L'une des raisons qui peuvent rendre difficile la récupération de données cryptées en cas d'infection par un virus ransomware est l'identification du chiffreur. Si l'utilisateur peut identifier le ransomware, il peut alors vérifier s'il existe un moyen gratuit de décrypter les données.
Plus sur le sujet : Le travail d'un chiffreur à l'aide de l'exemple du ransomware
Découvrez quel ransomware a crypté les fichiers
Il existe plusieurs façons d'identifier un ransomware. En utilisant:
- le virus ransomware lui-même
- extension de fichier crypté
- Service en ligne ID Ransomware
- Utilitaires Bitdefender Ransomware
Avec la première méthode, tout est clair. De nombreux virus ransomware, tels que The Dark Encryptor, ne se cachent pas. Et identifier le malware ne sera pas difficile.
Le crypteur sombre
Vous pouvez également essayer d'identifier le ransomware en utilisant l'extension du fichier crypté. Tapez-le simplement dans la recherche et voyez les résultats.
Mais il existe des situations où il n'est pas si facile de savoir quels fichiers ont crypté par un ransomware. Dans ces cas, les deux méthodes suivantes nous aideront.
Identifiez les ransomwares à l’aide d’ID Ransomware
Une méthode d'identification d'un ransomware à l'aide du service en ligne ID Ransomware.
Identifiez les ransomwares à l'aide de Bitdefender Ransomware
Bitdefender Ransomware Recognition Tool est un nouveau programme pour Windows de Bitdefender qui permet d'identifier les ransomwares en cas d'infection par un ransomware.
Il s'agit d'un petit programme gratuit qui n'a pas besoin d'être installé. Il suffit d'exécuter le programme, d'accepter la licence et de l'utiliser pour identifier le ransomware. Vous pouvez télécharger l'outil de reconnaissance Bitdefender Ransomware depuis le site officiel via un lien direct.
Bitdefender n'écrit pas sur la compatibilité. Dans mon cas, le programme fonctionnait sur un appareil Windows 10 Pro. Veuillez noter que Bitdefender Ransomware Recognition Tool nécessite une connexion Internet.
Le principe de fonctionnement est le même que dans la méthode précédente. Dans le premier champ, nous indiquons le fichier avec le texte du message, et dans le second le chemin d'accès aux fichiers cryptés.
D'après ce que je comprends, l'outil de reconnaissance Bitdefender Ransomware n'envoie pas le fichier lui-même au serveur, mais analyse uniquement les noms et les extensions.
Une autre fonctionnalité intéressante de Bitdefender Ransomware Recognition Tool est qu'il peut être lancé depuis la ligne de commande.
Je n'ai pas testé l'outil de reconnaissance Bitdefender Ransomware, j'apprécierais donc tous les commentaires des personnes qui l'ont essayé en action.
C'est tout. J’espère que vous n’avez pas besoin de ces instructions, mais si vous rencontrez un ransomware, vous saurez comment l’identifier.
Bonjour les amis! Quel désastre, quel désastre ! Hier, j'ai failli être victime d'un virus ransomware. Et j’ai écrit cet article par colère. Pour que vous, cher lecteur, sachiez comment et quoi faire pour éviter le « jour du cryptographe ». Je m'en suis sorti cette fois. Je vais vous dire comment. Je partagerai également certaines de mes observations et expériences sur ce sujet.
Nous entendons tous périodiquement à la télévision parler des virus « petya », « wanna-cry », etc. Ce sont ce qu’on appelle les « stars mondiales », de classe internationale. Si on en parle à la télévision et que tout va bien sur votre ordinateur, vous ne risquez probablement plus de rencontrer une « star ». Des mesures ont été prises. Le virus a été détecté et neutralisé. Sa signature est déjà dans la base de données de votre antivirus intégré. Les virus de cryptage dont on ne parle pas à la télévision sont bien plus dangereux. Ils sont écrits par nos compatriotes, des « artistes libres », non chargés de normes morales.
C'était plus facile avant. Le virus ransomware a bloqué le bureau. Il y avait une banderole indécente sur l’écran qui disait : « Tu es juste comme ça ». Vous êtes puni, payez une amende. Tout cela a été traité assez rapidement et facilement. Et assez rapidement, les bannières de ransomwares sont passées de mode.
Ensuite, les futurs programmeurs du grand public ont décidé que nous devions nous développer davantage. Des lettres « innocentes » ont commencé à arriver par courrier. De plus, ils arrivent souvent en début de mois, ainsi qu'à des dates trimestrielles et annuelles. Un chef comptable (ou pas) sans méfiance ouvre une telle lettre. Le contenu ne s'ouvre pas. Il ne se passe rien. Elle ferme la lettre. Mais au bout d’une heure, il découvre que tous les fichiers documentaires, photographies et bases de données sont cryptés. Et dans chaque dossier de l'ordinateur se trouve un fichier contenant un message impudent et calme.
Ne désespérez pas! Lire l'article! Il existe des moyens de vous aider à vous protéger. Je vais maintenant essayer de les aborder de manière aussi détaillée que possible.
Ainsi, l'objet de la lettre que vous recevez peut contenir les mots suivants : « au chef comptable », « au service comptable », « Rapport de rapprochement », « Citation du tribunal », « Arbitrage », le mot « amende », On trouve souvent le terme « tribunal ».
Je le répète encore une fois - au début du mois et aux dates trimestrielles et annuelles, de telles «chaînes de lettres» arrivent le plus souvent. Le calcul est simple. Une malheureuse comptable (généralement une femme), dont les rapports trimestriels sont déjà « en feu », est prête à tout pour récupérer ses relevés, bases de données, tableaux, calculs et années de travail.
Mes amis, ne suivez pas l’exemple des extorsionnistes. Il n'y a aucune garantie de décryptage. Pourquoi rehausser l’estime de soi de ces malheureux « hackers » et donner la possibilité de continuer à voler des gens honnêtes et travailleurs ? Ne leur transférez pas d’argent ! La récupération est possible à condition que votre ordinateur soit correctement configuré et protégé. Suivez les recommandations !
Comment se protéger d’un virus ransomware sous Windows ?
Pour la première fois, on m'a demandé d'aider il y a deux ou trois ans... Et je me souviens alors que j'ai été frappé par cette, pourrait-on dire, ruse. Une fois qu’un virus pénètre dans le système, il fonctionne comme un programme normal. Les bases de données de l'antivirus sous licence (!) installé ne contenaient pas leurs signatures, donc au début les antivirus ne « considéraient » pas ces « applications » comme malveillantes.
Jusqu’à ce que les appels au soutien se généralisent. Le malware crypte tous les fichiers d'un ordinateur d'un certain type : textes, documents, photos, fichiers PDF. Et mon "invité" d'hier a déjà crypté même certains fichiers du programme 1C. Il y a des progrès.
Mais nous ne sommes pas nés derrière les fourneaux... Je dirai tout de suite qu'il ne sera pas possible de décrypter les fichiers cryptés avec un programme tiers. Je me souviens que Kaspersky Lab publiait des programmes de décryptage sur son site Internet.
Mais ils ne concernent que les virus d’un certain type. Cela ne m'a pas aidé. Demain, l'attaquant modifiera le code et ce programme ne m'aidera plus. La clé n'est connue que du « développeur ». Et s'il a déjà été emprisonné, personne ne vous enverra certainement de décrypteur. Afin de vous inciter à alléger votre portefeuille, les codes malveillants doivent surmonter plusieurs lignes de défense.
La première ligne de défense est votre attention et votre lisibilité. Vous allez toujours sur les mêmes sites. Si vous recevez du courrier, presque tout ce que vous recevez provient toujours des mêmes destinataires et a toujours le même contenu.
Lorsque vous recevez une lettre au contenu inhabituel, ne vous précipitez pas pour l'ouvrir. Si vous vous trouvez sur un site inconnu et voyez une fenêtre inhabituelle, ne vous précipitez pas pour continuer.
Si vous ou votre organisation possédez un site Web, supprimez-y les informations relatives à votre adresse e-mail. S’il est visible, il finira certainement sur la liste de diffusion des « romantiques de la route » intelligents. Donnez l'adresse uniquement à des personnes de confiance et en privé.
La deuxième ligne de défense est un antivirus national sous licence. Pourquoi une licence ? J'ai remarqué qu'un antivirus sous licence payant (qui a passé la certification d'État FSTEC) fonctionne mieux qu'un antivirus gratuit.
Encore une fois, j'ai revérifié quelque chose après la version « d'essai » de Kaspersky (bien qu'il y ait longtemps). Le résultat était décourageant. J'ai alors trouvé un tas de virus. C'est une observation. Pour une réelle sécurité, vous devez payer, même si ce n'est qu'une petite somme d'argent.
Pourquoi un antivirus domestique ? Parce que nos produits antivirus certifiés maintiennent des bases de données de sites indésirables et frauduleux. Les « collègues » étrangers ne peuvent pas toujours s'en vanter ; leur segment d'Internet est différent ; on ne peut pas tout couvrir.
Cependant, lancez un antivirus sur votre ordinateur la nuit
peut-être une fois par mois.
Comment un virus ransomware pénètre-t-il dans un ordinateur ?
Pour masquer la pièce jointe, celle-ci est presque toujours envoyée dans une archive. Par conséquent, nous allons d'abord vérifier la lettre inhabituelle avec un antivirus. Vous devez enregistrer le fichier sur votre ordinateur (l'antivirus le « regardera » déjà). Et puis faites un clic droit sur le fichier enregistré sur le disque et vérifiez à nouveau :
Le site est dans la base de données non recommandée. Cela signifie qu’il y a déjà eu des « cris d’alarme » de sa part. De plus, les versions payantes vérifient mieux les liens Internet à la recherche de virus « câblés » que les versions gratuites. Et lorsque vous cliquez sur un tel lien, ils neutralisent le virus, ou l'ajoutent à la liste des « suspects » et le bloquent.
Fin mars, j’ai utilisé ces méthodes simples pour détecter un autre virus de chiffrement « trimestriel » dans le courrier. La seule chose qu'il a réussi à faire a été de m'écrire un message sur tout l'ordinateur indiquant que les fichiers étaient cryptés, mais ce n'était pas le cas. Ils sont restés intacts, le code ne fonctionnait que pour créer un message :
Veuillez noter que l'adresse email d'un certain Vladimir Shcherbinin, né en 1991, est indiquée ici. Génération des années 90... C'est une fausse piste, car la véritable adresse se trouve en dessous. vous permet d'éviter de suivre votre ordinateur sur Internet par des moyens standards. Grâce à un tel navigateur, l'attaquant vous invite à le contacter. Tout est anonyme. Personne ne veut rester en prison.
Malheureusement, il arrive souvent que des virus contournent nos deux premières lignes de défense. Dans notre hâte, nous avons oublié d'analyser le fichier, ou peut-être que l'antivirus n'a pas encore reçu de données sur la nouvelle menace. Mais vous pouvez configurer la protection dans le système d'exploitation.
Comment configurer la protection contre les ransomwares dans Windows 10 ?
Nous continuons à construire une défense approfondie et multicouche contre les virus ransomwares et pas seulement contre les ransomwares. Les fichiers ne peuvent pas être déchiffrés. Mais ils peuvent être restaurés. Tout est question de paramètres. Si vous les faites avant que le virus ne pénètre dans l’ordinateur, le virus ne pourra rien faire. Et s'il le fait, il sera alors possible de restaurer les fichiers.
La troisième ligne de défense est notre ordinateur. Depuis longtemps déjà, depuis 2003, Microsoft utilise la technologie du « disk shadow copy ». Pour vous et moi, cela signifie que toute modification apportée au système peut être annulée.
Un « instantané » de votre disque dur est créé à l’avance, automatiquement à votre insu. Et le système le stocke, en ajoutant uniquement les modifications. Cette technologie est utilisée pour sauvegarder les données. Il vous suffit de l'allumer.
En fonction de la taille et des paramètres du disque, jusqu'à 64 « copies instantanées » précédentes peuvent être stockées sur le volume. Si cette option est activée, les fichiers cryptés peuvent être restaurés à partir d'une copie instantanée créée silencieusement quotidiennement.
Première étape – Accédez à cet ordinateur – bouton droit de la souris « propriétés » :
Options supplémentaires
Ouvrons l'onglet « Protection du système ». Dans l'exemple, l'option de protection est désactivée sur l'un des disques. Placez-vous avec la souris sur le lecteur sélectionné et cliquez sur « Configurer »
Les données peuvent être restaurées à partir d'une copie depuis cette fenêtre en cliquant sur le bouton « Restaurer »
Effectuez les réglages comme sur la figure :
L'étape suivante consiste à configurer le contrôle de compte d'utilisateur. Avez-vous remarqué qu'il n'y a jamais eu d'histoire à la télévision sur les « épidémies » de virus sur les appareils Linux et Android ?
Les attaquants ne les remarquent-ils pas ? Ils remarquent qu'ils écrivent activement des virus, mais le virus n'y fonctionne pas encore. Lorsque vous travaillez sur un tel appareil, vous ne disposez pas de droits d'administrateur sur celui-ci. Vous êtes un utilisateur ordinaire, avec des droits ordinaires, personne ne vous laissera modifier le système.
Si votre appareil est toujours sous garantie et que vous vous attribuez des droits d'administrateur (root) par des moyens spéciaux, le fabricant vous privera de la garantie pour cela. Tout virus actuellement connu, pénétrant dans un environnement carcéral « utilisateur » aussi limité, tente de changer quelque chose, mais en vain, puisque les commandes permettant de modifier le système sont silencieusement bloquées. C'est un énorme avantage de Linux.
Microsoft (qui signifie « petit et doux »), dans le cadre de son idéologie, a permis aux utilisateurs de modifier facilement et librement les paramètres de sécurité de leurs systèmes d'exploitation.
Si simple et gratuit que le virus, une fois dans l'environnement « administrateur », agit déjà avec des pouvoirs d'administrateur, rien ne l'interfère. D'où les épidémies massives et la conclusion selon laquelle seul l'utilisateur d'un ordinateur Windows est responsable de la sécurité de ses données. Lequel d'entre nous fait attention aux paramètres ? Jusqu'à ce que le tonnerre frappe... :-
J'espère vous avoir convaincu. Tout est facile. Accédez aux comptes d'utilisateurs
Nous déplaçons le curseur comme cela nous convient.
Désormais, lorsque vous lancez un programme à votre connaissance (ou à votre insu), le système vous demandera l'autorisation et vous en informera. Les petits et les plus délicats adorent ces fenêtres...
Et si vous disposez des droits d'administrateur, vous pouvez alors autoriser son exécution. Mais si vous êtes un utilisateur ordinaire, vous ne l'autoriserez pas. Par conséquent, encore une fois, la conclusion est qu'il est préférable d'avoir un compte administrateur protégé par mot de passe sur votre ordinateur et que tous les autres doivent être des utilisateurs ordinaires.
Bien sûr, tout le monde connaît cette fenêtre depuis longtemps, tout le monde l'a déjà mise, tout le monde l'éteint. Mais, si le contrôle de compte d'utilisateur est activé, il ne permettra pas au programme de démarrer même lorsqu'il est connecté directement à l'ordinateur à distance. Comme ça. Mais entre deux maux, il faut choisir le moindre. Qui aime quoi. Voici une autre courte vidéo sur ce sujet
L'étape suivante consiste à configurer les autorisations des dossiers. Pour les dossiers de documents particulièrement importants, vous pouvez configurer les droits d'accès pour chacun de ces dossiers. Dans les propriétés de n'importe quel dossier (via le bouton droit de la souris - "Propriétés"), il y a un onglet "Sécurité".
Par exemple, nous avons des utilisateurs sur notre ordinateur, disons que ce sont nos petits enfants. Nous ne voulons pas qu'ils puissent modifier le contenu de ce dossier. Par conséquent, cliquez sur « Modifier ».
Les coches grises correspondent à ce qui est défini par défaut. On peut cocher les cases et tout « interdire ». Même le visionnage. Vous pouvez bannir un groupe d'utilisateurs (comme sur la figure). Vous pouvez « Ajouter » un utilisateur spécifique. Le virus ne pourra rien faire si les autorisations « modifier » ou « écrire » sont refusées dans ce dossier. Essayez de bloquer l'écriture, puis de copier un fichier dans un tel dossier.
Et aussi, aujourd'hui, nous examinerons une mesure de protection contre les virus telle que la sauvegarde de fichiers. Pour une telle solution, vous devez acheter et installer au préalable sur votre ordinateur un autre disque dur d'une capacité non inférieure à celle sur laquelle votre Windows est installé. Ensuite, vous devez configurer l'archivage pour celui-ci.
Ayant échoué là-bas, nous nous retrouvons dans les paramètres :
Je n'ai pour le moment que la partition «D» de mon disque dur. C'est possible, mais seulement pour la première fois. Alors vous devez absolument vous acheter un disque dur externe. Une fois que vous avez choisi l'emplacement des archives, cliquez sur « Suivant ».
Si vous n'avez pas de disque dur, nous faisons tout comme sur la figure. Dans ce cas, seuls les fichiers situés dans des emplacements standards (Mes documents, Mes téléchargements d'images, Bureau, etc.) seront enregistrés. Cliquez sur Suivant".
C'est tout, mes amis. Le processus a commencé. Voici une vidéo qui vous explique comment créer une image système et restaurer un fichier à partir de l'image
Ainsi, pour se protéger efficacement contre les virus ransomwares, il suffit d'être prudent, de préférence d'avoir un antivirus domestique payant et un système d'exploitation configuré pour une sécurité normale. "Mais comment as-tu attrapé le virus du cryptage si tu es si intelligent ?" - me demandera le lecteur. Je me repens, mes amis.
Tous les réglages ci-dessus ont été effectués pour moi. Mais j'ai tout éteint moi-même pendant environ quelques heures. Mes collègues et moi étions en train d’établir à distance une connexion à une base de données qui ne voulait tout simplement pas être établie.
Il a été décidé d'utiliser de toute urgence mon ordinateur comme option de test. Pour m'assurer que les paquets ne sont pas interférés par l'antivirus, les paramètres réseau et le pare-feu, j'ai rapidement désinstallé l'antivirus pendant un moment et désactivé le contrôle des comptes d'utilisateurs. Juste tout. Lisez ci-dessous pour voir ce qui en est arrivé.
Lorsqu’un virus ransomware pénètre sur votre ordinateur, que devez-vous faire ?
Même si ce n’est pas facile, essayez d’abord de ne pas paniquer. Un attaquant ne peut pas connaître le contenu de votre ordinateur. Il agit aveuglément. Tout n’est pas crypté. Par exemple, les programmes et applications ne sont généralement pas cryptés. Les archives *.rar et *.7zip ne sont pas non plus disponibles. essayez d'ouvrir l'archive. S'il s'ouvre, c'est bien.
Quand j'ai découvert la « surprise », j'ai commencé à deviner que je l'avais « eue ». Je savais ce que je faisais... Tout d'abord, j'ai réinstallé l'antivirus. Dans un état découragé, j'ai réactivé le contrôle de compte d'utilisateur « complet » et j'ai exécuté une analyse nocturne de la partition système C :, sur laquelle Windows est installé.
Il était nécessaire d'extraire le fichier infecté. Si vous ne le faites pas, cela ne servira à rien. Tout sera à nouveau crypté. Nous traitons donc d’abord l’ordinateur.
Si possible, lancez une analyse de l'intégralité de l'ordinateur à l'aide du disque de vie gratuit de Dr Web ou d'un utilitaire gratuit similaire de Kaspersky Kspersky Resque Disk 10.
Dans la matinée, les « monstres » suivants ont été trouvés dans la quarantaine de mon antivirus :
Seulement trois, ça aurait pu être pire. Mais ces trois-là ont crypté tous mes biens. Que faisons-nous ensuite? Si l'archivage a été configuré, après traitement il vous suffit de restaurer les fichiers de l'archive, et c'est tout. Je suis allé dans les archives, où j'avais mis en place une sauvegarde quotidienne de mes fichiers pendant plusieurs mois.
Après l'avoir ouvert, j'ai vu que toutes les archives de toutes les dates étaient également supprimées. La liste est vide. Pourquoi est-ce arrivé ?
Les virus deviennent plus intelligents. J'ai moi-même désactivé le contrôle de compte d'utilisateur après avoir désinstallé l'antivirus. …….La première chose que le virus a faite après cela a été de se réjouir et de supprimer tous les fichiers de sauvegarde. Et à partir de ce moment-là, j'ai commencé à sombrer progressivement dans le découragement...
La deuxième chose à faire (je pensais) est de restaurer les fichiers à partir du cliché instantané du lecteur C:. Pour ce faire, j'utilise un programme gratuit permettant de visualiser des clichés instantanés d'un disque ShadowCopyView_ru_64 ou une version 32 bits. Il vous permet de visualiser et d'évaluer rapidement le contenu des clichés instantanés, ainsi que de restaurer des dossiers individuels.
Quand j'ai regardé les derniers instantanés, il s'est avéré qu'il ne restait que des copies cryptées... La deuxième chose que le virus a fait a été de tuer à nouveau mes anciennes copies fantômes du volume protégé, pour le rendre plus intéressant pour moi... Ou peut-être qu'ils ont été écrasés par des copies ultérieures... Final...
Il semblerait que ce soit tout. Pas tous, mes amis. L’essentiel est de ne pas abandonner.
Un virus a crypté des fichiers sur un ordinateur Windows 10, que faire, comment y remédier et comment le réparer ?
C’est ce que nos potentiels hackers n’ont pas encore réussi à atteindre. La dernière ligne de défense. Présent uniquement dans Windows 10, je ne l'ai pas encore vérifié, mais je pense que les « sept » et « huit » n'ont pas cette nouvelle merveilleuse fonctionnalité. Je l'ai remarquée récemment. Il s’agit d’une fonctionnalité vraiment nouvelle et intéressante. Dans la barre de recherche, nous tapons le mot « récupération »
Dans le Panneau de configuration, cliquez sur "Récupérer des fichiers à l'aide de l'historique des fichiers".
J'ai été ravi et je suis immédiatement allé, bien sûr, vers « Documents » et « Bureau ».
Et j'ai vu que les fichiers n'étaient pas cryptés. Hourra! « Merci Flèche Verte ! Le processus a commencé. Les fichiers ont été restaurés. L'ordinateur a été guéri des virus. Les paramètres de sécurité sont effectués. Que reste-t-il à faire d'autre ?
Vous devez également supprimer les fichiers cryptés. On ne sait jamais… Mais ils sont très, très nombreux. Comment les retrouver et les supprimer rapidement ? J'utilise le gestionnaire de fichiers Total Comander depuis longtemps. A mon goût il n'y a rien de mieux. Quiconque a commencé avec Far Manager me comprendra. Tonal peut rechercher rapidement des fichiers et bien plus encore. Nous allons nettoyer les disques un par un.
Commençons par la partition système, sélectionnez-la en cliquant sur la souris ou dans la liste déroulante dans le coin supérieur gauche :
Appuyez simultanément sur Alt + F7 sur le clavier. Nous avons appelé le panneau de recherche de fichiers.
Vous pouvez effectuer une recherche par nom. Tu peux faire ce que tu veux. Mais nous utiliserons un masque, c'est-à-dire que nous indiquons l'extension du fichier crypté *.freefoam par un astérisque et un point (votre « auteur » peut être différent, et l'extension sera différente). Par cela, nous avons indiqué que TOUS les fichiers avec cette extension doivent être recherchés. Emplacement de recherche « C : ». Vous pouvez également spécifier toutes les sections de ce panneau, pas seulement « C : ». Cliquez sur « Lancer la recherche ».
En appuyant sur « l’étoile » du clavier latéral, on met en évidence tous les fichiers du panneau en rose. Pour supprimer des fichiers dans la corbeille, appuyez sur F8 ou Suppr :
Nous avons nettoyé tous les déchets cryptés restants comme un aspirateur. Laissez-le reposer dans le panier pour le moment. Ensuite, je le supprimerai. De la même manière, j'ai nettoyé toutes les sections une à une en une quarantaine de minutes. J'ai beaucoup de choses cryptées.
Mais j’ai eu de la chance, car ça peut arriver pire. Cette nouvelle fonctionnalité m'a littéralement sauvé. Je ne sais pas si l'activation des clichés instantanés affecte cette nouvelle fonctionnalité. Il semble que oui, mais je n'ai pas vérifié spécifiquement. D'une manière ou d'une autre, je ne veux plus :)
Écrivez si vous savez. Et les conclusions suivantes peuvent être tirées. Si vous disposez d’un bon antivirus et configurez correctement le système d’exploitation Windows 10, vous pouvez essuyer le nez de l’attaquant et le laisser sans rien. Au revoir, mes amis.
Récemment, le virus le plus dangereux est un cheval de Troie de cryptage de fichiers, reconnu comme Trojan-Ransom.Win32.Rector, qui crypte tous vos fichiers (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar, etc.). Le problème est que le décryptage de tels fichiers est extrêmement difficile et sans certaines connaissances et compétences, c'est tout simplement impossible.
Le processus d'infection se déroule de manière astucieuse. Un email arrive avec un fichier joint du type « document. pdf .exe " Lorsque ce fichier est ouvert, et en fait lorsqu'il est lancé, le virus commence à fonctionner et à chiffrer les fichiers. Si vous détectez l'effet de ce fichier, mais continuez à travailler sur cet ordinateur, il crypte de plus en plus de fichiers. Une extension telle que « Cette adresse e-mail est protégée contre les robots spammeurs, vous devez activer Javascript pour la visualiser » est ajoutée aux fichiers cryptés (le nom peut être différent), et un fichier Internet ou texte comme« EXPAND_FILES.html » dans lequel les attaquants décrivent comment vous soutirer de l'argent pour leur sale boulot. Voici le texte du vrai fichier provenant de l’ordinateur infecté de mes clients :
|
Tous vos documents ont été cryptés avec l'un des algorithmes de cryptage les plus puissants. Il est impossible de décrypter des fichiers sans connaître le mot de passe unique de votre PC ! Ne modifiez pas le nom ou la structure des fichiers et n'essayez pas de décrypter les fichiers à l'aide de différents décrypteurs publiés sur Internet ; ces actions peuvent rendre impossible la récupération de vos fichiers. Si vous devez vous assurer que vos fichiers peuvent être décryptés, vous pouvez nous envoyer un e-mail - Cette adresse e-mail est protégée contre les robots spammeurs. Pour la visualiser, vous devez avoir activé Javascript pour n'importe quel fichier et nous vous renverrons son original version. Le coût du décrypteur pour décrypter vos fichiers est de 0,25 BTC (Bitcoin) Votre portefeuille Bitcoin pour le paiement est 1AXJ4eRhAxgjRh6Gdaej4yPGgKt1DnZwGF Vous pouvez trouver où acheter du Bitcoin sur le forum - https://forum.btcsec.com/index.php?/forum/35-obmenniki/ Nous recommandons des échangeurs tels que https://wmglobus.com/, https:// orangeexchangepro.com /Il est également possible de payer 3 500 roubles sur un portefeuille qiwi, pour obtenir le numéro de portefeuille dont vous avez besoin pour nous contacter par email - Cette adresse e-mail est protégée contre les robots spammeurs, vous devez activer Javascript pour la voir. |
Auparavant, le seul salut contre ce virus consistait à supprimer tous les fichiers infectés et à les restaurer à partir d'une sauvegarde stockée sur un disque externe ou une clé USB. Cependant, comme peu de personnes font des copies de sauvegarde, et encore moins les mettent à jour régulièrement, les informations ont tout simplement été perdues. La grande majorité des options permettant de payer un ransomware pour décrypter vos fichiers se soldent par une perte d’argent et sont simplement une arnaque.
Les laboratoires antivirus développent désormais des méthodes et des programmes pour se débarrasser de ce virus. Kaspersky Lab a développé un utilitaire, RectorDecryptor, qui permet de décrypter les fichiers infectés. À partir de ce lien, vous pouvez télécharger le programme RectorDecryptor. Ensuite, vous devez le lancer, cliquer sur le bouton « Démarrer l'analyse », sélectionner un fichier crypté, après quoi le programme décryptera automatiquement tous les fichiers cryptés de ce type. Les fichiers sont restaurés dans les mêmes dossiers où se trouvaient les fichiers cryptés. Après cela, vous devez supprimer les fichiers cryptés. Le moyen le plus simple de procéder consiste à utiliser la commande suivante, tapée sur la ligne de commande : del "d:\*.AES256" /f /s (où AES256 doit être l'extension de votre virus). Il est également nécessaire de supprimer les fichiers de messagerie de l’attaquant disséminés dans tout l’ordinateur. Vous pouvez le faire avec la commande suivante : del"d:\ EXTEND_FILES.html " /f /s tapé sur la ligne de commande.
Vous devez d'abord protéger votre ordinateur contre la possibilité de propagation d'un virus. Pour ce faire, vous devez effacer les fichiers de démarrage suspects du démarrage, désinstaller les programmes suspects, effacer les dossiers temporaires et les caches du navigateur (vous pouvez utiliser l'utilitaire CCleaner pour cela ).
Cependant, il convient de noter que cette méthode de décryptage ne peut aider que ceux dont le virus a déjà été traité par Kaspersky Lab et est inclus dans la liste de l'utilitaire RectorDecryptor. S'il s'agit d'un nouveau virus qui ne figure pas encore dans la liste des virus neutralisés, vous devrez alors envoyer vos fichiers infectés à Kaspersky Labs pour décryptage. Docteur .la toile , ou Hocher la tête 32 ou restaurez-les à partir d'une sauvegarde (ce qui est beaucoup plus simple).
Si les actions pour neutraliser vos virus et traiter votre ordinateur sont d'une certaine complexité, alors afin de ne pas causer encore plus de dégâts ou détruire le système d'exploitation (ce qui peut conduire à une réinstallation complète les fenêtres ), il est préférable de contacter un spécialiste qui le fera de manière professionnelle. Les outils modernes permettent de réaliser toutes ces actions à distance partout dans le monde où il y a une connexion Internet.
Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?
Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.
Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le ransomware « s’installe » dans le dossier système System32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.
Le ransomware se déguise souvent en images ou en fichiers texte ordinaires., mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.
Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.
Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.
Protéger Windows contre les ransomwares 2017 – règles de base :
- Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
- mise à jour des bases antivirus et des pare-feu à la demande
- une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
- Sauvegarde des informations importantes sur un support amovible.
Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.
En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».
Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.
À l'heure actuelle, le moyen le plus efficace de récupérer les données perdues est de contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, vous devez envoyer une lettre ou utiliser le formulaire de commentaires sur le site Web du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup, une attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.
Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à un formatage complet du disque dur, ce qui implique un changement complet de système d'exploitation. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.
Bonjour à tous, aujourd'hui je vais vous expliquer comment décrypter des fichiers après un virus sous Windows. L'un des logiciels malveillants les plus problématiques aujourd'hui est un cheval de Troie, ou virus, qui crypte les fichiers sur le disque d'un utilisateur. Certains de ces fichiers peuvent être déchiffrés, mais d’autres ne peuvent pas encore l’être. Dans l'article, je décrirai les algorithmes d'action possibles dans les deux situations.
Il existe plusieurs modifications de ce virus, mais l'essence générale du travail est qu'après l'installation sur votre ordinateur, vos fichiers de documents, images et autres fichiers potentiellement importants sont cryptés avec un changement d'extension, après quoi vous recevez un message indiquant que tous vos les fichiers ont été cryptés et pour les décrypter, vous devez envoyer un certain montant à l'attaquant.
Les fichiers sur l'ordinateur sont cryptés en xtbl
L'une des dernières variantes du virus ransomware crypte les fichiers, les remplaçant par des fichiers portant l'extension .xtbl et un nom composé d'un ensemble aléatoire de caractères.
Parallèlement, un fichier texte readme.txt est placé sur l'ordinateur avec approximativement le contenu suivant : « Vos fichiers ont été cryptés. Pour les décrypter, vous devez envoyer le code à l'adresse email [email protégé], [email protégé] ou [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de décryptage des fichiers vous-même entraîneront une perte irrémédiable d'informations » (l'adresse e-mail et le texte peuvent différer).
Malheureusement, il n'existe aucun moyen de décrypter .xtbl pour le moment (dès qu'il sera disponible, les instructions seront mises à jour). Certains utilisateurs qui avaient des informations très importantes sur leur ordinateur rapportent sur les forums antivirus qu'ils ont envoyé aux auteurs du virus 5 000 roubles ou tout autre montant requis et ont reçu un décrypteur, mais c'est très risqué : vous risquez de ne rien recevoir.
Que faire si les fichiers ont été chiffrés en .xtbl ? Mes recommandations sont les suivantes (mais elles diffèrent de celles de nombreux autres sites thématiques, où, par exemple, elles recommandent d'éteindre immédiatement l'ordinateur de l'alimentation électrique ou de ne pas supprimer le virus. À mon avis, cela est inutile, et sous certains Dans certaines circonstances, cela peut même être nocif, mais c'est à vous de décider.) :
- Si vous savez comment faire, interrompez le processus de cryptage en effaçant les tâches correspondantes dans le gestionnaire de tâches, en déconnectant l'ordinateur d'Internet (cela peut être une condition nécessaire au cryptage)
- Mémorisez ou notez le code dont les attaquants ont besoin pour qu'il soit envoyé à une adresse e-mail (mais pas à un fichier texte sur l'ordinateur, juste au cas où, afin qu'il ne soit pas non plus crypté).
- À l'aide de Malwarebytes Antimalware, d'une version d'essai de Kaspersky Internet Security ou de Dr.Web Cure It, supprimez le virus de cryptage de fichiers (tous ces outils font du bon travail). Je vous conseille d'utiliser tour à tour le premier et le deuxième produits de la liste (cependant, si vous avez installé un antivirus, l'installation du second « par le haut » n'est pas souhaitable, car cela peut entraîner des problèmes avec l'ordinateur.)
- Attendez qu'un décrypteur apparaisse d'une société antivirus. Kaspersky Lab est ici à l'avant-garde.
- Vous pouvez également envoyer un exemple de fichier crypté et le code requis à [email protégé], si vous disposez d'une copie non cryptée du même fichier, veuillez l'envoyer également. En théorie, cela pourrait accélérer l’apparition du décrypteur.
Ce qu'il ne faut pas faire:
- Renommez les fichiers cryptés, modifiez l'extension et supprimez-les s'ils sont importants pour vous.
C'est probablement tout ce que je peux dire sur les fichiers cryptés avec l'extension .xtbl pour le moment.
Trojan-Ransom.Win32.Aura et Trojan-Ransom.Win32.Rakhni
Le cheval de Troie suivant chiffre les fichiers et installe les extensions de cette liste :
- .fermé à clé
- .crypto
- .kraken
- .AES256 (pas nécessairement ce cheval de Troie, il y en a d'autres qui installent la même extension).
- .codercsu@gmail_com
- .oshit
- Et d'autres.
Pour décrypter les fichiers après l'intervention de ces virus, le site Web de Kaspersky dispose d'un utilitaire gratuit appelé RakhniDecryptor, disponible sur la page officielle http://support.kaspersky.ru/viruses/disinfection/10556.
Il existe également des instructions détaillées sur l'utilisation de cet utilitaire, montrant comment restaurer des fichiers cryptés, à partir desquelles, juste au cas où, je supprimerais l'élément « Supprimer les fichiers cryptés après un décryptage réussi » (même si je pense que tout ira bien avec l'option installée) .
Si vous disposez d'une licence antivirus Dr.Web, vous pouvez utiliser le décryptage gratuit de cette société sur la page http://support.drweb.com/new/free_unlocker/
Plus d'options de virus ransomware
Moins courants, mais également rencontrés, sont les chevaux de Troie suivants qui chiffrent les fichiers et exigent de l'argent pour le décryptage. Les liens fournis contiennent non seulement des utilitaires permettant de renvoyer vos fichiers, mais également une description des signes qui aideront à déterminer que vous êtes porteur de ce virus particulier. Bien qu'en général, le moyen optimal consiste à analyser le système à l'aide de l'antivirus Kaspersky, à connaître le nom du cheval de Troie selon la classification de cette société, puis à rechercher un utilitaire portant ce nom.
- Trojan-Ransom.Win32.Rector - l'utilitaire de décryptage gratuit RectorDecryptor et les instructions d'utilisation sont disponibles ici : http://support.kaspersky.ru/viruses/disinfection/4264
- Trojan-Ransom.Win32.Xorist est un cheval de Troie similaire qui affiche une fenêtre vous demandant d'envoyer un SMS payant ou de contacter par e-mail pour recevoir des instructions de décryptage. Les instructions pour restaurer les fichiers cryptés et l'utilitaire XoristDecryptor pour cela sont disponibles sur la page http://support.kaspersky.ru/viruses/disinfection/2911
- Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury - Utilitaire RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
- Trojan.Encoder.858 (xtbl), Trojan.Encoder.741 et autres avec le même nom (lors d'une recherche via l'antivirus Dr.Web ou l'utilitaire Cure It) et des numéros différents - essayez de rechercher sur Internet par le nom du cheval de Troie. Pour certains d'entre eux, il existe des utilitaires de décryptage de Dr.Web, même si vous n'avez pas réussi à trouver l'utilitaire, mais que vous disposez d'une licence Dr.Web, vous pouvez utiliser la page officielle http://support.drweb.com/new/free_unlocker /
- CryptoLocker - pour décrypter les fichiers après le fonctionnement de CryptoLocker, vous pouvez utiliser le site http://decryptcryptolocker.com - après avoir envoyé l'exemple de fichier, vous recevrez une clé et un utilitaire pour récupérer vos fichiers.
Eh bien, d'après les dernières nouvelles, Kaspersky Lab, en collaboration avec des agents des forces de l'ordre des Pays-Bas, a développé Ransomware Decryptor (http://noransom.kaspersky.com) pour décrypter les fichiers après CoinVault, mais ce ransomware n'est pas encore trouvé sous nos latitudes.
D'ailleurs, s'il s'avère soudain que vous avez quelque chose à ajouter (car je n'aurai peut-être pas le temps de surveiller ce qui se passe avec les méthodes de décryptage), faites-le-moi savoir dans les commentaires, cette information sera utile aux autres utilisateurs qui sont confronté à un problème.