Vous venez de découvrir que vos fichiers sont chiffrés et qu'un message vous demande une rançon. Vous êtes victime d'un ransomware. La panique est naturelle, mais chaque action compte. Ce guide vous dit exactement quoi faire — et quoi ne pas faire — dans les 24 premières heures critiques.
🚨 Règle absolue N°1 : Ne payez pas la rançon. Selon les statistiques, moins de 40% des victimes qui paient récupèrent effectivement leurs fichiers. Le paiement finance les groupes criminels et peut vous exposer à de nouvelles attaques.
Les 10 premières minutes — Actions immédiates
Dès que vous réalisez l'infection, votre priorité absolue est d'empêcher la propagation du ransomware aux autres appareils de votre réseau :
- Déconnectez l'appareil du réseau : débranchez le câble Ethernet, désactivez le Wi-Fi et le Bluetooth.
- N'éteignez pas l'ordinateur : la mémoire RAM peut contenir la clé de déchiffrement utilisée par le ransomware. Les outils forensiques peuvent l'extraire.
- Déconnectez les supports de stockage : débranchez toutes les clés USB et disques durs externes encore connectés.
- Alertez votre entourage : si vous êtes en entreprise, alertez immédiatement votre DSI et vos collègues pour qu'ils vérifient leurs propres appareils.
- Photographiez le message de rançon : avec votre téléphone, documentez tout ce qui apparaît sur l'écran.
Ne perdez pas de temps. Nos experts interviennent en moins d'1h, 24h/7j.
Identifiez le ransomware
L'identification du ransomware est cruciale car certains sont déchiffrables gratuitement. Regardez l'extension ajoutée à vos fichiers (.locked, .encrypted, .WNCRY, .ryuk, etc.) et le nom du fichier de rançon (DECRYPT.txt, README.html, etc.).
Rendez-vous sur id-ransomware.malwarehunterteam.com et téléchargez un fichier chiffré ou le message de rançon pour identifier automatiquement le type de ransomware.
💡 Consultez nomoreransom.org — ce site officiel, co-fondé par Europol et Intel Security, propose des outils de déchiffrement gratuits pour de nombreux ransomwares connus.
Évaluez vos sauvegardes
La question clé est : avez-vous des sauvegardes récentes non infectées ?
- Disque dur externe débranché avant l'infection → potentiellement récupérable
- Sauvegarde cloud (OneDrive, Google Drive, iCloud) → vérifiez si les fichiers chiffrés n'ont pas remplacé les versions saines
- NAS sur le réseau local → probablement infecté aussi
- Sauvegardes d'entreprise hors ligne → souvent sauves
Sous Windows, vérifiez également les clichés instantanés de volume (clic droit sur un dossier → Propriétés → Versions précédentes). Certains ransomwares les suppriment, mais pas tous.
Déposez plainte
Le dépôt de plainte est obligatoire pour :
- Activer votre assurance cyber (si vous en avez une)
- Contribuer aux statistiques des forces de l'ordre
- Avoir un document officiel pour votre employeur ou partenaires
Rendez-vous au commissariat ou à la gendarmerie avec les éléments documentés, ou déposez en ligne sur cybermalveillance.gouv.fr.
Checklist des 24 heures
- ✅ Isoler l'appareil du réseau
- ✅ Photographier/documenter le message de rançon
- ✅ Alerter collègues/famille selon le contexte
- ✅ Identifier le ransomware
- ✅ Chercher un outil de déchiffrement gratuit
- ✅ Inventorier les sauvegardes disponibles
- ✅ Contacter votre assurance
- ✅ Déposer plainte
- ✅ Contacter un expert si blocage
Besoin d'un expert immédiatement ?
Nos experts interviennent dans l'heure, 24h/7j, avec un taux de récupération de 94%.