Comment Supprimer un Ransomware de son Ordinateur — Guide Complet 2026

La première chose à faire, dans les secondes qui suivent la découverte d'une infection par ransomware, c'est d'isoler physiquement l'ordinateur du réseau. Le ransomware se propage à une vitesse alarmante : en deux minutes, il peut avoir chiffré tous les appareils connectés à votre réseau WiFi domestique ou d'entreprise.

• Débranchez immédiatement le câble Ethernet de l'ordinateur infecté
• Désactivez le WiFi : cliquez sur l'icône réseau dans la barre des tâches, puis «Déconnecter»
• Si possible, désactivez aussi le Bluetooth
• Sur Windows : allez dans Paramètres > Réseau et Internet > Mode avion — activez-le
• Si plusieurs ordinateurs sont sur le même réseau, vérifiez s'ils sont aussi infectés
• Ne reconnectez à Internet qu'une fois le nettoyage complet terminé

La pression psychologique est énorme. Les pirates fixent un compte à rebours, doublent la rançon après 72 heures, et prétendent que c'est «la seule solution». C'est faux. Voici pourquoi vous ne devez pas payer :

• 30% des victimes qui paient ne reçoivent jamais la clé de déchiffrement — l'argent part sans retour
• Payer confirme aux criminels que vous êtes une cible rentable — vous serez probablement reciblé
• Le paiement en cryptomonnaie est irréversible : impossible de récupérer votre argent
• Des outils de déchiffrement gratuits existent pour plus de 150 variantes de ransomware
• Un technicien spécialisé peut souvent récupérer vos données sans payer de rançon
• Signalez l'attaque au Centre canadien pour la cybersécurité : cyber.gc.ca

Le mode sans échec démarre Windows avec un minimum de processus. Cela empêche le ransomware de se charger au démarrage et vous permet de le supprimer plus facilement. Choisissez «avec réseau» pour pouvoir télécharger les outils de nettoyage.

• Cliquez sur Démarrer > Paramètres > Système > Récupération
• Sous «Démarrage avancé», cliquez sur Redémarrer maintenant
• Dans le menu bleu : Dépannage > Options avancées > Paramètres de démarrage > Redémarrer
• Au redémarrage, appuyez sur la touche F5 pour «Mode sans échec avec réseau»
• Autre méthode : maintenez Maj (Shift) enfoncée en cliquant sur Redémarrer dans le menu Démarrer
• Sur Windows 10/11 : vous pouvez aussi appuyer 3 fois sur le bouton d'alimentation pour forcer le menu de récupération

Avant de tenter un déchiffrement, vous devez savoir quelle variante de ransomware vous a infecté. Chaque variante a sa propre clé de chiffrement. L'outil gratuit ID Ransomware identifie la variante en quelques secondes à partir de la note de rançon ou d'un fichier chiffré.

• Sur un autre appareil non infecté (téléphone ou autre ordinateur), allez sur id.ransomware.malwarehunterteam.com
• Photographiez ou copiez le texte de la note de rançon (fichier README.txt, DECRYPT.txt, ou message sur l'écran)
• Soumettez un fichier chiffré (par exemple un document .docx devenu .locked ou .encrypted)
• L'outil identifie la variante et indique si un déchiffrement est disponible
• Notez le nom exact de la variante — vous en aurez besoin à l'étape 6
• Si la variante n'est pas reconnue, continuez quand même avec Malwarebytes à l'étape 5

Malwarebytes Free est l'un des meilleurs outils gratuits pour détecter et supprimer les ransomwares. Il est reconnu par les experts en cybersécurité du monde entier et fonctionne même en mode sans échec. Téléchargez-le depuis un autre appareil si nécessaire.

• Téléchargez Malwarebytes sur malwarebytes.com (version gratuite suffisante pour la suppression)
• Lancez l'installation et choisissez «Scanner uniquement» si on vous demande le type d'utilisation
• Cliquez sur Scanner pour lancer une analyse complète du système
• L'analyse dure de 15 à 45 minutes selon la taille de votre disque dur
• À la fin, cliquez sur Tout mettre en quarantaine pour isoler les menaces détectées
• Redémarrez l'ordinateur toujours en mode sans échec si Malwarebytes le demande
• Faites un second scan après redémarrage pour confirmer que la menace est éliminée

Une fois le ransomware supprimé par Malwarebytes, vos fichiers restent chiffrés. Pour les récupérer sans payer la rançon, le site NoMoreRansom.org est votre meilleure ressource. Des chercheurs en sécurité y publient régulièrement de nouveaux outils de déchiffrement gratuits dès qu'ils cassent une variante.

• Allez sur nomoreransom.org/fr/decryption-tools.html depuis un appareil sain
• Utilisez l'outil «Crypto Sheriff» : soumettez deux fichiers chiffrés et la note de rançon
• Si une solution est disponible, téléchargez l'outil de déchiffrement recommandé
• Lisez attentivement les instructions avant d'exécuter l'outil — chaque décrypteur fonctionne différemment
• Faites d'abord un test sur un petit dossier non critique avant de déchiffrer tout le disque
• Autres ressources : Avast Ransomware Decryption Tools et Kaspersky Free Ransomware Decryptors
• Si votre variante n'est pas couverte, vérifiez à nouveau dans quelques semaines — de nouveaux outils sont ajoutés régulièrement

Si vous avez une sauvegarde récente non connectée à votre ordinateur au moment de l'infection, c'est la méthode la plus simple et la plus fiable pour récupérer vos fichiers. Voici comment procéder en toute sécurité.

• Vérifiez d'abord que votre sauvegarde n'était pas connectée à l'ordinateur infecté pendant l'attaque (disque externe branché = potentiellement chiffré)
• Utilisez l'historique des fichiers Windows : Paramètres > Mise à jour > Sauvegarde > Plus d'options > Restaurer les fichiers
• Vérifiez les clichés instantanés Windows (Shadow Copy) : faites un clic droit sur un dossier chiffré et cherchez «Restaurer les versions précédentes»
• Si vous utilisez OneDrive ou Google Drive, vérifiez l'historique des versions — ces services conservent souvent 30 jours d'historique
• Pour une restauration depuis un disque externe : assurez-vous que l'ordinateur est propre (étapes 3-5 complétées) avant de brancher le disque
• Après restauration, changez tous vos mots de passe depuis un autre appareil

Pas de sauvegarde, pas d'outil de déchiffrement disponible pour votre variante. Ce n'est pas la fin. Un technicien spécialisé en récupération de données et en cybersécurité dispose d'outils et de techniques avancés qui peuvent récupérer tout ou partie de vos fichiers dans certains cas.

• Conservez le disque dur chiffré tel quel — ne le formatez surtout pas
• Un technicien peut analyser les métadonnées des fichiers chiffrés pour identifier des failles dans le chiffrement
• Certaines variantes de ransomware génèrent des clés de chiffrement faibles — récupérables par des spécialistes
• La récupération des fichiers supprimés ou des copies fantômes peut être possible même après une attaque
• Appelez IT Cares au (888) 711-9428 — intervention à distance en moins d'1 heure
• Si les fichiers sont critiques (données d'entreprise), une société spécialisée en forensique numérique peut être nécessaire

• STOP/Djvu — L'un des plus répandus au Canada. Outil disponible sur NoMoreRansom pour les clés hors ligne.
• WannaCry / WannaCrypt — Décrypteur disponible (WanaKiwi) si l'ordinateur n'a pas été redémarré après infection.
• Shade (Troldesh) — Les opérateurs ont publié eux-mêmes les clés de déchiffrement en 2020.
• Dharma (CrySiS) — Décrypteurs partiels disponibles pour certaines variantes sur NoMoreRansom.
• GandCrab — Décrypteur officiel disponible sur NoMoreRansom depuis la fermeture du groupe en 2019.
• Jigsaw — Décrypteur disponible, mais attention : l'arrêt du processus malveillant supprime des fichiers.

• LockBit 3.0 / LockBit 4.0 — Aucun déchiffrement gratuit disponible. Restauration depuis sauvegarde uniquement.
• BlackCat / ALPHV — Chiffrement robuste, pas de décrypteur public. Cas graves nécessitent spécialistes forensiques.
• Cl0p — Principalement ciblé sur les entreprises via failles zero-day. Pas de décrypteur public.
• Royal Ransomware — Variante émergente sans outil de déchiffrement connu.
• STOP/Djvu (clé en ligne) — Si chiffré avec une clé unique en ligne (connexion active lors de l'infection), pas de décrypteur disponible.