Comment réagir en urgence

1. Si ransomware, isoler la machine d’Internet ou du réseau informatique ( câble Ethernet de votre ordinateur, désactivez la connexion Wi-Fi de votre appareil). N'éteignez pas la machine infectée tant qu'un professionnel n'est pas intervenu. Des données de chiffrement peuvent se trouver dans la mémoire vive de l'ordinateur permettant une intervention, ainsi que des fichiers utiles à votre entreprise ou pour l'enquête.
   
   

2. En entreprise, alertez immédiatement votre service ou prestataire informatique si vous en disposez afin qu’il puisse intervenir et prendre les mesures nécessaires si besoin.
   
   

3. Ne payez pas la rançon réclamée car vous n’êtes pas certain de récupérer vos données et vous alimenteriez le système mafieux.
   
   

4. Déposez plainte : en parallèle de la résolution technique de votre incident, déposez plainte au commissariat de police ou à la brigade de gendarmerie. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire en fournissant toutes les preuves en votre possession.
   
   Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.
   
   Faites-vous, au besoin, assister par un avocat spécialisé. Il est important de garder à l’esprit que le dépôt de plainte doit intervenir avant la réinstallation des appareils touchés, de manière à conserver les preuves techniques de l’incident et pouvoir les fournir aux enquêteurs.
   
   

5. Professionnels si intrusion– Notifiez cette infection à la CNIL s’il y a eu une violation de données à caractère personnel : si l’attaque par un rançongiciel à pour conséquence une indisponibilité, une modification ou une suppression de données à caractère personnel, et/ou si les données sont divulguées de manière illicite, vous pourriez être dans l’obligation de notifier l’incident à la CNIL voire aux personnes concernées. Vous devrez notamment préciser :
   – la nature de la violation,
   – les catégories et le nombre approximatif de personnes concernées par la violation,
   – les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés,
   – les conséquences probables de la violation de données,
   – les mesures prises ou que vous envisagez de prendre pour éviter que cet incident se reproduise ou atténuer les éventuelles conséquences négatives.
   
   

6. Faites-vous assister au besoin par des professionnels qualifiés pour :

• Identifier la source de l’infection et prendre les mesures nécessaires pour qu’elle ne puisse pas se reproduire. En règle générale, l’infection peut provenir de l’ouverture d’une pièce jointe ou d’un clic sur un lien malveillant contenu dans un courriel (mail), l’utilisation d’une faille de sécurité, en naviguant sur un site malveillant ou bien encore d’une intrusion dans le système informatique depuis ses accès ouverts sur l’extérieur (travail à distance, maintenance…).

• Conserver les preuves.

• Faire une analyse complète et approfondie du réseau. (Il est possible que les pirates laissent une porte ouverte afin de procéder à une nouvelle attaque ultérieurement).

• Essayer de déchiffrer les fichiers si une solution existe.

7. En dernier lieu, réinstallez les systèmes touchés : en cas de doute, effectuez une restauration complète de votre ordinateur. Reformatez les postes ou serveurs touchés, effectuez ou faites effectuer une réinstallation complète de ces équipements puis restaurez les données depuis une sauvegarde réputée saine.