Le nombre de virus au sens habituel du terme diminue de plus en plus, et la raison en est antivirus gratuits, qui fonctionnent bien et protègent les ordinateurs des utilisateurs. Dans le même temps, tout le monde ne se soucie pas de la sécurité de ses données et risque d'être infecté non seulement par des logiciels malveillants, mais également par des virus standards, parmi lesquels les chevaux de Troie restent les plus courants. Il peut se montrer de différentes manières, mais l’un des plus dangereux est le cryptage des fichiers. Si un virus a crypté des fichiers sur votre ordinateur, il n'est pas garanti que vous pourrez récupérer les données, mais il existe des méthodes efficaces, qui seront abordées ci-dessous.

Virus de cryptage : qu'est-ce que c'est et comment ça marche

Sur Internet, vous pouvez trouver des centaines de variétés de virus qui cryptent les fichiers. Leurs actions entraînent une conséquence : les données de l'utilisateur sur l'ordinateur sont format inconnu qui ne peut pas être ouvert avec programmes standards. Voici quelques-uns des formats dans lesquels les données d'un ordinateur peuvent être cryptées à la suite de virus : .locked, .xtbl, .kraken, .cbf, .oshit et bien d'autres. Dans certains cas, il est écrit directement dans l'extension du fichier adresse email créateurs du virus.

Parmi les virus les plus courants qui chiffrent les fichiers figurent Cheval de Troie-Ransom.Win32.Aura Et Trojan-Ransom.Win32.Rakhni. Ils se présentent sous de nombreuses formes et le virus peut même ne pas s'appeler cheval de Troie (par exemple, CryptoLocker), mais leurs actions sont pratiquement les mêmes. De nouvelles versions de virus de chiffrement sont régulièrement publiées pour rendre plus difficile la gestion des nouveaux formats par les créateurs d'applications antivirus.

Si un virus de cryptage a pénétré dans un ordinateur, il se manifestera certainement non seulement en bloquant des fichiers, mais également en proposant à l'utilisateur de les déverrouiller moyennant des frais monétaires. Une bannière peut apparaître à l'écran vous indiquant où vous devez transférer de l'argent pour déverrouiller les fichiers. Lorsqu'une telle bannière n'apparaît pas, vous devez rechercher une « lettre » des développeurs du virus sur votre bureau ; dans la plupart des cas, un tel fichier s'appelle ReadMe.txt.

Selon les développeurs du virus, les prix du décryptage des fichiers peuvent varier. Dans le même temps, il est loin d’être vrai que lorsque vous envoyez de l’argent aux créateurs du virus, ils vous renvoient une méthode de déverrouillage. Dans la plupart des cas, l’argent ne va « nulle part » et l’utilisateur de l’ordinateur ne reçoit pas de méthode de décryptage.

Une fois qu'un virus est apparu sur votre ordinateur et que vous voyez un code sur l'écran qui doit être envoyé à une adresse spécifique afin de recevoir un décrypteur, vous ne devriez pas le faire. Tout d'abord, copiez ce code sur une feuille de papier, car le fichier nouvellement créé peut également être crypté. Après cela, vous pouvez masquer les informations des développeurs du virus et essayer de trouver sur Internet un moyen de vous débarrasser du crypteur de fichiers dans votre cas particulier. Ci-dessous, nous présentons les principaux programmes qui vous permettent de supprimer un virus et de décrypter des fichiers, mais ils ne peuvent pas être qualifiés d'universels, et les créateurs logiciel antivirus La liste des solutions est régulièrement élargie.

Se débarrasser d'un virus de cryptage de fichiers est assez simple en utilisant versions gratuites antivirus. 3 programmes gratuits résistent bien aux virus de cryptage de fichiers :

• Malwarebytes Antimalware;
• Dr.Web Guérissez-le ;
• Kaspersky Internet Sécurité.

Les applications mentionnées ci-dessus sont entièrement gratuites ou ont versions d'essai. Nous vous recommandons d'utiliser une solution de Dr.Web ou Kespersky après avoir analysé votre système avec Malwarebytes Antimalware. Rappelons encore une fois qu'il n'est pas recommandé d'installer 2 antivirus ou plus sur votre ordinateur en même temps, donc avant d'installer chaque nouvelle solution, vous devez supprimer la précédente.

Comme nous l'avons noté plus haut, solution idéale Le problème dans cette situation sera la sélection d'instructions qui vous permettront de résoudre spécifiquement votre problème. Ces instructions sont le plus souvent publiées sur les sites Web des développeurs d'antivirus. Ci-dessous, nous présentons plusieurs utilitaires antivirus qui vous permettent de faire face différents types Chevaux de Troie et autres types de ransomwares.

Ce qui précède ne représente qu'une petite partie des utilitaires antivirus qui vous permettent de décrypter les fichiers infectés. Il convient de noter que si vous essayez simplement de récupérer les données, elles seront au contraire perdues à jamais - vous ne devriez pas le faire.

DANS dernièrement il y a une recrudescence de l'activité d'une nouvelle génération de logiciels malveillants programmes informatiques. Ils sont apparus il y a assez longtemps (il y a 6 à 8 ans), mais le rythme de leur mise en œuvre a atteint actuellement son maximum. De plus en plus, vous pouvez être confronté au fait qu'un virus a crypté des fichiers.

On sait déjà qu'il ne s'agit pas seulement de logiciels malveillants primitifs, par exemple ( provoquant l'apparition écran bleu), UN programmes sérieux, visant généralement à endommager les données comptables. Ils cryptent tous les fichiers existants à portée de main, y compris les données comptables 1C, docx, xlsx, jpg, doc, xls, pdf, zip.

Le danger particulier des virus en question

Cela réside dans le fait qu'il utilise une clé RSA, qui est liée à ordinateur spécifique utilisateur, c'est pourquoi le décodeur universel ( décrypteur) absent. Les virus activés sur un ordinateur peuvent ne pas fonctionner sur un autre.

Le danger réside également dans le fait que depuis plus d'un an, des programmes de construction prêts à l'emploi sont publiés sur Internet, permettant même aux hackers (des individus qui se considèrent comme des hackers, mais n'étudient pas la programmation) de développer ce type de virus.

Actuellement, des modifications plus puissantes sont apparues.

Méthode d’introduction de ces malwares

Le virus est envoyé délibérément, généralement au service comptable de l’entreprise. Premièrement, les e-mails des services RH et des services comptables sont collectés à partir de bases de données telles que, par exemple, hh.ru. Ensuite, des lettres sont envoyées. Ils contiennent le plus souvent une demande d'acceptation à un certain poste. A une telle lettre avec un curriculum vitae, à l'intérieur duquel vrai document avec un objet OLE implanté (fichier pdf avec un virus).

Dans les situations où les employés comptables ont immédiatement lancé ce document, après le redémarrage, ce qui suit s'est produit : le virus a renommé et chiffré les fichiers, puis s'est autodétruit.

En règle générale, ce type de lettre est rédigé de manière adéquate et envoyé à partir d'une boîte aux lettres non spam (le nom correspond à la signature). Un poste vacant est toujours demandé en fonction des activités principales de l’entreprise, c’est pourquoi aucun soupçon ne surgit.

Ni le logiciel sous licence Kaspersky (programme antivirus) ni Virus Total (un service en ligne permettant de détecter les virus dans les pièces jointes) ne peuvent sécuriser l'ordinateur dans ce cas. Parfois, lors de l'analyse, certains programmes antivirus signalent que la pièce jointe contient Gen:Variant.Zusy.71505.

Comment éviter d’être infecté par ce virus ?

Chaque fichier reçu doit être vérifié. Une attention particulière est portée aux documents Word contenant des fichiers PDF intégrés.

Options pour les e-mails « infectés »

Il y en a beaucoup. Les options les plus courantes sur la façon dont les fichiers cryptés par le virus sont présentées ci-dessous. Dans tous les cas, les documents suivants sont envoyés par email :

1. Notification concernant le début du processus d'examen d'un procès intenté contre une entreprise spécifique (la lettre vous demande de vérifier les données en cliquant sur le lien spécifié).
2. Lettre de la Cour suprême d'arbitrage de la Fédération de Russie sur le recouvrement de créances.
3. Message de la Sberbank concernant l'augmentation de la dette existante.
4. Notification d'enregistrement d'une infraction au code de la route.
5. Une lettre de l'Agence de Recouvrement indiquant le report de paiement maximum possible.

Avis de cryptage de fichiers

Après l'infection, il apparaîtra dans le dossier racine du lecteur C. Parfois, des fichiers comme WHAT_DO_DELA.txt, CONTACT.txt sont placés dans tous les répertoires contenant du texte endommagé. L'utilisateur y est informé du cryptage de ses fichiers, qui est effectué à l'aide d'algorithmes cryptographiques fiables. Il est également averti du caractère inapproprié de l'utilisation d'utilitaires tiers, car cela peut entraîner des dommages permanents aux fichiers, ce qui rendra impossible leur décryptage ultérieur.

L'avis recommande de laisser votre ordinateur tel quel. Il indique la durée de conservation de la clé fournie (généralement 2 jours). Inscrit date exacte, après quoi tout type de demande sera ignoré.

Un email est fourni à la fin. Il précise également que l'utilisateur doit fournir son identifiant et que l'une des actions suivantes peut entraîner la destruction de la clé, à savoir :

Comment décrypter des fichiers cryptés par un virus ?

Ce type de cryptage est très puissant : le fichier se voit attribuer une extension telle que parfait, nochance, etc. Il est tout simplement impossible de le cracker, mais vous pouvez essayer d'utiliser des cryptanalystes et trouver une faille (Dr. WEB vous aidera dans certaines situations) .

Il existe un autre moyen de récupérer des fichiers cryptés par un virus, mais cela ne fonctionne pas pour tous les virus, et vous devrez également supprimer l'exe d'origine avec ce programme malveillant, ce qui est assez difficile à faire après l'autodestruction.

La demande du virus concernant l'introduction d'un code spécial est une vérification mineure, car le fichier dispose déjà d'un décrypteur à ce stade (le code, pour ainsi dire, des attaquants ne sera pas requis). L'essentiel cette méthode- insérer des commandes vides dans le virus infiltré (à l'endroit même où le code saisi est comparé). Le résultat est que le programme malveillant commence lui-même à décrypter les fichiers et les restaure ainsi complètement.

Chaque virus individuel a le sien fonction spéciale cryptage, c'est pourquoi il ne sera pas possible de le déchiffrer avec un exécutable tiers (fichier au format exe), ou vous pouvez essayer de sélectionner la fonction ci-dessus, pour laquelle vous devez effectuer toutes les actions à l'aide de WinAPI.

fichiers : que faire ?

Pour effectuer la procédure de décryptage, vous aurez besoin de :

Comment éviter la perte de données due au malware en question ?

Il convient de savoir que dans une situation où un virus a crypté des fichiers, le processus de décryptage prendra du temps. Un point important le fait est qu'il y a un bug dans le malware mentionné ci-dessus qui vous permet de sauvegarder certains fichiers si vous coupez rapidement l'alimentation de l'ordinateur (retirez la fiche de la prise, éteignez parasurtenseur, retirez la batterie dans le cas d'un ordinateur portable) dès son apparition grand nombre fichiers avec l’extension spécifiée précédemment.

Encore une fois, il convient de souligner que l'essentiel est de créer constamment sauvegarde, mais pas vers un autre dossier, pas vers support amovible inséré dans l'ordinateur parce que cette modification Le virus atteindra ces endroits. Cela vaut la peine de sauvegarder les sauvegardes sur un autre ordinateur, sur un disque dur qui n'est pas connecté en permanence à l'ordinateur et dans le cloud.

Vous devez vous méfier de tous les documents qui arrivent par courrier en provenance d'inconnus (sous forme de curriculum vitae, de facture, de résolution de la Cour suprême d'arbitrage de la Fédération de Russie ou du bureau des impôts, etc.). Il n'est pas nécessaire de les exécuter sur votre ordinateur (à ces fins, vous pouvez sélectionner un netbook qui ne contient pas de données importantes).

Programme malveillant * [email protégé]: solutions

Dans une situation où le virus ci-dessus a crypté des fichiers cbf, doc, jpg, etc., il n'y a que trois options pour le développement de l'événement :

1. Le moyen le plus simple de s’en débarrasser est de supprimer tous les fichiers infectés (cela est acceptable sauf si les données sont particulièrement importantes).
2. Rendez-vous au laboratoire d'un programme antivirus, par exemple Dr. WEB. Assurez-vous d'envoyer plusieurs fichiers infectés aux développeurs avec la clé de déchiffrement, située sur l'ordinateur sous le nom KEY.PRIVATE.
3. Le moyen le plus cher. Il s’agit de payer le montant demandé par les pirates pour le décryptage des fichiers infectés. En règle générale, le coût de ce service se situe entre 200 et 500 dollars américains. Ceci est acceptable dans une situation où un virus a crypté des fichiers grande entreprise, dans lequel un flux d'informations important se produit chaque jour, et ce programme malveillant peut causer des dommages colossaux en quelques secondes. À cet égard, le paiement est l’option la plus rapide pour récupérer les fichiers infectés.

Parfois, cela s'avère efficace option supplémentaire. Dans le cas où un virus a crypté des fichiers (paycrypt@gmail_com ou autre malware), il peut aider il y a quelques jours.

Programme de décryptage RectorDecryptor

Si le virus est crypté fichiers jpg, doc, cbf, etc., alors un programme spécial peut vous aider. Pour ce faire, vous devrez d'abord vous rendre au démarrage et tout désactiver sauf l'antivirus. Ensuite, vous devez redémarrer votre ordinateur. Affichez tous les fichiers, mettez en surbrillance ceux qui sont suspects. Le champ appelé « Équipe » indique l'emplacement fichier spécifique(il faut faire attention aux applications qui n'ont pas de signature : fabricant - pas de données).

Tous fichiers suspects doit être supprimé, après quoi vous devrez vider les caches du navigateur et les dossiers temporaires (pour cela le programme est adapté CCleaner).

Pour commencer le décryptage, vous devez télécharger le programme ci-dessus. Ensuite, exécutez-le et cliquez sur le bouton « Démarrer l'analyse », indiquant les fichiers modifiés et leur extension. DANS versions modernes Dans ce programme, vous pouvez uniquement spécifier le fichier infecté lui-même et cliquer sur le bouton « Ouvrir ». Après cela, les fichiers seront décryptés.

Par la suite, l'utilitaire vérifie automatiquement toutes les données informatiques, y compris les fichiers situés sur le fichier ci-joint. lecteur réseau, et les décrypte. Ce processus La récupération peut prendre plusieurs heures (en fonction de la quantité de travail et de la vitesse de l'ordinateur).

En conséquence, tous les fichiers endommagés seront décryptés dans le même répertoire où ils se trouvaient à l'origine. Enfin, il ne reste plus qu'à supprimer tous les fichiers existants avec une extension suspecte, pour lesquels vous pouvez cocher la case dans la demande « Supprimer les fichiers cryptés après un décryptage réussi » en cliquant au préalable sur le bouton « Modifier les paramètres d'analyse ». Cependant, il est préférable de ne pas l'installer, car si le décryptage des fichiers échoue, ils peuvent être supprimés et vous devrez ensuite d'abord les restaurer.

Donc, si le virus est crypté fichiers doc, cbf, jpg, etc., vous ne devriez pas vous précipiter pour payer le code. Peut-être qu'il ne sera pas nécessaire.

Nuances de suppression de fichiers cryptés

En essayant de tout éliminer fichiers endommagés grâce à une recherche standard et à une suppression ultérieure, l'ordinateur peut se bloquer et ralentir. À cet égard, pour cette procédure, il vaut la peine d'en utiliser une spéciale. Après l'avoir lancée, vous devez saisir ce qui suit : del ".<диск>:\*.<расширение зараженного файла>"/f/s.

Il est impératif de supprimer les fichiers tels que « Read-me.txt », pour lesquels dans la même ligne de commande il faudra préciser : del «<диск>:\*.<имя файла>"/f/s.

Ainsi, on peut noter que si le virus a renommé et crypté des fichiers, vous ne devez pas immédiatement dépenser de l'argent pour acheter une clé auprès d'attaquants, vous devez d'abord essayer de résoudre le problème vous-même. Il vaut mieux investir de l'argent dans l'achat programme spécial pour décrypter les fichiers endommagés.

Enfin, il convient de rappeler que cet article traitait de la question de savoir comment décrypter les fichiers cryptés par un virus.

Les chiffreurs (cryptolockers) désignent une famille de programmes malveillants qui, à l'aide de divers algorithmes de chiffrement, bloquent l'accès des utilisateurs aux fichiers d'un ordinateur (connus, par exemple, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, etc.).

Généralement, le virus chiffre les types courants de fichiers utilisateur : documents, feuilles de calcul, bases de données 1C, tous tableaux de données, photographies, etc. Le décryptage de fichiers est proposé contre de l'argent - les créateurs exigent que vous transfériez un certain montant, généralement en bitcoins. Et si l'organisation n'a pas pris les mesures appropriées pour assurer la sécurité informations importantes, transférer le montant requis aux attaquants peut être le seul moyen de restaurer les fonctionnalités de l’entreprise.

Dans la plupart des cas, le virus se propage par courrier électronique, se faisant passer pour des lettres tout à fait ordinaires : avis du bureau des impôts, actes et accords, informations sur les achats, etc. En téléchargeant et en ouvrant un tel fichier, l'utilisateur, sans s'en rendre compte, lance code malveillant. Le virus chiffre systématiquement fichiers nécessaires, et supprime également les instances d'origine à l'aide de méthodes de destruction garanties (afin que l'utilisateur ne puisse pas récupérer les fichiers récemment supprimés à l'aide d'outils spéciaux).

Rançongiciel moderne

Les chiffreurs et autres virus qui bloquent l'accès des utilisateurs aux données ne sont pas nouveau problème V sécurité des informations. Les premières versions sont apparues dans les années 90, mais elles utilisaient principalement soit des « faibles » (algorithmes instables, petite taille de clé) soit des cryptage symétrique(les fichiers d'un grand nombre de victimes étaient cryptés avec une seule clé ; il était également possible de récupérer la clé en étudiant le code du virus), ou encore elles ont inventé leurs propres algorithmes. Les copies modernes ne présentent pas de tels défauts ; les attaquants utilisent le cryptage hybride : à l'aide d'algorithmes symétriques, le contenu des fichiers est crypté à très grande vitesse et la clé de cryptage est cryptée avec un algorithme asymétrique. Cela signifie que pour décrypter les fichiers, vous avez besoin d'une clé que seul l'attaquant possède. code source Je ne trouve pas le programme. Par exemple, CryptoLocker utilise l'algorithme RSA avec une longueur de clé de 2048 bits en combinaison avec l'algorithme AES symétrique avec une longueur de clé de 256 bits. Ces algorithmes sont actuellement reconnus comme crypto-résistants.

L'ordinateur est infecté par un virus. Ce qu'il faut faire?

Il convient de garder à l’esprit que même si les virus ransomware utilisent des algorithmes de cryptage modernes, ils ne sont pas capables de crypter instantanément tous les fichiers d’un ordinateur. Le cryptage s'effectue de manière séquentielle, la vitesse dépend de la taille des fichiers cryptés. Par conséquent, si vous constatez en travaillant que vos fichiers et programmes habituels ne s'ouvrent plus correctement, vous devez immédiatement arrêter de travailler sur l'ordinateur et l'éteindre. De cette façon, vous pouvez protéger certains fichiers du cryptage.

Une fois que vous rencontrez un problème, la première chose à faire est de vous débarrasser du virus lui-même. Nous ne nous attarderons pas là-dessus en détail ; il suffit d'essayer de guérir votre ordinateur à l'aide de programmes antivirus ou de supprimer le virus manuellement. Il convient seulement de noter que le virus s'autodétruit souvent une fois l'algorithme de cryptage terminé, ce qui rend difficile le décryptage des fichiers sans demander de l'aide aux attaquants. Dans ce cas, le programme antivirus peut ne rien détecter.

La question principale est de savoir comment récupérer les données cryptées ? Malheureusement, récupérer des fichiers après un virus ransomware est presque impossible. Au moins une garantie récupération complète En cas d’infection réussie, personne n’aura de données. De nombreux fabricants d'antivirus proposent leur aide pour décrypter les fichiers. Pour ce faire, vous devez envoyer un fichier crypté et Informations Complémentaires(fichier avec les contacts des attaquants, clé publique) à travers formulaires spéciaux, affichés sur les sites Internet des fabricants. Il y a une petite chance qu'un moyen de lutter contre un virus particulier ait été trouvé et que vos fichiers soient décryptés avec succès.

Essayez d'utiliser les utilitaires de récupération fichiers supprimés. Il est possible que le virus n'ait pas utilisé de méthodes de destruction garanties et que certains fichiers puissent être récupérés (cela peut notamment fonctionner avec des fichiers grande taille, par exemple avec des fichiers de plusieurs dizaines de gigaoctets). Il existe également une possibilité de récupérer des fichiers depuis clichés instantanés. Lors de l'utilisation des fonctions de récupération Systèmes Windows crée des images (« instantanés »), qui peuvent contenir des données de fichier au moment de la création d'un point de récupération.

Si vos données ont été cryptées dans les services cloud, contactez le support technique ou étudiez les capacités du service que vous utilisez : dans la plupart des cas, les services proposent une fonction « rollback » pour versions précédentes fichiers afin qu'ils puissent être récupérés.

Ce que nous vous déconseillons fortement de faire, c’est de suivre l’exemple des ransomwares et de payer pour le décryptage. Il y a eu des cas où des gens ont donné de l'argent et n'ont pas reçu les clés. Personne ne garantit que les attaquants, après avoir reçu l'argent, enverront réellement la clé de cryptage et que vous pourrez restaurer les fichiers.

Comment vous protéger contre un virus ransomware. Mesures préventives

Il est plus facile de prévenir les conséquences dangereuses que de les corriger :

• Utilisez des outils antivirus fiables et mettez-les à jour régulièrement bases de données antivirus. Cela semble anodin, mais cela réduira considérablement la probabilité qu’un virus réussisse à s’injecter dans votre ordinateur.
• Conservez des copies de sauvegarde de vos données.

Il est préférable d'utiliser des outils de sauvegarde spécialisés pour cela. La plupart des cryptolockers sont également capables de chiffrer les copies de sauvegarde. Il est donc logique de stocker les copies de sauvegarde sur d'autres ordinateurs (par exemple, sur des serveurs) ou sur des supports aliénés.

Limiter les autorisations pour modifier les fichiers dans les dossiers avec copies de sauvegarde, permettant uniquement un enregistrement supplémentaire. Outre les conséquences des ransomwares, les systèmes de sauvegarde neutralisent de nombreuses autres menaces liées à la perte de données. La propagation du virus démontre une fois de plus la pertinence et l’importance du recours à de tels systèmes. Récupérer des données est bien plus simple que de les décrypter !

• Limitez l’environnement logiciel dans le domaine.

Un de plus de manière efficace la lutte est une limitation au lancement de certains potentiellement types dangereux fichiers, par exemple, avec les extensions .js, .cmd, .bat, .vba, .ps1, etc. Cela peut être fait à l'aide de l'outil AppLocker (dans les éditions Enterprise) ou des politiques SRP de manière centralisée dans le domaine. Il y en a pas mal sur le net guides détaillés comment le faire. Dans la plupart des cas, l’utilisateur n’aura pas besoin d’utiliser les fichiers de script répertoriés ci-dessus et le ransomware aura moins de chances de s’infiltrer avec succès.

• Sois prudent.

La pleine conscience est l'un des plus méthodes efficaces prévenir la menace. Méfiez-vous de chaque lettre que vous recevez de personnes inconnues. Ne vous précipitez pas pour ouvrir toutes les pièces jointes ; en cas de doute, il est préférable de contacter l'administrateur avec une question.

Alexandre Vlassov, ingénieur senior du département de mise en œuvre des systèmes de sécurité de l'information chez SKB Kontur

Ces virus peuvent différer légèrement, mais en général, leurs actions sont toujours les mêmes :

• installer sur votre ordinateur ;
• crypter tous les fichiers pouvant avoir une quelconque valeur (documents, photographies) ;
• lorsqu’il tente d’ouvrir ces fichiers, exiger de l’utilisateur qu’il dépose un certain montant dans le portefeuille ou le compte de l’attaquant, sinon l’accès au contenu ne sera jamais ouvert.

Le virus a crypté les fichiers dans XTBL

Actuellement, un virus est devenu assez répandu, capable de crypter des fichiers et de changer leur extension en .xtbl, ainsi que de remplacer leur nom par des caractères complètement aléatoires.

De plus, il est créé dans un endroit visible fichier spécial avec instructions lisezmoi.txt. Dans ce document, l'attaquant confronte l'utilisateur au fait que toutes ses données importantes ont été cryptées et ne peuvent plus être ouvertes aussi facilement, ajoutant que pour tout remettre à son état antérieur, il est nécessaire d'effectuer certaines actions liées au transfert d'argent. au fraudeur (généralement Avant de faire cela, vous devez envoyer un code spécifique à l'une des adresses e-mail suggérées). Souvent, ces messages sont également complétés par une note indiquant que si vous essayez de décrypter tous vos fichiers vous-même, vous risquez de les perdre pour toujours.

Malheureusement, dans à l'heure actuelle, officiellement personne n'a pu déchiffrer .xtbl, si une méthode de travail apparaît, nous en parlerons certainement dans l'article. Parmi les utilisateurs, il y a ceux qui ont vécu une expérience similaire avec ce virus et qui ont payé le montant requis aux escrocs, recevant en retour un décryptage de leurs documents. Mais c'est une étape extrêmement risquée, car parmi les attaquants, il y a aussi ceux qui ne se soucieront pas trop du décryptage promis, au final ce sera de l'argent perdu.

Que faire alors, demandez-vous ? Nous vous proposons quelques conseils qui vous aideront à récupérer toutes vos données et en même temps, vous ne suivrez pas l’exemple des escrocs et ne leur donnerez pas votre argent. Et donc que faut-il faire :

1. Si vous savez comment travailler dans le Gestionnaire des tâches, interrompez immédiatement le cryptage des fichiers en arrêtant le processus suspect. En même temps, déconnectez votre ordinateur d’Internet : de nombreux ransomwares nécessitent une connexion réseau.
2. Prenez un morceau de papier et notez dessus le code proposé à envoyer par email aux attaquants (le morceau de papier car le fichier dans lequel vous allez écrire peut aussi devenir illisible).
3. Utilisation de Malwarebytes Antimalware, essai Kaspersky Antivirus IS ou CureIt, supprimez malware. Pour une plus grande fiabilité, il est préférable d'utiliser systématiquement tous les moyens proposés. Bien que Kaspersky Anti-Virus ne puisse pas être installé si le système dispose déjà d'un antivirus principal, des conflits logiciels pourraient survenir. Tous les autres utilitaires peuvent être utilisés dans n'importe quelle situation.
4. Attendez que l'une des sociétés antivirus développe un décrypteur fonctionnel pour ces fichiers. Kaspersky Lab effectue le travail le plus rapidement.
5. De plus, vous pouvez envoyer à [email protégé] une copie du fichier crypté, avec le code requis et, si disponible, le même fichier dans sa forme originale. Il est fort possible que cela accélère le développement d’une méthode de décryptage de fichiers.

En aucun cas :

• renommer ces documents ;
• modifier leur expansion;
• suppression de fichiers.

Ces chevaux de Troie Ils sont également engagés dans le cryptage des fichiers des utilisateurs, suivis d'extorsion. Dans ce cas, les fichiers cryptés peuvent avoir les extensions suivantes :

• .fermé
• .crypto
• .kraken
• .AES256 (pas nécessairement ce cheval de Troie, il y en a d'autres qui installent la même extension).
• .codercsu@gmail_com
• .oshit
• Et d'autres.

Heureusement, il a déjà été créé utilitaire spécial pour le décryptage - RakhniDécrypteur. Vous pouvez le télécharger sur le site officiel.

Sur le même site, vous pouvez lire des instructions qui montrent clairement comment utiliser l'utilitaire pour décrypter tous les fichiers sur lesquels le cheval de Troie a travaillé. En principe, pour une plus grande fiabilité, il vaut la peine d'exclure la possibilité de supprimer les fichiers cryptés. Mais très probablement, les développeurs ont fait du bon travail en créant l'utilitaire et l'intégrité des données n'est pas en danger.

Ceux qui utilisent l'antivirus Dr.Web sous licence ont accès gratuit au décryptage auprès des développeurs http://support.drweb.com/new/free_unlocker/.

Autres types de virus ransomware

Parfois, vous pouvez rencontrer d'autres virus qui chiffrent fichiers importants et extorquer de l'argent pour que tout revienne à sa forme originale. Nous vous proposons une petite liste d'utilitaires pour lutter contre les conséquences des virus les plus courants. Vous pourrez également vous y familiariser avec les principaux signes permettant de distinguer tel ou tel programme cheval de Troie.

En plus, dans le bon sens analysera votre PC avec l'antivirus Kaspersky, qui détectera l'invité non invité et lui attribuera un nom. Sous ce nom, vous pouvez déjà rechercher un décodeur pour celui-ci.

• Trojan-Ransom.Win32.Rector– un chiffreur de ransomware typique qui vous oblige à envoyer un SMS ou à effectuer d'autres actions ce genre, prenez le décodeur à partir de ce lien.
• Trojan-Ransom.Win32.Xorist- une variante du cheval de Troie précédent, vous pouvez obtenir un décrypteur avec des instructions pour son utilisation.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– il y a aussi un utilitaire spécial pour ces gars-là, regardez

« Désolé de vous déranger, mais… vos fichiers sont cryptés. Pour obtenir la clé de décryptage, transférez en urgence une certaine somme d'argent sur votre portefeuille... Sinon, vos données seront détruites à jamais. Vous avez 3 heures, le temps est écoulé. Et ce n'est pas une blague. Un virus de chiffrement constitue une menace plus que réelle.

Aujourd’hui, nous allons parler de ce que sont les logiciels malveillants ransomware qui se sont propagés ces dernières années, que faire en cas d’infection, comment guérir votre ordinateur et si cela est même possible, et comment vous en protéger.

Nous chiffrons tout !

Un virus ransomware (encryptor, cryptor) est un type particulier de ransomware malveillant dont l’activité consiste à crypter les fichiers de l’utilisateur puis à exiger une rançon pour l’outil de décryptage. Les montants des rançons commencent entre 200 dollars et atteignent des dizaines, voire des centaines de milliers de morceaux de papier vert.

Il y a quelques années, seuls les ordinateurs fonctionnant sur Basé sur Windows. Aujourd’hui, leur gamme s’est étendue à Linux, Mac et Android apparemment bien protégés. De plus, la variété des chiffreurs ne cesse de croître - de nouveaux produits apparaissent les uns après les autres, qui ont de quoi surprendre le monde. Ainsi, il est né du « croisement » d’un cheval de Troie de chiffrement classique et d’un ver de réseau (un programme malveillant qui se propage sur les réseaux sans la participation active des utilisateurs).

Après WannaCry, Petya et non moins sophistiqués Mauvais Lapin. Et puisque le « business du cryptage » apporte de bons revenus à ses propriétaires, vous pouvez être sûr qu'ils ne sont pas les derniers.

De plus en plus de chiffreurs, en particulier ceux qui ont été lancés au cours des 3 à 5 dernières années, utilisent des algorithmes cryptographiques puissants qui ne peuvent être piratés ni par la force brute ni par d'autres moyens existants. La seule façon de récupérer les données est d’utiliser la clé originale, que les attaquants proposent d’acheter. Cependant, même leur transférer le montant requis ne garantit pas la réception de la clé. Les criminels ne sont pas pressés de révéler leurs secrets et de perdre des profits potentiels. Et à quoi bon tenir leurs promesses s’ils ont déjà l’argent ?

Voies de distribution des virus de cryptage

La principale manière par laquelle les logiciels malveillants pénètrent dans les ordinateurs des utilisateurs privés et des organisations est e-mail, plus précisément, les fichiers et liens joints aux lettres.

Un exemple d'une telle lettre destinée aux « clients entreprises » :

• « Remboursez immédiatement votre dette. »
• "La plainte a été déposée devant le tribunal."
• « Payer l’amende/les frais/la taxe. »
• « Frais supplémentaires pour les factures de services publics. »
• "Oh, c'est toi sur la photo ?"
• "Lena m'a demandé de vous donner ceci de toute urgence", etc.

D'accord, seulement utilisateur averti traitera une telle lettre avec prudence. La plupart des gens, sans hésitation, ouvriront la pièce jointe et lanceront eux-mêmes le programme malveillant. D'ailleurs, malgré les cris de l'antivirus.

Les éléments suivants sont également activement utilisés pour distribuer des ransomwares :

• Réseaux sociaux (mailing à partir des comptes d'amis et d'inconnus).
• Ressources Web malveillantes et infectées.
• Bannière publicitaire.
• Envoi via des messagers à partir de comptes piratés.
• Sites Vareznik et distributeurs de keygens et cracks.
• Sites pour adultes.
• Magasins d’applications et de contenu.

Les conducteurs du chiffrement des virus sont souvent d'autres programmes malveillants, notamment des démonstrateurs publicitaires et des chevaux de Troie de porte dérobée. Ces derniers, utilisant les vulnérabilités du système et des logiciels, aident le criminel à obtenir accès à distanceà l'appareil infecté. Dans de tels cas, le lancement du chiffreur ne coïncide pas toujours avec des actions potentiellement dangereuses de l'utilisateur. Tant que la porte dérobée reste dans le système, un attaquant peut pénétrer dans l'appareil à tout moment et lancer le cryptage.

Pour infecter les ordinateurs des organisations (après tout, elles peuvent en extraire plus que les utilisateurs domestiques), des méthodes particulièrement sophistiquées sont développées. Par exemple, le cheval de Troie Petya a pénétré les appareils via le module de mise à jour du programme de comptabilité fiscale MEDoc.

Les chiffreurs dotés des fonctions de vers de réseau, comme déjà mentionné, se propagent sur les réseaux, y compris Internet, via des vulnérabilités de protocole. Et vous pouvez en être infecté sans absolument rien faire. Le plus grand danger Les utilisateurs de systèmes d'exploitation Windows rarement mis à jour sont concernés car les mises à jour comblent des failles connues.

Certains malwares, comme WannaCry, exploitent des vulnérabilités de type 0-day, c'est-à-dire celles dont les développeurs de systèmes n'ont pas encore connaissance. Malheureusement, il est impossible de résister complètement à l'infection de cette manière, mais la probabilité que vous soyez parmi les victimes n'atteint même pas 1 %. Pourquoi? Oui, car les malwares ne peuvent pas infecter toutes les machines vulnérables en même temps. Et pendant qu'il prévoit de nouvelles victimes, les développeurs du système parviennent à publier une mise à jour salvatrice.

Comment se comporte le ransomware sur un ordinateur infecté

Le processus de cryptage commence généralement inaperçu et lorsque ses signes deviennent évidents, il est déjà trop tard pour sauvegarder les données : à ce moment-là, le malware a crypté tout ce qu'il peut atteindre. Parfois, l'utilisateur peut remarquer comment les fichiers de certains ouvrir le dossier l'extension a changé.

L'apparition déraisonnable d'une nouvelle et parfois d'une deuxième extension sur les fichiers, après quoi ils cessent de s'ouvrir, indique absolument les conséquences d'une attaque de cryptage. À propos, il est généralement possible d'identifier le malware grâce à l'extension que reçoivent les objets endommagés.

Un exemple de ce que peuvent être les extensions de fichiers cryptés :. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, etc.

Il existe de nombreuses options, et de nouvelles apparaîtront demain, cela ne sert donc à rien de tout énumérer. Pour déterminer le type d'infection, il suffit d'alimenter plusieurs extensions du moteur de recherche.

Autres symptômes indiquant indirectement le début du cryptage :

• Des fenêtres apparaissent à l'écran pendant une fraction de seconde ligne de commande. Le plus souvent, il s'agit d'un phénomène normal lors de l'installation de mises à jour du système et des programmes, mais il est préférable de ne pas le laisser sans surveillance.
• L'UAC demande de lancer un programme que vous n'aviez pas l'intention d'ouvrir.
• Redémarrage brutal de l'ordinateur suivi d'une imitation de fonctionnement utilitaire système vérification du disque (d'autres variantes sont possibles). Lors de la « vérification », le processus de cryptage a lieu.

Une fois l’opération malveillante terminée avec succès, un message apparaît à l’écran avec une demande de rançon et diverses menaces.

Les ransomwares cryptent une partie importante des fichiers des utilisateurs : photos, musiques, vidéos, documents texte, archives, courrier, bases de données, fichiers avec extensions de programme, etc. Mais les objets ne sont pas touchés système opérateur, car les attaquants n’ont pas besoin que l’ordinateur infecté cesse de fonctionner. Certains virus remplacent enregistrements de démarrage disques et partitions.

Après le chiffrement, tous les clichés instantanés et points de récupération sont généralement supprimés du système.

Comment guérir un ordinateur contre un ransomware

Supprimer les programmes malveillants d'un système infecté est simple : presque tous les antivirus peuvent gérer la plupart d'entre eux sans difficulté. Mais! Il est naïf de croire que se débarrasser du coupable résoudra le problème : que vous supprimiez ou non le virus, les fichiers resteront cryptés. De plus, dans certains cas, cela compliquera leur décryptage ultérieur, si possible.

Procédure correcte lors du démarrage du cryptage

• Une fois que vous remarquez des signes de cryptage, Éteignez immédiatement l'alimentation de l'ordinateur en appuyant longuement sur le boutonAlimentation pendant 3-4 secondes. Cela enregistrera au moins certains fichiers.
• Créer sur un autre ordinateur disque de démarrage ou clé USB avec programme antivirus. Par exemple, , , etc.
• Démarrez la machine infectée à partir de ce disque et analysez le système. Supprimez tous les virus trouvés et conservez-les en quarantaine (au cas où ils seraient nécessaires au décryptage). Seulement après ça vous pouvez démarrer votre ordinateur à partir de votre disque dur.
• Essayez de récupérer des fichiers cryptés à partir de clichés instantanés à l'aide d'outils système ou à l'aide de fichiers .

Que faire si les fichiers sont déjà cryptés

• Ne perdez pas espoir. Les sites Web des développeurs de produits antivirus contiennent des utilitaires de décryptage gratuits pour différents types malware. En particulier, les services publics de et .
• Après avoir déterminé le type d'encodeur, téléchargez utilitaire approprié, fais-le certainement copies fichiers endommagés et essayez de les déchiffrer. En cas de succès, déchiffrez le reste.

Si les fichiers ne sont pas décryptés

Si aucun des utilitaires ne vous aide, il est probable que vous ayez souffert d'un virus pour lequel il n'existe pas encore de remède.

Que pouvez-vous faire dans ce cas :

• Si vous utilisez un produit antivirus payant, contactez son équipe d'assistance. Envoyez plusieurs copies des fichiers endommagés au laboratoire et attendez une réponse. Si cela est techniquement possible, ils vous aideront.

• S'il s'avère que les fichiers sont irrémédiablement endommagés, mais qu'ils sont d'une grande valeur pour vous, vous ne pouvez qu'espérer et attendre qu'un remède de secours soit trouvé un jour. La meilleure chose que vous puissiez faire est de laisser le système et les fichiers tels quels, c'est-à-dire complètement désactivés et non utilisés. disque dur. La suppression des fichiers malveillants, la réinstallation du système d'exploitation et même sa mise à jour peuvent vous priver et cette chance, car lors de la génération de clés de chiffrement-déchiffrement, ils utilisent souvent identifiants uniques systèmes et copies du virus.

Payer la rançon n’est pas une option, car la probabilité que vous receviez la clé est proche de zéro. Et cela ne sert à rien de financer une entreprise criminelle.

Comment se protéger de ce type de malware

Je ne voudrais pas répéter des conseils que chacun des lecteurs a entendus des centaines de fois. Oui, installe bon antivirus, ne cliquez pas sur des liens suspects et blablabla - c'est important. Cependant, comme la vie l’a montré, il n’existe pas aujourd’hui de pilule magique qui vous offrirait une garantie de sécurité à 100 %.

Le seul méthode efficace protection contre ce type de ransomware - sauvegarde des données aux autres support physique, y compris dans services cloud. Sauvegarde, sauvegarde, sauvegarde...

Également sur le site :

Sans chance de salut : qu'est-ce qu'un virus de cryptage et comment y faire face mise à jour : 1er septembre 2018 par : Johnny Mnémonique