Aller au contenu principal
securite-ransomwareINFO

Identifier un ransomware avec ID Ransomware : guide 2026

Comment identifier la souche d'un ransomware avec ID Ransomware (MalwareHunterTeam) : upload note + fichier chiffré, base 1300+ familles, ce qu'on fait après l'identification.

Par Eric Gerard · Éditeur · Save My Disk12 min de lecturePhoto via Unsplash

Avant de tenter quoi que ce soit (paiement, déchiffrement, restauration partielle), une seule question compte : quel ransomware exactement vous a touché ? La réponse conditionne tout - déchiffreur disponible, comportement attendu, durée d'action, risque de double extorsion, statut juridique du groupe. ID Ransomware, opéré par MalwareHunterTeam depuis 2016, est l'outil de référence pour répondre à cette question en quelques minutes.

Ce guide détaille la procédure exacte, ce qu'il faut savoir avant d'uploader, et comment exploiter le résultat selon que la souche est connue ou émergente.

Pourquoi l'identification précise change tout

Beaucoup d'utilisateurs face à un ransomware traitent l'incident comme s'il s'agissait d'une catégorie unique d'événement, et appliquent une réponse générique qu'on lit partout (ne pas payer, restaurer depuis sauvegarde, porter plainte). C'est partiellement correct mais ignorer l'identification spécifique de la souche fait perdre des opportunités de récupération réelles dans environ 30 % des cas.

L'identification précise change la stratégie sur trois axes critiques. Premier axe : la disponibilité d'un déchiffreur gratuit. Le projet No More Ransom maintenu par Europol, Politie néerlandaise, Kaspersky et McAfee publie régulièrement des outils de déchiffrement quand les chercheurs réussissent à craquer le schéma cryptographique d'une famille de ransomware. Au premier trimestre 2026, environ 140 familles distinctes ont au moins un outil publié. Si votre souche est l'une de ces 140, vous pouvez littéralement déchiffrer vos fichiers gratuitement en quelques heures. Mais si vous n'identifiez pas la souche, vous ne savez pas qu'un tel outil existe.

Deuxième axe : le risque de double extorsion. Les groupes ransomware ne sont pas équivalents en termes de capacité d'exfiltration. Les opérateurs « top tier » (LockBit 3.0, BlackCat/ALPHV, Royal, Akira, Black Basta) opèrent systématiquement une exfiltration significative avant le chiffrement et publient les données sur leurs leak sites en cas de non-paiement. Les opérateurs « cybercrime classique » (Stop/Djvu, GandCrab héritiers, certaines variantes Phobos) ne font généralement pas d'exfiltration et le risque se limite au chiffrement local. La stratégie de notification (CNIL, clients, fournisseurs) et la pression sur le calcul rançon dépendent directement de cette distinction.

Troisième axe : le statut juridique et les sanctions OFAC. Plusieurs groupes ransomware sont désignés par l'OFAC américain comme entités sanctionnées (LockBit en février 2024, Conti en 2022, Black Basta partiellement). Payer une rançon à un groupe sous sanctions OFAC est illégal pour toute personne ou entreprise américaine, et constitue un risque juridique significatif même pour les entreprises européennes ayant des opérations US. Identifier précisément le groupe permet de savoir si le paiement est juridiquement possible avant même de considérer l'éthique de la chose.

ID Ransomware : ce que fait précisément le service

ID Ransomware est un projet maintenu par Michael Gillespie (alias Demonslay335), chercheur central dans la communauté ransomware depuis le milieu des années 2010. Le service est gratuit, sans inscription, et accepte deux types d'inputs : un échantillon de fichier chiffré et la note de rançon laissée par les attaquants.

La logique d'identification

L'outil croise plusieurs signaux pour décider :

  • L'extension ajoutée au fichier chiffré (.lockbit, .djvu, .conti, etc.).
  • La structure binaire du fichier : header, marker placé en début ou fin de fichier, signature de l'algorithme (AES, ChaCha20, Salsa20), parfois un footer avec métadonnées (version, ID victime, clé chiffrée par RSA).
  • Le hash de la note de rançon : la plupart des familles utilisent un template texte stable, modifié uniquement sur des champs variables (UID, montant, lien Tor). Le hash partiel ou la signature lexicale permet une identification fiable.
  • Le nom du fichier de note : README.txt, _readme.txt, HOW_TO_DECRYPT.txt, !!!HELP_FILE!!!.html, restore-my-files.txt, etc.
  • Le wallpaper de rançon dans certains cas (image substituée en arrière-plan du bureau).

La triangulation de ces signaux porte le taux d'identification à plus de 95 % sur les familles répertoriées. La base couvre plus de 1300 familles en 2026, et le service traite environ 1,5 million de soumissions par an.

Pourquoi pas seulement l'extension

Une dizaine de ransomwares partagent des extensions génériques comme .locked, .encrypted ou .crypto. Sans croisement avec la note et la structure binaire, l'identification serait régulièrement erronée - et un déchiffreur appliqué à la mauvaise famille détruit définitivement les fichiers.

Procédure complète

Étape 1 - Préparer l'environnement de travail

Vous avez besoin d'un appareil non infecté : téléphone, deuxième PC, ordinateur d'un proche. N'utilisez jamais la machine compromise pour l'identification - elle peut continuer à exfiltrer des données ou chiffrer des fichiers nouvellement créés.

Préparez deux supports :

  1. Une clé USB pour transférer la note de rançon et un fichier chiffré.
  2. Un dossier de preuves (photos d'écran, captures, journal d'événements).

Étape 2 - Extraire un échantillon de fichier chiffré

Travaillez toujours sur une copie, jamais sur l'original. Si vous écrasez ou modifiez le fichier original par erreur, vous perdez la chance de récupération même si un déchiffreur arrive plus tard.

Choisissez un fichier chiffré de petite taille (idéalement moins de 1 Mo) - c'est la limite côté upload sur ID Ransomware. Un .docx ou .jpg de taille modeste est idéal. Pour examiner les caractéristiques du fichier avant upload, voici un script PowerShell qui extrait les informations clés.

# Examiner un fichier chiffré sans le modifier
$file = "C:\Path\To\encrypted-sample.docx.lockbit3"

# Taille et timestamps
Get-Item $file | Select-Object FullName, Length, CreationTime, LastWriteTime

# Hash SHA-256 du fichier complet
Get-FileHash -Algorithm SHA256 $file

# Premiers 256 octets (header) en hex - pour identifier le marker
$bytes = [System.IO.File]::ReadAllBytes($file) | Select-Object -First 256
($bytes | ForEach-Object { $_.ToString("X2") }) -join " "

# Derniers 512 octets (footer souvent porteur du marker et de la cle RSA)
$all = [System.IO.File]::ReadAllBytes($file)
$tail = $all[($all.Length - 512)..($all.Length - 1)]
($tail | ForEach-Object { $_.ToString("X2") }) -join " "

# Recherche d'une signature ASCII visible (UID, marker familier)
$content = [System.Text.Encoding]::ASCII.GetString($all)
[regex]::Matches($content, "[A-Za-z0-9]{16,}") | Select-Object -First 5

Ce script ne modifie jamais le fichier (toutes les opérations sont en lecture seule) et permet de récupérer le hash, le header et le footer - utiles pour le forum BleepingComputer si ID Ransomware ne reconnaît pas la souche.

Étape 3 - Récupérer la note de rançon

La note se trouve généralement à la racine du bureau, dans le dossier Documents, et déposée dans chaque dossier contenant des fichiers chiffrés. Les noms les plus courants en 2026 :

  • README.txt
  • _readme.txt (STOP/Djvu)
  • HOW_TO_DECRYPT.txt
  • !!!HELP_FILE!!!.html
  • restore-my-files.txt (LockBit)
  • RECOVER_DATA.html (Akira)
  • instructions_read_me.txt (BlackBasta)
  • recover-files.txt (Royal)

Avant upload, masquez les identifiants personnels. La note contient quasi systématiquement un UID, TID ou un lien Tor unique qui vous identifie auprès des attaquants. Remplacez ces chaînes par [REDACTED] dans une copie de la note avant de l'envoyer à ID Ransomware. Pourquoi : si vous décidez plus tard de faire intervenir un négociateur professionnel, l'attaquant ne doit pas savoir que vous avez analysé publiquement.

Étape 4 - Upload sur ID Ransomware

Accédez à id-ransomware.malwarehunterteam.com. L'interface propose deux champs :

  1. Ransom Note : la note de rançon (texte, HTML, image, audio TTS pour certaines variantes récentes).
  2. Sample Encrypted File : un fichier chiffré.

Limite : 1 Mo par fichier. Pas de compte requis, soumission anonyme. Le service traite la requête en quelques secondes.

Étape 5 - Lire le résultat

Trois cas de figure :

Identification positive avec déchiffreur disponible. Le résultat affiche le nom de la famille, un lien direct vers le déchiffreur officiel (souvent Emsisoft, Avast, Kaspersky ou No More Ransom), et un lien vers le topic BleepingComputer correspondant. Téléchargez le déchiffreur depuis la source officielle uniquement - il existe de faux déchiffreurs piégés.

Identification positive sans déchiffreur. La souche est connue mais aucun outil gratuit n'existe (cas de LockBit 3.0, Akira récents, Royal, BlackCat, Play, 8base, BlackBasta). Notez le nom exact pour les étapes suivantes (négociation, plainte, notification CNIL).

Identification incertaine ou multiple. Le service propose plusieurs candidats. Croisez avec BleepingComputer et No More Ransom pour départager.

Étape 6 - Croiser avec les bases alternatives

ID Ransomware n'est pas seul. Voici les bases complémentaires utiles en 2026 :

  • No More Ransom - Crypto Sheriff (nomoreransom.org) : initiative Europol + police néerlandaise + plusieurs antivirus. Base de 200+ déchiffreurs gratuits. Interface similaire (upload note + sample).
  • BleepingComputer Ransomware ID (bleepingcomputer.com/forums) : forum communautaire avec analystes bénévoles. Plus réactif sur les souches émergentes.
  • Emsisoft Ransomware Identification (emsisoft.com/ransomware-decryption) : intégré à leur catalogue de déchiffreurs.
  • Coveware (coveware.com) : identification gratuite pour les entreprises engageant une mission de négociation/réponse payante.

Familles de ransomwares courantes 2024-2026

Des lignes de code source sur un écran sombre
Des lignes de code source sur un écran sombre

FamilleExtension typiqueDéchiffreur gratuitModèle
LockBit 3.0 / Black.lockbit, .HLJkNskOq (random)Non (clés partielles via opération police 2024)RaaS - affiliation
LockBit 4.0.[random]NonRaaS - relance 2024
Akira.akira, .powerrangesPartiel (variantes anciennes)RaaS
BlackCat / ALPHV.[random 7 char]Non (clés FBI 2023, limitées)RaaS - démantelé partiellement
Royal.royal, .royal_w, .royal_uNonGroupe fermé
BlackBasta.bastaNonRaaS
Play.play, .PLAYNonGroupe fermé
8base.8base, .id-.8baseNonRaaS
STOP / Djvu.djvu, .stop, .pulsar1, .qehu, etc.Partiel (Emsisoft, clés offline uniquement)Solo + variantes
Phobos.phobos, .eight, .eject, .devosPartiel (clés leakées 2024)RaaS
Conti (héritage).conti, .[random 5]Non (code source fuité 2022)Démantelé - variantes actives
Hive (héritage).hive, .[random]Oui (clés FBI 2023)Démantelé janv. 2023
Babuk (héritage).babuk, .babyk, .NIST_K571Partiel (code fuité 2021)Démantelé - variantes actives
Cl0p.clop, .C_L_O_P, .cllpNonGroupe fermé
Medusa.MEDUSANonRaaS

Le statut peut évoluer : surveiller régulièrement No More Ransom et les annonces du CERT-FR.

Après l'identification - que faire selon le résultat

Cas A - Un déchiffreur officiel existe

Excellente nouvelle, mais attention aux pièges.

  1. Téléchargez le déchiffreur depuis la source officielle uniquement (lien depuis ID Ransomware, No More Ransom, ou site éditeur).
  2. Testez d'abord sur une copie d'un fichier chiffré. Si la copie est correctement déchiffrée, étendez à l'ensemble du parc.
  3. Conservez les fichiers chiffrés originaux jusqu'à confirmation que la récupération est complète et stable (1 à 2 semaines minimum).

Voir notre guide Déchiffrer un ransomware sans payer pour le détail des outils par famille.

Cas B - Aucun déchiffreur disponible

Pas de panique - c'est le cas le plus fréquent en 2026 sur les familles RaaS récentes. Plusieurs leviers restent :

Choix éditorial
4.5 / 5

Scanner les fragments récupérables avec EaseUS

Fondé en 2004Garantie 30 joursVersion gratuite 2 Go
Voir l'offre

Cas C - Plainte et notification obligatoires

Quel que soit le résultat :

  • Plainte au commissariat ou en ligne sur cybermalveillance.gouv.fr (France). IC3.gov aux États-Unis. INCIBE en Espagne.
  • Notification CNIL sous 72 heures si vous traitez des données personnelles de tiers (clients, salariés, contacts). Obligation RGPD article 33. Formulaire sur cnil.fr.
  • Déclaration à l'assurance cyber si vous êtes couvert - plainte obligatoire pour activer l'indemnisation.

Faux positifs et pièges courants

Variantes basées sur du code source fuité

Le code source de Conti, LockBit Black, Babuk et HelloKitty a fuité entre 2021 et 2024. Des variantes amateurs reprennent ces codes avec leurs propres clés. ID Ransomware peut les classer dans la famille parent, mais le déchiffreur de la famille parent ne fonctionne pas sur ces variantes (clés indépendantes). Toujours tester sur une copie avant déploiement.

Homonymies d'extensions

Plusieurs familles utilisent les mêmes extensions génériques :

  • .locked : utilisé par au moins 12 familles différentes (TeslaCrypt, Locked-In, Cerber, etc.).
  • .encrypted : 8 familles connues.
  • .crypt : 6 familles.

Sans la note de rançon, l'identification par extension seule est non fiable. Toujours uploader les deux.

Faux déchiffreurs

Les forums underground et certains sites de SEO black hat proposent de faux déchiffreurs piégés (eux-mêmes ransomwares ou voleurs d'identifiants). Téléchargez uniquement depuis :

  • Le lien officiel sur ID Ransomware.
  • No More Ransom.
  • Sites éditeurs antivirus (Emsisoft, Kaspersky, Avast, Bitdefender, Trend Micro).

Sécurité du service - points de vigilance

ID Ransomware n'expose pas le contenu de vos fichiers : un fichier chiffré sans la clé est cryptographiquement inutilisable, même pour MalwareHunterTeam. La note de rançon, en revanche, mérite attention :

  • Identifiants victimes uniques (UID, TID, ID transaction, adresse Bitcoin personnelle, lien Tor unique). Masquez-les avant l'upload.
  • Données structurées d'entreprise parfois injectées par les attaquants (nom de l'organisation, montants spécifiques). Préservez la confidentialité avant soumission publique.
  • Politique de conservation : ID Ransomware conserve les soumissions pour enrichir la base de recherche, mais ne publie pas le contenu. Pour les cas sensibles (gouvernement, santé, OIV), passer par un CSIRT national plutôt que par l'outil public.

En résumé

Identifier la souche est la première action utile après l'isolement de la machine. La procédure prend 10 à 15 minutes, ne coûte rien, et conditionne toute la suite : déchiffreur disponible, modèle de menace, obligations légales, choix de l'outil de récupération.

Démarrez par id-ransomware.malwarehunterteam.com, croisez avec No More Ransom et BleepingComputer, puis décidez. Et si vous êtes en pleine attaque sans plan, suivez la méthodologie complète dans Récupérer ses fichiers après un ransomware - ou démarrez un diagnostic pour évaluer les chances de récupération.

Ressources

Choix éditorial
4.5 / 5

Voir l'offre EaseUS Data Recovery Wizard

30 jours satisfait ou remboursé

Fondé en 2004Garantie 30 joursVersion gratuite 2 Go
Voir l'offre

Questions fréquentes

ID Ransomware est-il sûr et fiable ?

Oui. Le service est opéré par MalwareHunterTeam depuis 2016 (Michael Gillespie, chercheur référent sur les déchiffreurs). Il est cité par Europol, le FBI et la majorité des CERT nationaux comme premier outil d'identification. La base couvre plus de 1300 familles et a traité plus de 1,5 million de soumissions. Le code des composants côté serveur n'est pas open source, mais l'historique de l'équipe et l'absence d'incident de fuite en font une référence consensuelle.

Les données envoyées sont-elles confidentielles ?

Le fichier chiffré uploadé est inutilisable sans la clé de l'attaquant - il ne peut donc pas révéler le contenu original. La note de rançon, en revanche, contient souvent un identifiant victime unique (UID/TID, parfois une adresse Bitcoin ou un portail Tor personnel). Masquez ou tronquez ces identifiants avant l'upload, surtout si vous comptez négocier ou faire intervenir un négociateur professionnel. ID Ransomware n'exige pas de compte, conserve les soumissions pour la base de recherche, mais ne publie pas le contenu.

Que faire si ID Ransomware ne reconnaît pas la souche ?

Trois pistes complémentaires. D'abord la base BleepingComputer Ransomware Identification (forum communautaire avec analystes bénévoles, souvent plus réactif sur les souches émergentes). Ensuite Crypto Sheriff de No More Ransom, qui utilise une logique similaire mais une base différente. Enfin Emsisoft Ransomware Identification, intégrée à leur outil de déchiffrement. Si aucun ne reconnaît, il s'agit probablement d'une variante très récente ou d'un ransomware ciblé - contactez un CSIRT national (CERT-FR en France, CISA aux États-Unis).

L'identification par extension de fichier est-elle fiable ?

Pas seule. Plusieurs familles partagent des extensions génériques (.locked, .encrypted, .crypto, .crypt) - il existe au moins une dizaine de ransomwares qui utilisent .locked. C'est pour cela qu'ID Ransomware croise extension, structure binaire du fichier chiffré (header, marker, footer) et hash de la note de rançon. L'identification par triangulation est fiable à plus de 95 % sur les familles connues.

Y a-t-il des risques de faux positifs ?

Oui, surtout avec les nouvelles variantes basées sur du code source fuité (Conti, LockBit Black, Babuk). Une variante peut être identifiée comme la famille parent alors qu'elle utilise une clé indépendante - le déchiffreur de la famille parent ne fonctionnera pas. Vérifiez toujours sur un fichier de test avant d'appliquer un déchiffreur à l'ensemble du parc, et ne supprimez jamais les originaux tant que la récupération n'est pas confirmée.