Victime d’un rançongiciel ou d’un ransomware, que faire ?

Débranchez la machine d’Internet ou du réseau informatique. Pour cela débranchez le câble Ethernet de votre ordinateur ou de votre serveur, ou bien désactivez la connexion Wi-Fi de votre appareil.

En entreprise, alertez immédiatement votre service ou prestataire informatique si vous en disposez afin qu’il puisse intervenir et prendre les mesures nécessaires si besoin.

Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux. 

Conservez ou faites conserver les preuves par un professionnel, notamment un exemple de message piégé, les fichiers de journalisation (logs) de votre pare-feu, des copies physiques des postes ou serveurs touchés (à défaut, conservez leurs disques durs), et quelques fichiers chiffrés qui pourront vous servir pour signaler cette attaque aux autorités et qui seront des éléments d’investigation.

Déposez plainte : en parallèle de la résolution technique de votre incident, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

 

Professionnels – Notifiez cette infection à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque par un rançongiciel à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, et/ou si les données sont divulguées de manière illicite (pour faire pression pour le paiement de la rançon par exemple), vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
– la nature de la violation

Les catégories et le nombre approximatif de personnes concernées par la violation.

Les catégories et le nombre approximatif Enregistrements de données à caractère personnel concernés.

Les conséquences probables de la violation de données.

Les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.

Identifiez la source de l’infection et prenez les mesures nécessaires pour qu’elle ne puisse pas se reproduire. En règle générale, l’infection peut provenir de l’ouverture d’une pièce jointe ou d’un clic sur un lien malveillant contenu dans un courriel (mail), l’utilisation d’une faille de sécurité, en naviguant sur un site malveillant ou bien encore d’une intrusion dans le système informatique depuis ses accès ouverts sur l’extérieur (travail à distance, maintenance…).

Faites une analyse antivirale complète de votre appareil : réalisez une analyse approfondie de votre appareil avec votre antivirus. Au préalable, n’oubliez pas de le mettre à jour.

Essayez de déchiffrer les fichiers si une solution existe. Le site No More Ransom peut fournir des solutions de déchiffrement qui peuvent fonctionner dans certains cas, si toutefois vous sentez, vous êtes perdu dans le domaine de déchiffrement de vos données, hésitez pas à nous contacter.

Réinstallez les systèmes touchés : en cas de doute, effectuez une restauration complète de votre ordinateur. Reformatez les postes ou serveurs touchés, effectuez ou faites effectuer une réinstallation complète de ces équipements puis restaurez les données depuis une sauvegarde réputée saine.