Vous est-il déjà arrivé de recevoir un message par e-mail, Skype ou ICQ d'un expéditeur inconnu avec un lien vers une photo de votre ami ou des félicitations pour les vacances à venir ? Vous ne semblez pas vous attendre à une quelconque configuration, et tout à coup, lorsque vous cliquez sur le lien, un logiciel malveillant sérieux est téléchargé sur votre ordinateur. Avant que vous vous en rendiez compte, le virus a déjà crypté tous vos fichiers. Que faire dans une telle situation ? Est-il possible de restaurer des documents ?

Afin de comprendre comment gérer les logiciels malveillants, vous devez savoir de quoi il s’agit et comment ils pénètrent dans le système d’exploitation. De plus, peu importe la version de Windows que vous utilisez : le virus Critroni vise à infecter n'importe quel système d'exploitation.

Virus informatique de cryptage : définition et algorithme d'action

Un nouveau logiciel antivirus est apparu sur Internet, connu sous le nom de CTB (Curve Tor Bitcoin) ou Critroni. Il s'agit d'un cheval de Troie rançongiciel amélioré, similaire en principe au logiciel malveillant précédemment connu CriptoLocker. Si un virus a crypté tous les fichiers, que devez-vous faire dans ce cas ? Tout d'abord, vous devez comprendre l'algorithme de son fonctionnement. L'essence du virus est de crypter tous vos fichiers avec les extensions .ctbl, .ctb2, .vault, .xtbl ou autres. Cependant, vous ne pourrez pas les ouvrir tant que vous n’aurez pas payé la somme d’argent demandée.

Les virus Trojan-Ransom.Win32.Shade et Trojan-Ransom.Win32.Onion sont courants. Ils ressemblent beaucoup au STV dans leur action locale. Ils se distinguent par l’extension des fichiers cryptés. Trojan-Ransom code les informations au format .xtbl. Lorsque vous ouvrez un fichier, un message apparaît à l'écran indiquant que vos documents personnels, bases de données, photos et autres fichiers ont été cryptés par un logiciel malveillant. Pour les décrypter, vous devez payer pour une clé unique, qui est stockée sur un serveur secret, et ce n'est que dans ce cas que vous pourrez effectuer des opérations de décryptage et de cryptographie avec vos documents. Mais ne vous inquiétez pas, et encore moins envoyez de l’argent au numéro indiqué : il existe un autre moyen de lutter contre ce type de cybercriminalité. Si un tel virus pénétrait sur votre ordinateur et chiffrait tous les fichiers .xtbl, que devriez-vous faire dans une telle situation ?

Que ne pas faire si un virus de cryptage pénètre dans votre ordinateur

Il arrive que, dans la panique, nous installions un programme antivirus et, avec son aide, supprimions automatiquement ou manuellement les logiciels antivirus, perdant ainsi des documents importants. C'est désagréable, de plus, l'ordinateur peut contenir des données sur lesquelles vous travaillez depuis des mois. C'est dommage de perdre de tels documents sans possibilité de les récupérer.

Si le virus a crypté tous les fichiers .xtbl, certains tentent de modifier leur extension, mais cela ne conduit pas non plus à des résultats positifs. La réinstallation et le formatage du disque dur supprimeront définitivement le programme malveillant, mais vous perdrez en même temps toute possibilité de récupération de documents. Dans cette situation, les programmes de décryptage spécialement créés ne seront d'aucune utilité, car le logiciel ransomware est programmé à l'aide d'un algorithme non standard et nécessite une approche particulière.

À quel point un virus ransomware est-il dangereux pour un ordinateur personnel ?

Il est absolument clair qu'aucun programme malveillant ne profitera à votre ordinateur personnel. Pourquoi un tel logiciel est-il créé ? Curieusement, de tels programmes n'ont pas été créés uniquement dans le but d'escroquer le plus d'argent possible aux utilisateurs. En fait, le marketing viral est très rentable pour de nombreux inventeurs d’antivirus. Après tout, si un virus chiffrait tous les fichiers de votre ordinateur, vers qui vous tourneriez-vous en premier ? Naturellement, faites appel à des professionnels. Qu'est-ce que le cryptage pour votre ordinateur portable ou personnel ?

Leur algorithme de fonctionnement n'est pas standard, il sera donc impossible de guérir les fichiers infectés avec un logiciel antivirus classique. La suppression d'objets malveillants entraînera une perte de données. Seul le passage en quarantaine permettra de sécuriser d'autres fichiers que le virus malveillant n'a pas encore réussi à chiffrer.

Date d'expiration du logiciel malveillant de chiffrement

Si votre ordinateur est infecté par Critroni (malware) et que le virus a crypté tous vos fichiers, que devez-vous faire ? Vous ne pouvez pas décrypter vous-même les formats .vault-, .xtbl-, .rar en modifiant manuellement l'extension en .doc, .mp3, .txt et autres. Si vous ne payez pas le montant requis aux cybercriminels dans les 96 heures, ils vous enverront une correspondance intimidante par e-mail indiquant que tous vos fichiers seront définitivement supprimés. Dans la plupart des cas, les gens sont influencés par de telles menaces et accomplissent ces actions à contrecœur mais avec obéissance, craignant de perdre des informations précieuses. Il est dommage que les utilisateurs ne comprennent pas que les cybercriminels ne tiennent pas toujours parole. Une fois l’argent reçu, ils ne se soucient souvent plus du décryptage de vos fichiers verrouillés.

Lorsque la minuterie expire, il se ferme automatiquement. Mais vous avez toujours la possibilité de récupérer des documents importants. Un message apparaîtra à l'écran indiquant que le délai a expiré et vous pourrez afficher des informations plus détaillées sur les fichiers du dossier de documents dans un fichier de bloc-notes spécialement créé, DecryptAllFiles.txt.

Comment les logiciels malveillants de chiffrement pénètrent dans le système d'exploitation

En règle générale, les virus ransomware pénètrent dans un ordinateur via des messages électroniques infectés ou via de faux téléchargements. Il peut s'agir de fausses mises à jour flash ou de lecteurs vidéo frauduleux. Dès que le programme est téléchargé sur votre ordinateur à l'aide de l'une de ces méthodes, il crypte immédiatement les données sans possibilité de récupération. Si le virus a chiffré tous les fichiers .cbf, .ctbl, .ctb2 dans d'autres formats et que vous ne disposez pas d'une copie de sauvegarde du document stocké sur un support amovible, supposez que vous ne pourrez plus les récupérer. Pour le moment, les laboratoires antivirus ne savent pas comment déchiffrer ces virus de cryptage. Sans la clé requise, vous pouvez uniquement bloquer les fichiers infectés, les mettre en quarantaine ou les supprimer.

Comment éviter d'attraper un virus sur votre ordinateur

Menaçant tous les fichiers .xtbl. Ce qu'il faut faire? Vous avez déjà lu de nombreuses informations inutiles écrites sur la plupart des sites Web et vous ne trouvez pas la réponse. Il se trouve qu'au moment le plus inopportun, lorsque vous avez un besoin urgent de remettre un rapport de travail, une thèse dans une université ou de défendre votre diplôme de professeur, l'ordinateur commence à vivre sa propre vie : il tombe en panne, est infecté par des virus. , et se fige. Vous devez vous préparer à de telles situations et conserver les informations sur le serveur et les supports amovibles. Cela vous permettra de réinstaller le système d'exploitation à tout moment et après 20 minutes de travail sur l'ordinateur comme si de rien n'était. Mais malheureusement, nous ne sommes pas toujours aussi entreprenants.

Pour éviter d'infecter votre ordinateur avec un virus, vous devez d'abord installer un bon programme antivirus. Vous devez disposer d'un pare-feu Windows correctement configuré, qui protège contre divers objets malveillants transitant par le réseau. Et le plus important : ne téléchargez pas de logiciels à partir de sites non vérifiés ou de trackers torrent. Pour éviter d'infecter votre ordinateur avec des virus, faites attention aux liens sur lesquels vous cliquez. Si vous recevez un e-mail d'un destinataire inconnu avec une demande ou une offre de voir ce qui est caché derrière le lien, il est préférable de déplacer le message vers le spam ou de le supprimer complètement.

Pour éviter que le virus ne chiffre un jour tous les fichiers .xtbl, les laboratoires de logiciels antivirus recommandent un moyen gratuit de se protéger contre l'infection par les virus de chiffrement : une fois par semaine, inspectez leur état.

Le virus a crypté tous les fichiers de l'ordinateur : méthodes de traitement

Si vous avez été victime de cybercriminalité et que les données de votre ordinateur ont été infectées par l'un des types de logiciels malveillants de cryptage, il est temps d'essayer de récupérer vos fichiers.

Il existe plusieurs manières de traiter gratuitement les documents infectés :

1. La méthode la plus courante, et probablement la plus efficace à l’heure actuelle, consiste à sauvegarder les documents puis à les restaurer en cas d’infection inattendue.
2. L'algorithme logiciel du virus CTB fonctionne de manière intéressante. Une fois sur l'ordinateur, il copie les fichiers, les crypte et supprime les documents originaux, éliminant ainsi la possibilité de leur récupération. Mais avec l'aide du logiciel Photorec ou R-Studio, vous pouvez réussir à sauvegarder certains fichiers originaux intacts. Il faut savoir que plus vous utilisez votre ordinateur longtemps après qu'il ait été infecté, moins il est probable que vous puissiez récupérer tous les documents nécessaires.
3. Si le virus a chiffré tous les fichiers .vault, il existe un autre bon moyen de les décrypter : à l'aide de volumes de clichés instantanés. Bien entendu, le virus tentera de tous les supprimer définitivement et irrévocablement, mais il arrive aussi que certains fichiers restent intacts. Dans ce cas, vous aurez une petite mais chance de les restaurer.
4. Il est possible de stocker des données sur des services d'hébergement de fichiers tels que DropBox. Il peut être installé sur votre ordinateur en tant que mappage de disque local. Naturellement, le virus du cryptage l’infectera également. Mais dans ce cas, il est bien plus réaliste de restaurer des documents et des fichiers importants.

Logiciel de prévention des infections virales sur les ordinateurs personnels

Si vous avez peur que de sinistres logiciels malveillants s'introduisent sur votre ordinateur et que vous ne souhaitez pas qu'un virus insidieux crypte tous vos fichiers, vous devez utiliser l'éditeur de stratégie local ou l'éditeur de groupe Windows. Grâce à ce logiciel intégré, vous pouvez mettre en place une politique de restriction des programmes - et vous n'aurez alors plus à craindre que votre ordinateur soit infecté.

Comment récupérer des fichiers infectés

Si le virus CTB a crypté tous les fichiers, que devez-vous faire dans ce cas pour restaurer les documents nécessaires ? Malheureusement, à l'heure actuelle, aucun laboratoire antivirus ne peut proposer le décryptage de vos fichiers, mais il est possible de neutraliser l'infection et de la supprimer complètement d'un ordinateur personnel. Toutes les méthodes efficaces de récupération d’informations sont répertoriées ci-dessus. Si vos fichiers sont trop précieux pour vous et que vous n'avez pas pris la peine de les sauvegarder sur un disque amovible ou un lecteur Internet, vous devrez alors payer le montant demandé par les cybercriminels. Mais il n’y a aucune chance que la clé de déchiffrement vous soit envoyée même après paiement.

Comment trouver les fichiers infectés

Pour voir la liste des fichiers infectés, vous pouvez accéder à ce chemin : « Mes documents »\.html ou « C: »\ »Utilisateurs »\ »Tous les utilisateurs »\.html. Cette feuille HTML contient des données non seulement sur des instructions aléatoires, mais également sur des objets infectés.

Comment bloquer un virus de cryptage

Une fois qu'un ordinateur a été infecté par un logiciel malveillant, la première action nécessaire de la part de l'utilisateur est d'allumer le réseau. Cela se fait en appuyant sur la touche du clavier F10.

Si le virus Critroni s'est accidentellement introduit sur votre ordinateur et a crypté tous les fichiers au format .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf ou tout autre format, alors il est déjà difficile de les récupérer. Mais si le virus n’a pas encore apporté beaucoup de changements, il sera probablement bloqué à l’aide d’une politique de restriction logicielle.

Bonne journée à tous, mes chers amis et lecteurs de mon blog. Aujourd'hui, le sujet sera assez triste, car il s'agira de virus. Je vais vous parler d'un incident survenu à mon travail il n'y a pas si longtemps. Un employé a appelé mon service d'une voix excitée : « Dima, le virus a crypté les fichiers sur l'ordinateur : que faire maintenant ? Puis j'ai réalisé que ça sentait quelque chose de frit, mais à la fin je suis allé la voir pour voir.

Oui. Tout s'est avéré triste. La plupart des fichiers de l'ordinateur étaient infectés, ou plutôt cryptés : documents Office, fichiers PDF, bases de données 1C et bien d'autres. En général, le cul est complet. Probablement, seuls les archives, les applications et les documents texte (et bien d'autres choses) n'ont pas été affectés. Toutes ces données ont changé leur extension et ont également changé leurs noms en quelque chose comme sjd7gy2HjdlVnsjds.
De plus, plusieurs documents README.txt identiques sont apparus sur le bureau et dans les dossiers. Ils disent honnêtement que votre ordinateur est infecté et que vous ne prenez aucune mesure, ne supprimez rien, n'analysez pas avec des antivirus, sinon les fichiers ne seront pas revenu.
Le dossier dit également que ces gentilles personnes pourront tout restaurer tel qu'il était. Pour ce faire, ils doivent envoyer la clé du document à leur adresse e-mail, après quoi vous recevrez les instructions nécessaires. Ils n'écrivent pas le prix, mais en fait, il s'avère que le coût d'un retour s'élève à environ 20 000 roubles.

Vos données en valent-elles la peine ? Êtes-vous prêt à payer pour supprimer le ransomware ? Je doute. Que faire alors ? Parlons-en plus tard. Pour l'instant, commençons par tout dans l'ordre.

D'où est ce que ça vient

D’où vient ce méchant virus de cryptage ? Tout est très simple ici. Les gens le récupèrent par e-mail. En règle générale, ce virus pénètre dans les organisations, dans les boîtes aux lettres des entreprises, mais pas seulement. À première vue, vous ne le confondrez pas avec du cacao, car il ne vient pas sous forme de spam, mais d'une organisation sérieuse réelle, par exemple, nous avons reçu une lettre du fournisseur Rostelecom depuis son courrier officiel.

La lettre était tout à fait ordinaire, du type « Nouveaux plans tarifaires pour les personnes morales ». Un fichier PDF est inclus à l’intérieur. Et lorsque vous ouvrez ce fichier, vous ouvrez la boîte de Pandore. Tous les fichiers importants sont cryptés et transformés en « brique » en termes simples. De plus, les antivirus ne détectent pas ces conneries tout de suite.

Ce que j'ai fait et ce qui n'a pas fonctionné

Naturellement, personne ne voulait payer 20 000 pour cela, car l'information ne valait pas grand-chose et, de plus, traiter avec des escrocs n'était pas du tout une option. Et d’ailleurs, ce n’est pas un fait que pour ce montant tout vous sera débloqué.

J'ai exécuté l'utilitaire drweb cureit et il a trouvé le virus, mais il a été de peu d'utilité, car même après l'apparition du virus, les fichiers sont restés cryptés. Éliminer le virus s’est avéré facile, mais faire face aux conséquences est beaucoup plus difficile. Je suis allé sur les forums Doctor Web et Kaspersky, et j'y ai trouvé le sujet dont j'avais besoin, et j'ai également appris que ni là ni là ne pouvaient encore aider au décryptage. Tout était très fortement crypté.

Mais les moteurs de recherche ont commencé à montrer que certaines entreprises décryptaient les fichiers moyennant des frais. Eh bien, cela m'a intéressé, d'autant plus que l'entreprise s'est avérée réelle, qu'elle existait réellement. Sur leur site Internet, ils ont proposé de déchiffrer gratuitement cinq pièces afin de montrer leurs capacités. Eh bien, j'ai pris et leur ai envoyé les 5 fichiers les plus importants à mon avis.
Après un certain temps, j'ai reçu une réponse selon laquelle ils avaient réussi à tout déchiffrer et que pour un décodage complet, ils me factureraient 22 000. De plus, ils ne voulaient pas me remettre les dossiers. J’ai immédiatement supposé qu’ils travaillaient très probablement en tandem avec des escrocs. Eh bien, naturellement, ils ont été envoyés en enfer.

• en utilisant les programmes "Recuva" et "RStudio"
• Exécution de divers utilitaires
• Eh bien, pour me calmer, je n’ai pas pu m’empêcher d’essayer (même si je savais parfaitement que cela ne m’aiderait pas) de me procurer le nécessaire. Brad bien sûr)

Rien de tout cela ne m’a aidé. Mais j'ai quand même trouvé un moyen de m'en sortir.\r\n\r\nBien sûr, si soudainement vous vous trouvez dans une telle situation, regardez avec quelle extension les fichiers sont cryptés. Après cela, allez à http://support.kaspersky.ru/viruses/disinfection/10556 et voyez quelles extensions sont répertoriées. Si votre extension figure dans la liste, utilisez cet utilitaire.
Mais dans les 3 cas où j’ai vu ces ransomwares, aucun de ces utilitaires n’a aidé. Plus précisément, j'ai rencontré un virus "Le code de De Vinci" Et "SAUTER". Dans le premier cas, le nom et l'extension ont changé, et dans le second, seule l'extension. En général, il existe de nombreux chiffreurs de ce type. J'entends des salauds comme xtbl, plus de rançon, mieux vaut appeler Saul et bien d'autres.

Qu'est-ce qui a aidé

Avez-vous déjà entendu parler des clichés instantanés ? Ainsi, lorsqu'un point de récupération est créé, des clichés instantanés de vos fichiers sont automatiquement créés. Et si quelque chose arrive à vos fichiers, vous pouvez toujours les restaurer au moment où le point de restauration a été créé. Un merveilleux programme de récupération de fichiers à partir de clichés instantanés nous y aidera.

Commencer télécharger et installez le programme "Shadow Explorer". Si la dernière version échoue (cela se produit), installez la précédente.

Accédez à l'Explorateur de l'Ombre. Comme nous pouvons le voir, la partie principale du programme est similaire à Explorer, c'est-à-dire fichiers et dossiers. Faites maintenant attention au coin supérieur gauche. Là, nous voyons la lettre et la date du lecteur local. Cette date signifie que tous les fichiers soumis sur le lecteur C sont à jour à ce moment-là. Je l'ai le 30 novembre. Cela signifie que le dernier point de restauration a été créé le 30 novembre.
Si nous cliquons sur la liste déroulante des dates, nous verrons pour quelles dates nous avons encore des clichés instantanés. Et si nous cliquons sur la liste déroulante des lecteurs locaux et sélectionnons, par exemple, le lecteur D, nous verrons la date à laquelle nous avons les fichiers actuels. Mais pour le disque D les points ne sont pas créés automatiquement, cette chose doit donc être spécifiée dans les paramètres. Ce très facile à faire.
Comme vous pouvez le voir, si pour le disque C J'ai une date assez récente, alors pour le disque D le dernier point a été créé il y a presque un an. Bon, alors on procède point par point :

Tous. Il ne reste plus qu'à attendre la fin de l'exportation. Et puis nous allons dans le dossier même que vous avez sélectionné et vérifions l'ouverture et la fonctionnalité de tous les fichiers. Tout est cool).
Je sais qu'Internet propose d'autres méthodes, utilitaires, etc., mais je n'écrirai pas à leur sujet, car c'est la troisième fois que je rencontre ce problème, et rien d'autre que les clichés instantanés ne m'a jamais aidé. Même si peut-être je n'ai tout simplement pas eu de chance).

Mais malheureusement, la dernière fois, il a été possible de restaurer uniquement les fichiers qui se trouvaient sur le lecteur C, car par défaut, les points n'étaient créés que pour le lecteur C. Par conséquent, il n'y avait pas de clichés instantanés pour le lecteur D. Bien sûr, vous devez également vous rappeler qu’il existe des points de restauration qui peuvent en résulter, alors gardez cela également à l’œil.

Et pour que des clichés instantanés soient créés pour d'autres disques durs, vous en avez également besoin.

La prévention

Afin d'éviter des problèmes de récupération, vous devez faire de la prévention. Pour ce faire, vous devez respecter les règles suivantes.

À propos, ce virus chiffrait autrefois les fichiers sur une clé USB où se trouvaient nos certificats de clé pour les signatures numériques. Soyez donc également très prudent avec les lecteurs flash.

Cordialement, Dmitri Kostin.

Infection par un virus ransomware

Récemment, les cas d'infection par des chiffreurs (crypteurs, cryptovirus) via des mailings sont devenus plus fréquents.
Les lettres proviendraient d'organismes habilités (tribunal arbitral, bureau des impôts, caisse de pension, caisse d'assurance sociale, etc.). Les lettres contiennent un fichier ou un lien vers un fichier en pièce jointe.
Lorsque vous essayez d'ouvrir un fichier, une infection se produit, entraînant :
1. Les informations sur les disques durs de votre ordinateur et les disques durs du réseau sont entièrement ou partiellement cryptées. Au lieu des extensions de fichiers habituelles, vous voyez : vault, cbr, crypt, crypted, xtbl ou autres ;
2. Les sauvegardes et les informations précieuses sont supprimées ;
3. Les ordinateurs du réseau local sont infectés ;
4. Les lettres contenant un virus sont envoyées moins fréquemment en votre nom aux destinataires de votre carnet d'adresses ;
5. L'attaquant laisse un message indiquant la nécessité d'effectuer un paiement afin de récupérer les données. En règle générale, le montant est de 25 000 roubles. et plus haut.

Traitement du virus codeur.

Presque tous les antivirus laissent passer les virus ransomwares. Cela est dû au fait que chaque jour, de nouveaux chiffreurs apparaissent, qui ne sont pas reconnus par les logiciels antivirus, et au moment où ils entrent dans les bases de données antivirus, des centaines de milliers d'ordinateurs sont infectés.

Comment décrypter des fichiers après avoir été infecté par un virus ransomware ?

Les fichiers chiffrés avec des chiffreurs modernes ne peuvent pas être déchiffrés car les virus utilisent un algorithme de chiffrement puissant. Même les laboratoires antivirus ne peuvent pas aider à décrypter les fichiers dans la plupart des cas. Bien sûr, cela ne ferait pas de mal de contacter Kaspersky Lab ou Dr.Web pour obtenir de l'aide, mais il ne faut pas s'attendre à un résultat garanti.

La seule méthode efficace de protection contre un virus ransomware réside dans les mesures préventives.

Nos experts suggèrent d'effectuer un ensemble de paramètres pour vous protéger contre les virus ransomwares :

Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. Dans ce cas, rien de nouveau ou d’unique n’est apparu, juste une modification de la version précédente.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Description du virus rançongiciel CRYPTED000007

Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.

Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et d'informations importantes sur l'affaire dans la pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.

Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Un message d'information du système de contrôle de compte d'utilisateur Windows commence à apparaître constamment.

Si vous acceptez la proposition, les copies de sauvegarde des fichiers dans les clichés instantanés de Windows seront supprimées et la restauration des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.

Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les avertissements du contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous le compte d'administrateur de l'ordinateur, sauf en cas de besoin objectif. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.

Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.

Dans le même temps, il y aura de nombreux fichiers texte avec le même contenu sur votre bureau.

Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez le navigateur Tor en utilisant le lien : https://www.torproject.org/download/download-easy.html.en Dans l'adresse du navigateur Tor, entrez l'adresse : http : //cryptsen7fo43rr6 .onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers, vous devez envoyer le code suivant : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans la barre d'adresse : http:/ /cryptsen7fo43rr6.onion/ Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée. 2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

L'adresse postale peut changer. Je suis également tombé sur les adresses suivantes :

• [email protégé]
• [email protégé]

Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.

Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage à la fois sur l'ordinateur local et sur les lecteurs réseau. Un virus de chiffrement peut chiffrer toutes les informations qu'il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le ransomware n'avait pas le temps de tout crypter sur un lecteur réseau d'une capacité d'environ 100 gigaoctets.

Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas forcément pour de l'argent pour certaines entreprises. Il faut juste une personne qui maîtrise bien les systèmes d’information. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.

Des actions incorrectes à ce stade peuvent compliquer considérablement le processus de décryptage ou de restauration des fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.

Comment le virus ransomware CRYPTED000007 crypte les fichiers

Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.

Dans une telle situation, il sera difficile d'évaluer l'ampleur du drame, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous aviez dans différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.

Et si vos dossiers réseau étaient cryptés et qu'il n'y avait pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.

Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007

Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous avez besoin à tout prix de récupérer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.

En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, de sorte qu'il est plus difficile d'enquêter sur l'incident et de décrypter les fichiers.

Il est difficile de décrire comment supprimer manuellement un virus, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela n'a aucun sens. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.

Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :

1. Kaspersky Virus Removal Tool - un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
3. Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :

1. Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
2. Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
3. Nous effaçons la mention du processus viral par nom de fichier dans le registre.
4. Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.

Où télécharger le décrypteur CRYPTED000007

La question d’un décrypteur simple et fiable se pose en premier lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur la page principale, cliquez sur Oui :



Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:



Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.



Peut-être aurez-vous plus de chance. Vous pouvez également voir la liste des décrypteurs à télécharger sur une page séparée - https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications des chiffreurs sont apparus sur le réseau. Et ces exemples se trouvent sur la page spécifiée.

Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.

Comment décrypter et récupérer des fichiers après le virus CRYPTED000007

Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci inclus:

• Outil clichés instantanés les fenêtres.
• Programmes de récupération de données supprimées

Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.



Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression de fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.

Pour restaurer facilement des fichiers à partir de clichés instantanés, je suggère d'utiliser un programme gratuit pour cela - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers s'ouvrira et la racine du lecteur C. Dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez différentes copies pour les fichiers requis. Comparez par date pour la version la plus récente. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.



J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai fait un clic droit, j'ai sélectionné Exporter et j'ai spécifié le dossier dans lequel les restaurer.



Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d’entre eux seront une version plus ancienne que nous le souhaiterions, mais néanmoins c’est mieux que rien.

Si, pour une raison quelconque, vous ne disposez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération de fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez un lecteur flash ou un disque dur externe pour ce faire.



Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n’y a aucune garantie ici ; ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de récupérer le nombre maximum de fichiers :

• R. économiseur
• Récupération de fichiers Starus
• Récupération JPEG Pro
• Professionnel de la récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED

Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.

Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Une nouvelle version du ransomware est publiée, mais les antivirus n'y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.

Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Il existe peut-être des nuances techniques à ce sujet qui ne nous permettent pas de réagir de manière adéquate et d'empêcher le cryptage des fichiers des utilisateurs. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un plan de travail approximatif :

1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
2. Lance le décrypteur et décrypte tous les fichiers.
3. Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
4. Le paiement est effectué uniquement en cas de résultats de décryptage réussis.

Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus CRYPTED000007

Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :

1. Sauvegarde! Sauvegarde de toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde à laquelle il n'y a pas d'accès constant. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
2. Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d’éviter l’infection si vous n’avez pas été inclus dans la première vague de distribution d’une nouvelle modification du ransomware.
3. N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
4. N'ouvrez pas inconsidérément les liens qui vous sont envoyés par vos amis via les réseaux sociaux ou les messageries instantanées. C’est aussi ainsi que les virus se propagent parfois.
5. Activez Windows pour afficher les extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.

J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.

ATTENTION! Entreprise ESET prévient qu'il y a eu récemment une augmentation de l'activité et du risque d'infection du réseau d'entreprise par des logiciels malveillants, dont les conséquences sont :

1) Cryptage des informations et fichiers confidentiels, y compris les bases de données 1C, documents, images. Le type de fichiers cryptés dépend de la modification spécifique du chiffreur. Le processus de cryptage est effectué selon des algorithmes complexes et dans chaque cas, le cryptage s'effectue selon un certain modèle. Ainsi, les données cryptées sont difficiles à récupérer.

2) Dans certains cas, après avoir effectué des actions malveillantes, le chiffreur est automatiquement supprimé de l'ordinateur, ce qui complique la procédure de sélection d'un décrypteur.

Après avoir effectué des actions malveillantes, une fenêtre apparaît sur l'écran de l'ordinateur infecté avec les informations « Vos fichiers sont cryptés", ainsi que les exigences en matière de ransomware qui doivent être remplies pour obtenir le décrypteur.

2) Utilisez des solutions antivirus avec un module de pare-feu intégré ( Sécurité intelligente ESET NOD32) pour réduire la probabilité qu'un attaquant exploite une vulnérabilité dans RDP même si les mises à jour nécessaires du système d'exploitation ne sont pas disponibles. Il est recommandé d'activer les heuristiques avancées pour lancer les fichiers exécutables(Paramètres avancés (F5) - Ordinateur - Protection contre les virus et les logiciels espions - Protection en temps réel - Paramètres avancés. En plus Veuillez vérifier si ESET Live Grid est activé(Paramètres avancés (F5) - Utilitaires - ESET Live Grid).

3) Le serveur de messagerie doit interdire la réception et la transmission de fichiers exécutables *.exe, et *.js, car les chiffreurs sont souvent envoyés par les attaquants sous forme de pièce jointe à un e-mail contenant des informations fictives sur le recouvrement de créances, des informations à ce sujet et d'autres contenus similaires, ce qui peut inciter l'utilisateur à ouvrir une pièce jointe malveillante à partir d'un e-mail de l'attaquant et ainsi lancer le chiffreur. .

4) Désactivez l'exécution des macros dans toutes les applications incluses dans Microsoft Office, ou un logiciel similaire provenant de tiers. Les macros peuvent contenir une commande permettant de télécharger et d'exécuter du code malveillant qui est exécuté lorsque vous affichez normalement un document (par exemple, en ouvrant un document appelé " Avis de recouvrement.doc"une lettre de cybercriminels peut conduire à une infection du système même si le serveur n'a pas manqué la pièce jointe malveillante avec le fichier exécutable du crypteur, à condition que vous n'ayez pas désactivé l'exécution de macros dans les paramètres des programmes bureautiques).

5) Faites de l’exercice régulièrement Sauvegarde(sauvegarde) informations importantes stockées sur votre ordinateur. Commencer avec le système d'exploitation Windows Vista inclus dans les systèmes d'exploitation les fenêtres inclut la protection du système sur tous les lecteurs, qui sauvegarde les fichiers et les dossiers lorsque vous sauvegardez ou créez un point de restauration système. Par défaut, ce service est activé uniquement pour la partition système. Il est recommandé d'activer cette fonctionnalité pour toutes les sections.

Que faire si l'infection est déjà survenue ?

Si vous êtes victime de criminels et que vos fichiers sont cryptés, ne vous précipitez pas pour transférer de l'argent sur leur compte pour sélectionner un décrypteur. À condition que vous soyez notre client, contactez le support technique, nous pourrons peut-être sélectionner un décodeur pour votre cas ou un tel décodeur est déjà disponible. Pour ce faire, vous devez ajouter un échantillon du chiffreur et d'autres fichiers suspects, le cas échéant, à l'archive et nous envoyer cette archive en utilisant . Incluez également plusieurs échantillons de fichiers cryptés dans l'archive. Dans les commentaires, indiquez les circonstances dans lesquelles l'infection s'est produite, ainsi que vos données de licence et Email du contact pour des commentaires.

Vous pouvez essayer de restaurer la version originale non cryptée des fichiers à partir de clichés instantanés, à condition que cette fonction soit activée et si les clichés instantanés n'ont pas été endommagés par un virus de chiffrement. En savoir plus :

Pour plus d'informations, contactez .