LEGALAUDIT
Cyber Coach

Ransomware

Ransomware : playbook victimes particuliers et PME

Les fichiers sont chiffrés, un README en anglais. Que faire les 60 premières minutes et les 72 heures suivantes.

15 min de lectureExpert

Drapeaux rouges à reconnaître

  • Fichiers avec nouvelles extensions (.locked, .encrypted, .lockbit, .akira, .blackcat)
  • README dans chaque dossier avec instructions de paiement Bitcoin ou Monero
  • Fond d'écran modifié avec compte a rebours
  • Sauvegardes réseau inaccessibles (les ransomware modernes chiffrent les sauvegardes connectées)
  • Windows Defender et Volume Shadow Copies désactivés
  • Site Tor du groupe menacant de publier les données exfiltrees
  • Lateral movement : plusieurs postes chiffrés en même temps

Quoi faire maintenant

  • Deconnectez les appareils infectés du réseau (cable + Wi-Fi off) sans les eteindre
  • NE payez PAS la rancon : finance les criminels et données souvent non recuperables
  • Vérifiez No More Ransom : decrypteurs gratuits pour beaucoup de souches
  • Preservez la memoire volatile et les logs : vitaux pour forensique et attribution
  • Contactez votre CSIRT national
  • Notifiez l'autorité de protection des données en 72h si données personnelles (RGPD)
  • Notifiez clients et fournisseurs selon obligations contractuelles
  • Restaurez depuis sauvegarde hors ligne saine après bonification complète

Cas réel

Ransomware LockBit sur PME industrielle, Emilie 2025

Une PME de mécanique en Emilie avec 42 salaries se reveille lundi avec 78 PC chiffrés. README en anglais demande 320 000 USD en Bitcoin en 72 heures, sinon publication de 240 Go de données exfiltrees sur le site Tor LockBit.

Le CEO ne paie pas. Il active le CSIRT, notifie l'autorité et previent les clients. Mythos analyse l'image forensique d'un endpoint : point d'entrée un RDP exposé sans MFA, identifiants d'une fuite 2023 jamais changes. Lateral movement avec BloodHound, exfiltration via Rclone vers Mega.

La PME restaure la production en 14 jours depuis sauvegarde hors ligne. Les données exfiltrees sont quand même publiées. Mythos a généré le dossier pour la plainte, le soutien RGPD et la reconstruction technique pour le proces contre les fournisseurs IT. No More Ransom a confirmé aucun decrypteur pour la variante utilisée.

Ce que Mythos peut faire sur ce cas

  • Identification de la souche ransomware depuis fichiers chiffrés et README
  • Vérification de disponibilité de decrypteurs sur No More Ransom
  • Analyse du point d'entrée (RDP, phishing, vulnerabilites)
  • Reconstruction du lateral movement et de l'exfiltration
  • Dossier pour notification CSIRT/autorité et assurance
  • chaîne de conservation pour eventuelle action civile/pénale

Prochaines étapes

Parler maintenant à MythosVérifier decrypteurs sur No More Ransom