plainte

Déposez plainte auprès du commissariat ou de la gendarmerie. C'est une obligation pour activer votre assurance cyber et nécessaire pour que les autorités puissent agir. Signalez également l'incident sur cybermalveillance.gouv.fr.

Identifier la souche ransomware

Avant toute tentative de déchiffrement, identifiez la souche. L'extension ajoutée aux fichiers chiffrés et le contenu du message de rançon sont les premiers indices. Deux outils gratuits permettent d'identifier la majorité des souches connues :

• ID Ransomware (id-ransomware.malwarehunterteam.com) : déposez un fichier chiffré ou le message de rançon — l'outil identifie la souche en quelques secondes
• No More Ransom (nomoreransom.org) : plateforme collaborative réunissant Europol, Interpol et les éditeurs de sécurité — propose des outils de déchiffrement gratuits pour des centaines de souches

Si la souche a un outil de déchiffrement disponible, vous pouvez récupérer vos données sans payer. C'est le cas d'une part significative des ransomwares ciblant les PME.

Faut-il payer la rançon ?

La réponse courte : non. La réponse longue : presque jamais, sauf situation absolument critique et après épuisement de toutes les alternatives.

Voici pourquoi payer est une mauvaise idée :

• Aucune garantie : entre 20% et 40% des victimes qui paient ne reçoivent pas de clé de déchiffrement fonctionnelle
• Vous financez les attaquants : le paiement finance de futures attaques, potentiellement contre vous ou votre écosystème
• Vous devenez une cible connue : les victimes qui paient sont souvent recontactées, car les attaquants savent qu'elles paient
• Problèmes légaux potentiels : payer des groupes sanctionnés peut exposer à des poursuites

L'ANSSI, le FBI et Europol déconseillent unanimement le paiement. Si vous avez une assurance cyber, contactez-la immédiatement : elle dispose généralement d'équipes de réponse à incidents.

Restaurer sans sauvegarde récente

Si vous n'avez pas de sauvegarde récente exploitable — parce qu'elle était sur le réseau et a été chiffrée, ou parce qu'elle n'existait pas — les options sont limitées mais non nulles :

• Copies de clichés VSS (Volume Shadow Copy) : Windows crée automatiquement des copies instantanées de fichiers. Certains ransomwares les suppriment, d'autres non. Un spécialiste peut vérifier leur présence.
• Fichiers sur OneDrive ou SharePoint : si vous utilisez Microsoft 365, les fichiers synchronisés dans le cloud ont un historique des versions sur 30 à 90 jours. La restauration est souvent possible depuis l'interface d'administration.
• Sauvegardes locales oubliées : clés USB, disques externes déconnectés, archives email — vérifiez tout ce qui pourrait être hors ligne.
• Outil de déchiffrement ultérieur : si la souche est récente et sans outil disponible aujourd'hui, une clé de déchiffrement peut être publiée dans les semaines ou mois suivants suite au démantèlement d'un groupe. Conserver les fichiers chiffrés en attendant est une option.

Si vous avez des sauvegardes : la procédure de restauration

Avec des sauvegardes intactes (hors ligne ou dans le cloud), la restauration est l'option la plus sûre. La procédure :

1. Ne restaurez pas sur les machines infectées avant de les avoir nettoyées ou réinitialisées. Restaurer sur un système compromis est inutile.
2. Réinitialisez les machines (formatage complet, réinstallation du système d'exploitation) avant restauration.
3. Vérifiez la date des sauvegardes : les ransomwares s'installent parfois plusieurs semaines avant d'agir. Si vos sauvegardes datent d'après l'infection initiale (et non de l'activation du chiffrement), elles peuvent être compromises.
4. Changez tous les mots de passe avant reconnexion au réseau — les attaquants ont probablement eu accès à vos identifiants.
5. Restaurez progressivement, en testant chaque système avant de le remettre en production.

Après l'incident : ne pas répéter l'erreur

Une fois la crise passée, l'analyse post-incident est indispensable. Les questions à se poser :

• Par où l'attaque est-elle entrée ? (email, RDP exposé, VPN, site web compromis)
• Pourquoi l'antivirus n'a-t-il pas bloqué l'exécution du ransomware ?
• Pourquoi les sauvegardes étaient-elles accessibles depuis le réseau infecté ?
• Combien de temps s'est écoulé entre l'infection initiale et la détection ?

Ces réponses guident un plan de remédiation réaliste. Les mesures les plus efficaces pour éviter une récidive :

• MFA sur tous les comptes, en priorité les accès distants (VPN, RDP, M365)
• Sauvegardes hors ligne ou immuables : une sauvegarde cloud avec suppression protégée (immutable backup) ne peut pas être chiffrée par un ransomware. Pour Microsoft 365, une sauvegarde externe dédiée est indispensable — la corbeille M365 n'est pas une protection suffisante.
• EDR en lieu et place d'antivirus traditionnel : les solutions EDR détectent les comportements suspects, pas seulement les signatures connues
• Segmentation réseau : limiter la propagation latérale en cas d'infection
• Formation des équipes : la majorité des infections proviennent encore d'emails de phishing

Pour aller plus loin sur la prévention, notre guide cybersécurité PME : les 5 mesures indispensables détaille la mise en œuvre concrète de chacune de ces protections.

Evoir intervient sur les incidents ransomware

Notre cabinet a accompagné plusieurs PME parisiennes victimes d'attaques ransomware. Dans tous les cas, une réponse rapide et structurée a permis de limiter l'impact — et dans plusieurs cas de récupérer les données sans payer la moindre rançon.

Si vous êtes actuellement sous attaque, contactez-nous immédiatement. Si vous voulez éviter d'en arriver là, un audit de votre posture de sécurité est le premier pas.