Vous ouvrez votre PC et vous voyez la note. « Vos fichiers ont été chiffrés. » L'extension de vos documents est passée à quelque chose d'incompréhensible — .locked, .crypt, .blackcat, peu importe. L'antivirus est silencieux ou désactivé. Une adresse Bitcoin s'affiche.
La réaction instinctive est de paniquer, puis de chercher comment payer. C'est exactement ce que les attaquants comptent sur vous.
Voici la vérité : payer en premier n'est presque jamais la bonne décision. Il y a des étapes à faire avant — et certaines peuvent vous permettre de récupérer une partie significative de vos données gratuitement. Ce guide va droit au but.
NE PAYEZ PAS encore — voici pourquoi et quoi faire d'abord
Moins de 50 % des victimes qui paient récupèrent l'intégralité de leurs fichiers selon les données FBI/Europol 2025. Une partie reçoit un outil de déchiffrement défectueux, une autre ne reçoit rien. Et ceux qui paient une fois deviennent des cibles prioritaires pour de futures attaques — les groupes criminels partagent ces listes.
Les autorités — FBI, ANSSI en France, Europol — recommandent unanimement de ne pas payer, au moins pas avant d'avoir :
- Vérifié si un déchiffreur gratuit existe pour votre souche
- Évalué l'état de vos sauvegardes
- Tenté de récupérer ce qui peut l'être
Ce n'est pas de l'optimisme, c'est de la méthode.
Étape 1 — Isoler la machine (maintenant, avant de lire la suite)
Avant toute chose, si ce n'est pas encore fait :
- Débranchez le câble Ethernet
- Activez le mode avion (ou désactivez le Wi-Fi manuellement)
- Retirez tous les disques externes, clés USB, cartes SD
- Si vous êtes sur un réseau partagé (NAS, dossiers Windows partagés) : prévenez les autres utilisateurs immédiatement
Les ransomwares modernes — LockBit, BlackCat/ALPHV, Conti, Akira — chiffrent en cascade : fichiers locaux, puis partages réseau, puis sauvegardes connectées. Chaque seconde où la machine reste sur le réseau augmente l'étendue des dégâts.
Ne redémarrez pas, ne forcez pas l'extinction. La mémoire vive peut contenir la clé de chiffrement, exploitable par des outils forensiques dans des cas rares mais réels. Et un redémarrage sur un système encore actif peut déclencher un second cycle de chiffrement.
Étape 2 — Identifier la souche (5 minutes, gratuit)
L'identification du ransomware est l'étape que personne ne fait et qui change tout.
Sur un appareil sain (téléphone, autre PC), rendez-vous sur id-ransomware.malwarehunterteam.com. Uploadez :
- Le fichier README ou HOW_TO_DECRYPT laissé par les attaquants
- Un fichier chiffré (n'importe lequel)
La base reconnaît plus de 1 300 souches en quelques secondes. Elle vous indique le nom de la famille de ransomware et, surtout, si un déchiffreur officiel et gratuit existe.
Ensuite, vérifiez sur nomoreransom.org/fr — le portail officiel co-géré par Europol, la police néerlandaise, Kaspersky et McAfee. Plus de 160 outils de déchiffrement gratuits y sont hébergés, couvrant environ 200 familles. Des souches majeures comme STOP/Djvu (offline keys), GandCrab, Shade, Avaddon, des variantes REvil et des clés Babuk divulguées après saisie de serveurs sont déchiffrables gratuitement.
Pour aller plus loin sur cette étape, notre guide complet d'identification avec ID Ransomware détaille comment lire les résultats et quoi faire selon la souche identifiée.
Étape 3 — Récupérer ce qui peut l'être
Si aucun déchiffreur n'existe pour votre souche, il reste des pistes concrètes avant d'envisager le paiement ou l'abandon.
Versions précédentes et shadow copies Windows
Windows maintient des instantanés silencieux appelés Volume Shadow Copies (VSS). Les ransomwares modernes tentent de les supprimer automatiquement avec vssadmin delete shadows /all — mais cette commande échoue parfois partiellement, notamment sur des volumes secondaires ou des disques récemment connectés.
Pour vérifier : clic droit sur un dossier concerné > Propriétés > Onglet Versions précédentes. Si des versions apparaissent, elles sont antérieures au chiffrement.
Fichiers non chiffrés dans l'espace libre
Voici le mécanisme que beaucoup ignorent : un ransomware chiffre habituellement chaque fichier en créant une copie chiffrée, puis en supprimant l'original. Mais la suppression sur un disque mécanique ou SSD ne détruit pas immédiatement les données — elle marque simplement l'espace comme disponible. Tant que rien n'a été écrit à cet emplacement, les originaux sont récupérables.
C'est exactement là qu'un logiciel de récupération intervient légitimement.
Fichiers temporaires des applications
Office (Word, Excel) et Photoshop créent des fichiers temporaires pendant l'édition (.tmp, .psb, .asd). Ces fichiers sont souvent oubliés par les ransomwares car leur extension ne correspond pas aux cibles prioritaires. Un scan profond peut les retrouver.
Comment procéder avec EaseUS
Branchez le disque infecté en lecture seule sur un PC sain (en USB, sans le laisser s'initialiser en écriture). Lancez EaseUS Data Recovery Wizard, sélectionnez le disque, lancez un deep scan. L'outil cherche les originaux supprimés avant chiffrement, les fragments dans l'espace libre et les fichiers temporaires laissés intacts.
Prévisualisez les résultats avant d'acheter. Si vos fichiers critiques apparaissent dans la liste, la récupération est viable. Si le disque a subi une réécriture importante depuis l'attaque (redémarrages multiples, nouvelles installations), les chances diminuent.
Scanner mon disque avec EaseUS Data Recovery Wizard
Sauvegardes cloud avec versioning
Si vous utilisiez OneDrive, Google Drive, Backblaze ou iDrive au moment de l'attaque, vérifiez l'historique des versions. Ces services conservent généralement 30 à 365 jours de versions antérieures selon l'abonnement. Les fichiers chiffrés ont été synchronisés, mais les versions précédentes non chiffrées sont accessibles via l'interface web.
FAQ
Faut-il payer la rançon ?
Non, pas en première intention. Les autorités françaises (ANSSI), américaines (FBI, CISA) et européennes (Europol) recommandent unanimement de ne pas payer. Moins de 50 % des victimes récupèrent tous leurs fichiers après paiement, le paiement finance les futures attaques, et vous signale comme cible solvable. Épuisez d'abord les voies gratuites décrites ci-dessus.
Comment éviter le prochain ransomware ?
La protection efficace tient en trois piliers. Des sauvegardes régulières déconnectées selon la règle 3-2-1 — un disque externe débranché après chaque sauvegarde est imperméable à tout ransomware. Des mises à jour appliquées rapidement — la majorité des ransomwares exploitent des failles connues depuis plus de 90 jours au moment de l'attaque. Une vigilance sur les emails — les pièces jointes Office avec macros et les liens de « suivi de livraison » restent les vecteurs d'entrée dominants. Notre guide de stratégie de sauvegarde 3-2-1 vous montre comment mettre en place cette protection durablement.
Mes sauvegardes locales sont chiffrées aussi. Tout est vraiment perdu ?
Pas nécessairement. Vérifiez deux points : d'abord les sauvegardes cloud avec versioning si vous en aviez une active (les versions antérieures au chiffrement restent accessibles depuis l'interface web). Ensuite, les shadow copies Windows décrites plus haut. Si ces deux voies sont fermées et qu'aucun déchiffreur n'existe, la récupération partielle par logiciel reste possible pour les originaux supprimés avant l'écriture des copies chiffrées.
Faut-il porter plainte ?
Oui, systématiquement. En France : dépôt de plainte au commissariat ou directement sur cybermalveillance.gouv.fr. Aux États-Unis : IC3.gov (Internet Crime Complaint Center du FBI). Ces signalements alimentent les enquêtes et peuvent aboutir à des saisies de serveurs qui débloquent ensuite des clés de déchiffrement gratuites — comme c'est arrivé avec Hive, Ragnar Locker et plusieurs variantes Conti.
Pour aller plus loin sur les déchiffreurs disponibles et leur taux de succès par souche, consultez notre guide complet pour décrypter un ransomware sans payer.
Récupérer mes fichiers avec EaseUS
Voir l'offre EaseUS Data Recovery Wizard
30 jours satisfait ou remboursé
