Êtes-vous victime d'un ransomware ? Ne payez pas la rançon !
Nos décrypteurs gratuits vous aideront à retrouver l’accès aux fichiers bloqués par différents types de ransomwares décrits ci-dessous. Sélectionnez simplement un titre pour afficher les signes d’infection et obtenir une aide gratuite.
Vous voulez éviter les infections par ransomware à l’avenir ?
Casier d'Alcatraz
Alcatraz Locker est l'un des programmes ransomware découverts pour la première fois à la mi-novembre 2016. Il utilise la méthode AES 256 en combinaison avec le codage Base64 pour crypter les fichiers.
Changer les noms de fichiers.
Les fichiers cryptés reçoivent l'extension .Alcatraz.
Message de rançon.
rançonné.html" sur le bureau:
Si Alcatraz a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Apocalypse
Apocalypse est un type de ransomware découvert pour la première fois en juin 2016. Les signes d'infection sont décrits ci-dessous.
Changer les noms de fichiers.
Apocalypse ajoute des extensions .chiffré, .FuckVosDonnées, .fermé à clé, .Fichier crypté ou .SecureCrypted Thèse.doc.locked.)
Message de rançon.
Lors de l'ouverture d'un fichier avec l'extension .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt ou .Where_my_files.txt(Par exemple, Thèse.doc.How_To_Decrypt.txt), un message semblable au suivant apparaîtra :
Mauvais bloc
BadBlock est un type de ransomware découvert pour la première fois en mai 2016. Les signes d'infection sont décrits ci-dessous.
Changer les noms de fichiers.
BadBlock ne renomme pas les fichiers.
Message de rançon.
Après avoir chiffré vos fichiers, le cheval de Troie BadBlock affiche l'un des messages suivants (en utilisant l'exemple de fichier Aide à décrypter.html):
Si BadBlock a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Bart
Bart est un type de ransomware découvert pour la première fois fin juin 2016. Les signes d'infection sont décrits ci-dessous.
Changer les noms de fichiers.
Le programme Bart ajoute du texte .bart.zipà la fin des noms de fichiers (par exemple, au lieu de Thesis.doc le fichier sera appelé Thèse.docx.bart.zip). Cette archive ZIP cryptée contient les fichiers sources.
Message de rançon.
Après avoir crypté les fichiers, Bart modifie l'arrière-plan du bureau comme indiqué ci-dessous. Le texte de cette image peut également être utilisé pour reconnaître le programme Bart. Le texte est stocké sur le bureau dans des fichiers récupérer.bmp Et récupérer.txt.
Si Bart a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Gratitude. Nous tenons à remercier Peter Conrad, l'auteur du programme PkCrack, qui nous a permis d'utiliser sa bibliothèque dans notre décrypteur pour le cheval de Troie ransomware Bart.
Crypte888
Crypt888 (également connu sous le nom de Mircop) est un type de ransomware découvert pour la première fois en juin 2016. Les signes d'infection sont décrits ci-dessous.
Changer les noms de fichiers.
Le programme Crypt888 ajoute du texte Verrouillage. au début des noms de fichiers (par exemple, au lieu de Thesis.doc le fichier s'appellera Lock.Thesis.doc).
Message de rançon.
Après avoir crypté vos fichiers, Crypt888 remplace l'arrière-plan de votre bureau par l'une des options ci-dessous.
Si Crypt888 a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
CryptoMix (version autonome)
CryptoMix (également connu sous le nom de CryptFile2 et Zeta) est l'un des programmes ransomware détectés pour la première fois en mars 2016. Début 2017, une nouvelle variété de CryptoMix est apparue, appelée CryptoShield. Les deux versions du programme cryptent les fichiers à l'aide de l'algorithme AES256 avec une clé de cryptage unique, téléchargée à partir d'un serveur distant. Si le serveur est indisponible ou si l'utilisateur ne dispose pas de connexion Internet, le ransomware crypte les fichiers à l'aide d'une clé fixe (« clé hors ligne »).
Note. Le décrypteur proposé est capable de déverrouiller uniquement les fichiers cryptés à l'aide d'une « clé hors ligne ». Dans les cas où une clé hors ligne n'a pas été utilisée pour crypter les fichiers, notre décrypteur ne pourra pas restaurer l'accès aux fichiers.
Changer les noms de fichiers.
.CRYPTOSHIELD, .rdmk, leslie, .scl, .code, .rmd ou .rscl.
Message de rançon.
Après avoir crypté les fichiers sur votre PC, vous pouvez trouver les fichiers suivants :
Si CryptoMix a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
CrySiS
CrySiS (JohnyCryptor, Virus-Encode ou Aura) est l'un des programmes ransomware détectés pour la première fois en septembre 2015. Il utilise le cryptage AES256 en combinaison avec la méthode de cryptage asymétrique RSA1024.
Changer les noms de fichiers.
Les fichiers cryptés portent l'une des extensions suivantes :
[email protégé]
,
[email protégé]
,
[email protégé]
,
[email protégé]
,
.{[email protégé]).CrySiS,
.{[email protégé]).xtbl,
.{[email protégé]).xtbl,
.{[email protégé]).xtbl
Message de rançon.
Après avoir crypté vos fichiers, le programme affiche l'un des messages suivants. Ce message est contenu dans un fichier appelé " Instructions de décryptage.txt», « Instructions de décryptages.txt" ou "* README.txt"sur le bureau.
Si CrySiS a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Globe
Globe est l'un des ransomwares découverts pour la première fois en août 2016. Il utilise la méthode de cryptage RC4 ou Blowfish. Les signes d'infection sont décrits ci-dessous.
Changer les noms de fichiers.
Globe ajoute l'une des extensions suivantes au nom du fichier : .ACRYPTE, .GSupport, .bloc noir, .dll555, .duhust, .exploiter, .congelé, .globe, .gsupport, .kyra, .purgé, .raid, [email protégé] , .xtbl, .zendrz, .zendr ou .hnannée. De plus, certaines versions du programme cryptent le nom du fichier lui-même.
Message de rançon.
Après avoir crypté les fichiers, le programme affiche le message suivant, qui se trouve dans le fichier « Comment restaurer les fichiers.hta" ou " Lisez-moi s'il vous plaît.hta»):
Si Globe a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Déchirure cachée
HiddenTear est l'un des premiers programmes ransomware open source hébergés sur GitHub et connu depuis août 2015. Depuis lors, des centaines de variantes du programme HiddenTear ont été créées par des fraudeurs utilisant du code open source. HiddenTear utilise le cryptage AES.
Changer les noms de fichiers.
Les fichiers cryptés reçoivent l'une des extensions suivantes (mais peuvent en avoir d'autres) : .fermé à clé, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .verrouillage, .saeid, .déverrouillez-le, .razy, .mecpt, .monstro, .lok, .암호화됨 , .8lock8, .baisé, .flyper, .kratos, .crypté, .CAZZO, .condamné.
Message de rançon.
Lorsque les fichiers sont cryptés, un fichier texte apparaît sur l'écran d'accueil de l'utilisateur (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML). Diverses options peuvent également afficher un message de rançon :
Si HiddenTear a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Scie sauteuse
Jigsaw est l'un des programmes ransomware qui existe depuis mars 2016. Elle porte le nom du méchant du film surnommé "Jigsaw Killer". Certaines variantes de ce programme utilisent une image de ce personnage sur l'écran avec une demande de rançon pour le déverrouillage.
Changer les noms de fichiers.
Les fichiers cryptés reçoivent l'une des extensions suivantes : .kkk, .btc, .gws, .J, .chiffré, .porno, .payrançon, .pornorançon, .épique, .xyz, .versiegelt, .chiffré, .payb, .paye, .payms, .paymds, .payments, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .amusant, .faire taire, [email protégé] ou .gefickt.
Message de rançon.
Une fois les fichiers cryptés, l'un des écrans ci-dessous s'affichera :
Si Jigsaw a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Légion
Legion est un type de ransomware découvert pour la première fois en juin 2016. Voici les symptômes d'une infection.
Changer les noms de fichiers.
La Légion ajoute quelque chose comme [email protégé]$.légion ou [email protégé]$.cbfà la fin des noms de fichiers. (Par exemple, au lieu de Thesis.doc le fichier s'appellera [email protégé]$.légion.)
Message de rançon.
Après avoir crypté vos fichiers, Legion modifie l'arrière-plan de votre bureau et affiche une fenêtre contextuelle similaire à celle-ci :
Si Legion a crypté vos fichiers, cliquez ici pour télécharger notre décrypteur gratuit pour le déverrouiller.
Vous est-il déjà arrivé de recevoir un message par e-mail, Skype ou ICQ d'un expéditeur inconnu avec un lien vers une photo de votre ami ou des félicitations pour les vacances à venir ? Vous ne semblez pas vous attendre à une quelconque configuration, et tout à coup, lorsque vous cliquez sur le lien, un logiciel malveillant sérieux est téléchargé sur votre ordinateur. Avant que vous vous en rendiez compte, le virus a déjà crypté tous vos fichiers. Que faire dans une telle situation ? Est-il possible de restaurer des documents ?
Afin de comprendre comment gérer les logiciels malveillants, vous devez savoir de quoi il s’agit et comment ils pénètrent dans le système d’exploitation. De plus, peu importe la version de Windows que vous utilisez : le virus Critroni vise à infecter n'importe quel système d'exploitation.
Virus informatique de cryptage : définition et algorithme d'action
Un nouveau logiciel antivirus est apparu sur Internet, connu sous le nom de CTB (Curve Tor Bitcoin) ou Critroni. Il s'agit d'un cheval de Troie rançongiciel amélioré, similaire en principe au logiciel malveillant précédemment connu CriptoLocker. Si un virus a crypté tous les fichiers, que devez-vous faire dans ce cas ? Tout d'abord, vous devez comprendre l'algorithme de son fonctionnement. L'essence du virus est de crypter tous vos fichiers avec les extensions .ctbl, .ctb2, .vault, .xtbl ou autres. Cependant, vous ne pourrez pas les ouvrir tant que vous n’aurez pas payé la somme d’argent demandée.
Les virus Trojan-Ransom.Win32.Shade et Trojan-Ransom.Win32.Onion sont courants. Ils ressemblent beaucoup au STV dans leur action locale. Ils se distinguent par l’extension des fichiers cryptés. Trojan-Ransom code les informations au format .xtbl. Lorsque vous ouvrez un fichier, un message apparaît à l'écran indiquant que vos documents personnels, bases de données, photos et autres fichiers ont été cryptés par un logiciel malveillant. Pour les décrypter, vous devez payer pour une clé unique, qui est stockée sur un serveur secret, et ce n'est que dans ce cas que vous pourrez effectuer des opérations de décryptage et de cryptographie avec vos documents. Mais ne vous inquiétez pas, et encore moins envoyez de l’argent au numéro indiqué : il existe un autre moyen de lutter contre ce type de cybercriminalité. Si un tel virus pénétrait sur votre ordinateur et chiffrait tous les fichiers .xtbl, que devriez-vous faire dans une telle situation ?
Que ne pas faire si un virus de cryptage pénètre dans votre ordinateur
Il arrive que, dans la panique, nous installions un programme antivirus et, avec son aide, supprimions automatiquement ou manuellement les logiciels antivirus, perdant ainsi des documents importants. C'est désagréable, de plus, l'ordinateur peut contenir des données sur lesquelles vous travaillez depuis des mois. C'est dommage de perdre de tels documents sans possibilité de les récupérer.
Si le virus a crypté tous les fichiers .xtbl, certains tentent de modifier leur extension, mais cela ne conduit pas non plus à des résultats positifs. La réinstallation et le formatage du disque dur supprimeront définitivement le programme malveillant, mais vous perdrez en même temps toute possibilité de récupération de documents. Dans cette situation, les programmes de décryptage spécialement créés ne seront d'aucune utilité, car le logiciel ransomware est programmé à l'aide d'un algorithme non standard et nécessite une approche particulière.
À quel point un virus ransomware est-il dangereux pour un ordinateur personnel ?
Il est absolument clair qu'aucun programme malveillant ne profitera à votre ordinateur personnel. Pourquoi un tel logiciel est-il créé ? Curieusement, de tels programmes n'ont pas été créés uniquement dans le but d'escroquer le plus d'argent possible aux utilisateurs. En fait, le marketing viral est très rentable pour de nombreux inventeurs d’antivirus. Après tout, si un virus chiffrait tous les fichiers de votre ordinateur, vers qui vous tourneriez-vous en premier ? Naturellement, faites appel à des professionnels. Qu'est-ce que le cryptage pour votre ordinateur portable ou personnel ?
Leur algorithme de fonctionnement n'est pas standard, il sera donc impossible de guérir les fichiers infectés avec un logiciel antivirus classique. La suppression d'objets malveillants entraînera une perte de données. Seul le passage en quarantaine permettra de sécuriser d'autres fichiers que le virus malveillant n'a pas encore réussi à chiffrer.
Date d'expiration du logiciel malveillant de chiffrement
Si votre ordinateur est infecté par Critroni (malware) et que le virus a crypté tous vos fichiers, que devez-vous faire ? Vous ne pouvez pas décrypter vous-même les formats .vault-, .xtbl-, .rar en modifiant manuellement l'extension en .doc, .mp3, .txt et autres. Si vous ne payez pas le montant requis aux cybercriminels dans les 96 heures, ils vous enverront une correspondance intimidante par e-mail indiquant que tous vos fichiers seront définitivement supprimés. Dans la plupart des cas, les gens sont influencés par de telles menaces et accomplissent ces actions à contrecœur mais avec obéissance, craignant de perdre des informations précieuses. Il est dommage que les utilisateurs ne comprennent pas que les cybercriminels ne tiennent pas toujours parole. Une fois l’argent reçu, ils ne se soucient souvent plus du décryptage de vos fichiers verrouillés.
Lorsque la minuterie expire, il se ferme automatiquement. Mais vous avez toujours la possibilité de récupérer des documents importants. Un message apparaîtra à l'écran indiquant que le délai a expiré et vous pourrez afficher des informations plus détaillées sur les fichiers du dossier de documents dans un fichier de bloc-notes spécialement créé, DecryptAllFiles.txt.
Comment les logiciels malveillants de chiffrement pénètrent dans le système d'exploitation
En règle générale, les virus ransomware pénètrent dans un ordinateur via des messages électroniques infectés ou via de faux téléchargements. Il peut s'agir de fausses mises à jour flash ou de lecteurs vidéo frauduleux. Dès que le programme est téléchargé sur votre ordinateur à l'aide de l'une de ces méthodes, il crypte immédiatement les données sans possibilité de récupération. Si le virus a chiffré tous les fichiers .cbf, .ctbl, .ctb2 dans d'autres formats et que vous ne disposez pas d'une copie de sauvegarde du document stocké sur un support amovible, supposez que vous ne pourrez plus les récupérer. Pour le moment, les laboratoires antivirus ne savent pas comment déchiffrer ces virus de cryptage. Sans la clé requise, vous pouvez uniquement bloquer les fichiers infectés, les mettre en quarantaine ou les supprimer.
Comment éviter d'attraper un virus sur votre ordinateur
Menaçant tous les fichiers .xtbl. Ce qu'il faut faire? Vous avez déjà lu de nombreuses informations inutiles écrites sur la plupart des sites Web et vous ne trouvez pas la réponse. Il se trouve qu'au moment le plus inopportun, lorsque vous avez un besoin urgent de remettre un rapport de travail, une thèse dans une université ou de défendre votre diplôme de professeur, l'ordinateur commence à vivre sa propre vie : il tombe en panne, est infecté par des virus. , et se fige. Vous devez vous préparer à de telles situations et conserver les informations sur le serveur et les supports amovibles. Cela vous permettra de réinstaller le système d'exploitation à tout moment et après 20 minutes de travail sur l'ordinateur comme si de rien n'était. Mais malheureusement, nous ne sommes pas toujours aussi entreprenants.
Pour éviter d'infecter votre ordinateur avec un virus, vous devez d'abord installer un bon programme antivirus. Vous devez disposer d'un pare-feu Windows correctement configuré, qui protège contre divers objets malveillants transitant par le réseau. Et le plus important : ne téléchargez pas de logiciels à partir de sites non vérifiés ou de trackers torrent. Pour éviter d'infecter votre ordinateur avec des virus, faites attention aux liens sur lesquels vous cliquez. Si vous recevez un e-mail d'un destinataire inconnu avec une demande ou une offre de voir ce qui est caché derrière le lien, il est préférable de déplacer le message vers le spam ou de le supprimer complètement.
Pour éviter que le virus ne chiffre un jour tous les fichiers .xtbl, les laboratoires de logiciels antivirus recommandent un moyen gratuit de se protéger contre l'infection par les virus de chiffrement : une fois par semaine, inspectez leur état.
Le virus a crypté tous les fichiers de l'ordinateur : méthodes de traitement
Si vous avez été victime de cybercriminalité et que les données de votre ordinateur ont été infectées par l'un des types de logiciels malveillants de cryptage, il est temps d'essayer de récupérer vos fichiers.
Il existe plusieurs manières de traiter gratuitement les documents infectés :
- La méthode la plus courante, et probablement la plus efficace à l’heure actuelle, consiste à sauvegarder les documents puis à les restaurer en cas d’infection inattendue.
- L'algorithme logiciel du virus CTB fonctionne de manière intéressante. Une fois sur l'ordinateur, il copie les fichiers, les crypte et supprime les documents originaux, éliminant ainsi la possibilité de leur récupération. Mais avec l'aide du logiciel Photorec ou R-Studio, vous pouvez réussir à sauvegarder certains fichiers originaux intacts. Il faut savoir que plus vous utilisez votre ordinateur longtemps après qu'il ait été infecté, moins il est probable que vous puissiez récupérer tous les documents nécessaires.
- Si le virus a chiffré tous les fichiers .vault, il existe un autre bon moyen de les décrypter : à l'aide de volumes de clichés instantanés. Bien entendu, le virus tentera de tous les supprimer définitivement et irrévocablement, mais il arrive aussi que certains fichiers restent intacts. Dans ce cas, vous aurez une petite mais chance de les restaurer.
- Il est possible de stocker des données sur des services d'hébergement de fichiers tels que DropBox. Il peut être installé sur votre ordinateur en tant que mappage de disque local. Naturellement, le virus du cryptage l’infectera également. Mais dans ce cas, il est bien plus réaliste de restaurer des documents et des fichiers importants.
Logiciel de prévention des infections virales sur les ordinateurs personnels
Si vous avez peur que de sinistres logiciels malveillants s'introduisent sur votre ordinateur et que vous ne souhaitez pas qu'un virus insidieux crypte tous vos fichiers, vous devez utiliser l'éditeur de stratégie local ou l'éditeur de groupe Windows. Grâce à ce logiciel intégré, vous pouvez mettre en place une politique de restriction des programmes - et vous n'aurez alors plus à craindre que votre ordinateur soit infecté.
Comment récupérer des fichiers infectés
Si le virus CTB a crypté tous les fichiers, que devez-vous faire dans ce cas pour restaurer les documents nécessaires ? Malheureusement, à l'heure actuelle, aucun laboratoire antivirus ne peut proposer le décryptage de vos fichiers, mais il est possible de neutraliser l'infection et de la supprimer complètement d'un ordinateur personnel. Toutes les méthodes efficaces de récupération d’informations sont répertoriées ci-dessus. Si vos fichiers sont trop précieux pour vous et que vous n'avez pas pris la peine de les sauvegarder sur un disque amovible ou un lecteur Internet, vous devrez alors payer le montant demandé par les cybercriminels. Mais il n’y a aucune chance que la clé de déchiffrement vous soit envoyée même après paiement.
Comment trouver les fichiers infectés
Pour voir la liste des fichiers infectés, vous pouvez accéder à ce chemin : « Mes documents »\.html ou « C: »\ »Utilisateurs »\ »Tous les utilisateurs »\.html. Cette feuille HTML contient des données non seulement sur des instructions aléatoires, mais également sur des objets infectés.
Comment bloquer un virus de cryptage
Une fois qu'un ordinateur a été infecté par un logiciel malveillant, la première action nécessaire de la part de l'utilisateur est d'allumer le réseau. Cela se fait en appuyant sur la touche du clavier F10.
Si le virus Critroni s'est accidentellement introduit sur votre ordinateur et a crypté tous les fichiers au format .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf ou tout autre format, alors il est déjà difficile de les récupérer. Mais si le virus n’a pas encore apporté beaucoup de changements, il sera probablement bloqué à l’aide d’une politique de restriction logicielle.
Les virus eux-mêmes en tant que menace informatique ne surprennent personne aujourd'hui. Mais si auparavant ils affectaient le système dans son ensemble, provoquant des perturbations dans ses performances, aujourd'hui, avec l'avènement d'une variété telle qu'un virus de chiffrement, les actions d'une menace pénétrante affectent davantage de données utilisateur. Cela représente peut-être une menace encore plus grande que les applications exécutables destructrices pour Windows ou les applets de logiciels espions.
Qu'est-ce qu'un virus ransomware ?
Le code lui-même, écrit dans un virus autocopiant, implique le cryptage de presque toutes les données utilisateur avec des algorithmes cryptographiques spéciaux, sans affecter les fichiers système du système d'exploitation.
Au début, la logique de l’impact du virus n’était pas tout à fait claire pour beaucoup. Tout n'est devenu clair que lorsque les pirates qui ont créé de telles applets ont commencé à exiger de l'argent pour restaurer la structure originale des fichiers. Dans le même temps, le virus crypté lui-même ne vous permet pas de décrypter les fichiers en raison de ses caractéristiques. Pour ce faire, vous avez besoin d'un décrypteur spécial, si vous le souhaitez, d'un code, d'un mot de passe ou d'un algorithme nécessaire pour restaurer le contenu souhaité.
Le principe de pénétration dans le système et le fonctionnement du code viral
En règle générale, il est assez difficile de « ramasser » de telles conneries sur Internet. La principale source de propagation de « l'infection » est le courrier électronique au niveau des programmes installés sur un terminal informatique spécifique, comme Outlook, Thunderbird, The Bat, etc. Notons tout de suite : cela ne s'applique pas aux serveurs de messagerie Internet, car ils ont un degré de protection assez élevé et l'accès aux données des utilisateurs n'est possible qu'au niveau
Une autre chose est une application sur un terminal informatique. C'est là que le champ d'action des virus est si vaste qu'il est impossible de l'imaginer. Certes, cela vaut également la peine de faire une réserve ici : dans la plupart des cas, les virus ciblent les grandes entreprises à qui ils peuvent « soutirer » de l'argent en échange d'un code de décryptage. Cela est compréhensible, car non seulement sur les terminaux informatiques locaux, mais également sur les serveurs de ces sociétés, les fichiers peuvent être stockés, pour ainsi dire, en un seul exemplaire, qui ne peut en aucun cas être détruit. Et puis décrypter les fichiers après un virus ransomware devient assez problématique.
Bien sûr, un utilisateur ordinaire peut être soumis à une telle attaque, mais dans la plupart des cas, cela est peu probable si vous suivez les recommandations les plus simples pour ouvrir des pièces jointes avec des extensions de type inconnu. Même si un client de messagerie détecte une pièce jointe avec une extension .jpg en tant que fichier graphique standard, elle doit d'abord être vérifiée en tant que fichier standard installé sur le système.
Si cela n'est pas fait, lorsque vous l'ouvrirez en double-cliquant (méthode standard), l'activation du code démarrera et le processus de cryptage commencera, après quoi le même Breaking_Bad (virus crypteur) sera non seulement impossible à supprimer, mais les fichiers ne pourront pas non plus être restaurés une fois la menace éliminée.
Conséquences générales de la pénétration de tous les virus de ce type
Comme déjà mentionné, la plupart des virus de ce type pénètrent dans le système par courrier électronique. Eh bien, disons qu'une grande organisation reçoit une lettre envoyée à un e-mail recommandé spécifique avec un contenu tel que "Nous avons modifié le contrat, une copie numérisée est jointe" ou "Vous avez reçu une facture pour l'expédition des marchandises (une copie ici)." Naturellement, l'employé sans méfiance ouvre le dossier et...
Tous les fichiers utilisateur au niveau des documents bureautiques, multimédias, des projets AutoCAD spécialisés ou de toute autre donnée d'archives sont instantanément cryptés, et si le terminal informatique est situé sur un réseau local, le virus peut se transmettre davantage, cryptant les données sur d'autres machines (cela devient perceptible immédiatement après le « freinage » du système et le gel des programmes ou des applications en cours d'exécution).
À la fin du processus de cryptage, le virus lui-même envoie apparemment une sorte de rapport, après quoi l'entreprise peut recevoir un message indiquant que telle ou telle menace a pénétré dans le système, et que seule telle ou telle organisation peut la déchiffrer. Il s'agit généralement d'un virus. [email protégé]. Vient ensuite l’obligation de payer les services de décryptage avec une offre d’envoi de plusieurs fichiers sur la messagerie du client, le plus souvent fictive.
Dommages causés par l'exposition au code
Si quelqu'un ne l'a pas encore compris : le décryptage de fichiers après un virus ransomware est un processus plutôt laborieux. Même si vous ne cédez pas aux exigences des attaquants et essayez d’impliquer les agences gouvernementales officielles dans la lutte et la prévention des délits informatiques, il n’en résulte généralement rien de bon.
Si vous supprimez tous les fichiers, produisez et même copiez les données originales à partir d'un support amovible (bien sûr, s'il existe une telle copie), tout sera toujours à nouveau crypté si le virus est activé. Il ne faut donc pas trop se faire d’illusions, d’autant plus que lorsque vous insérez la même clé USB dans un port USB, l’utilisateur ne remarquera même pas comment le virus cryptera également les données qu’elle contient. Vous n'aurez alors aucun problème.
Premier-né de la famille
Tournons maintenant notre attention vers le premier virus de chiffrement. Au moment de son apparition, personne n'avait encore réfléchi à la manière de guérir et de décrypter des fichiers après avoir été exposé à un code exécutable contenu dans une pièce jointe d'un e-mail contenant une offre de rencontre. La prise de conscience de l’ampleur du désastre n’est venue qu’avec le temps.
Ce virus avait le nom romantique « Je t’aime ». Un utilisateur sans méfiance a ouvert une pièce jointe dans un message électronique et a reçu des fichiers multimédias (graphiques, vidéo et audio) totalement illisibles. Mais à l’époque, de telles actions semblaient plus destructrices (préjudiciables aux utilisateurs des médiathèques) et personne n’exigeait d’argent pour cela.
Les dernières modifications
Comme nous le voyons, l'évolution de la technologie est devenue une activité assez rentable, d'autant plus que de nombreux dirigeants de grandes organisations courent immédiatement pour payer les efforts de décryptage, sans penser du tout qu'ils pourraient perdre à la fois de l'argent et des informations.
D’ailleurs, ne regardez pas tous ces « faux » messages sur Internet disant : « J’ai payé/payé le montant requis, ils m’ont envoyé un code, tout a été restauré ». Absurdité! Tout cela est écrit par les développeurs du virus eux-mêmes afin d’attirer des potentiels, excusez-moi, des « drageons ». Mais, selon les normes d'un utilisateur ordinaire, les montants à payer sont assez importants : de plusieurs centaines à plusieurs milliers ou dizaines de milliers d'euros ou de dollars.
Examinons maintenant les types de virus les plus récents de ce type, enregistrés relativement récemment. Tous sont pratiquement similaires et appartiennent non seulement à la catégorie des chiffreurs, mais également au groupe des ransomwares. Dans certains cas, ils agissent plus correctement (comme paycrypt), envoyant apparemment des offres commerciales officielles ou des messages indiquant que quelqu'un se soucie de la sécurité de l'utilisateur ou de l'organisation. Un tel virus cryptant induit simplement l'utilisateur en erreur avec son message. S’il fait la moindre démarche pour payer, c’est tout : le « divorce » sera complet.
Virus XTBL
Cette version relativement récente peut être classée comme une version classique du ransomware. Généralement, il pénètre dans le système via des messages électroniques contenant des pièces jointes, ce qui est standard pour les économiseurs d'écran Windows. Le système et l'utilisateur pensent que tout va bien et activent la visualisation ou l'enregistrement de la pièce jointe.
Malheureusement, cela entraîne de tristes conséquences : les noms de fichiers sont convertis en un ensemble de caractères et .xtbl est ajouté à l'extension principale, après quoi un message est envoyé à l'adresse e-mail souhaitée concernant la possibilité de décryptage après avoir payé le montant spécifié. (généralement 5 000 roubles).
virus CBF
Ce type de virus fait également partie des classiques du genre. Il apparaît sur le système après avoir ouvert les pièces jointes des e-mails, puis renomme les fichiers utilisateur, en ajoutant une extension comme .nochance ou .perfect à la fin.
Malheureusement, il n'est pas possible de décrypter un virus ransomware de ce type pour analyser le contenu du code même au stade de son apparition dans le système, car après avoir terminé ses actions, il s'autodétruit. Même ce que beaucoup croient être un outil universel comme RectorDecryptor n’aide pas. Là encore, l'utilisateur reçoit une lettre exigeant le paiement, pour laquelle deux jours sont accordés.
Virus Breaking_Bad
Ce type de menace fonctionne de la même manière, mais renomme les fichiers dans la version standard, en ajoutant .breaking_bad à l'extension.
La situation ne se limite pas à cela. Contrairement aux virus précédents, celui-ci peut créer une autre extension - .Heisenberg, il n'est donc pas toujours possible de trouver tous les fichiers infectés. Breaking_Bad (un virus ransomware) constitue donc une menace assez sérieuse. À propos, il existe des cas où même le package de licence Kaspersky Endpoint Security 10 ignore ce type de menace.
Virus [email protégé]
Voici une autre menace, peut-être la plus grave, qui vise principalement les grandes organisations commerciales. En règle générale, certains services reçoivent une lettre contenant apparemment des modifications au contrat de fourniture, ou même simplement une facture. La pièce jointe peut contenir un fichier .jpg ordinaire (comme une image), mais le plus souvent - un script.js exécutable (applet Java).
Comment décrypter ce type de virus de cryptage ? À en juger par le fait qu'un algorithme RSA-1024 inconnu y est utilisé, ce n'est pas possible. D'après le nom, vous pouvez supposer qu'il s'agit d'un système de cryptage 1024 bits. Mais, si quelqu'un s'en souvient, l'AES 256 bits est aujourd'hui considéré comme le plus avancé.
Virus Encryptor : comment désinfecter et décrypter des fichiers à l'aide d'un logiciel antivirus
À ce jour, aucune solution n’a encore été trouvée pour décrypter les menaces de ce type. Même des maîtres dans le domaine de la protection antivirus comme Kaspersky, Dr. Web et Eset ne trouvent pas la clé pour résoudre le problème lorsque le système est infecté par un virus de cryptage. Comment désinfecter les fichiers ? Dans la plupart des cas, il est suggéré d'envoyer une demande au site officiel du développeur antivirus (d'ailleurs, uniquement si le système dispose d'un logiciel sous licence de ce développeur).
Dans ce cas, vous devez joindre plusieurs fichiers cryptés, ainsi que leurs originaux « sains », le cas échéant. En général, dans l'ensemble, peu de personnes sauvegardent des copies de données, de sorte que le problème de leur absence ne fait qu'aggraver une situation déjà désagréable.
Moyens possibles pour identifier et éliminer la menace manuellement
Oui, l'analyse avec les programmes antivirus conventionnels identifie les menaces et les supprime même du système. Mais que faire des informations ?
Certains essaient d'utiliser des programmes de décryptage comme l'utilitaire RectorDecryptor (RakhniDecryptor) déjà mentionné. Notons tout de suite : cela ne servira à rien. Et dans le cas du virus Breaking_Bad, cela ne peut que faire du mal. Et c'est pourquoi.
Le fait est que les personnes qui créent de tels virus tentent de se protéger et de guider les autres. Lors de l'utilisation d'utilitaires de décryptage, le virus peut réagir de telle manière que tout le système tombe en panne, avec la destruction complète de toutes les données stockées sur les disques durs ou les partitions logiques. C'est, pour ainsi dire, une leçon indicative pour l'édification de tous ceux qui ne veulent pas payer. Nous ne pouvons compter que sur les laboratoires antivirus officiels.
Méthodes cardinales
Cependant, si les choses vont vraiment mal, vous devrez sacrifier l’information. Pour vous débarrasser complètement de la menace, vous devez formater l'intégralité du disque dur, y compris les partitions virtuelles, puis réinstaller le système d'exploitation.
Malheureusement, il n’y a pas d’autre issue. Même jusqu'à un certain point de restauration enregistré, cela n'aidera pas. Le virus peut disparaître, mais les fichiers resteront cryptés.
Au lieu d'une postface
En conclusion, il convient de noter que la situation est la suivante : un virus ransomware pénètre dans le système, fait son sale boulot et n’est guéri par aucune méthode connue. Les outils de protection antivirus n'étaient pas prêts à faire face à ce type de menace. Il va sans dire qu’il est possible de détecter un virus après exposition ou de le supprimer. Mais les informations cryptées resteront inesthétiques. J'espère donc que les meilleurs esprits des sociétés de développement de logiciels antivirus trouveront toujours une solution, même si, à en juger par les algorithmes de cryptage, cela sera très difficile à faire. Rappelez-vous simplement la machine de cryptage Enigma dont disposait la marine allemande pendant la Seconde Guerre mondiale. Les meilleurs cryptographes n’ont pas pu résoudre le problème d’un algorithme de décryptage des messages avant d’avoir mis la main sur l’appareil. C’est ainsi que les choses se passent ici aussi.
est un programme malveillant qui, lorsqu'il est activé, crypte tous les fichiers personnels, tels que les documents, photos, etc. Le nombre de ces programmes est très important et augmente chaque jour. Ce n'est que récemment que nous avons rencontré des dizaines de variantes de ransomwares : CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Le but de ces virus de cryptage est de forcer les utilisateurs à acheter, souvent pour une grosse somme d'argent, le programme et la clé nécessaires pour décrypter leurs propres fichiers.
Bien entendu, vous pouvez restaurer les fichiers cryptés simplement en suivant les instructions que les créateurs du virus laissent sur l'ordinateur infecté. Mais le plus souvent, le coût du décryptage est très important, et il faut également savoir que certains virus ransomware chiffrent les fichiers de telle manière qu'il est tout simplement impossible de les décrypter par la suite. Et bien sûr, c'est tout simplement ennuyeux de payer pour restaurer ses propres fichiers.
Ci-dessous, nous parlerons plus en détail des virus de cryptage, de la manière dont ils pénètrent dans l’ordinateur de la victime, ainsi que de la manière de supprimer le virus de cryptage et de restaurer les fichiers cryptés par celui-ci.
Comment un virus ransomware pénètre-t-il dans un ordinateur ?
Un virus ransomware se propage généralement par courrier électronique. La lettre contient des documents infectés. Ces lettres sont envoyées à une énorme base de données d’adresses e-mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint entraînera l’infection de votre ordinateur par un virus ransomware.
Qu'est-ce qu'un virus ransomware ?
Un virus ransomware est un programme malveillant qui infecte les versions modernes des systèmes d'exploitation Windows, comme Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ces virus tentent d'utiliser les modes de cryptage les plus forts possibles, par exemple RSA-2048 avec la longueur de la clé est de 2048 bits, ce qui élimine pratiquement la possibilité de sélectionner une clé pour décrypter indépendamment les fichiers.
Lors de l'infection d'un ordinateur, le virus ransomware utilise le répertoire système %APPDATA% pour stocker ses propres fichiers. Pour se lancer automatiquement lorsque vous allumez l'ordinateur, le ransomware crée une entrée dans le registre Windows : sections HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Exécuter, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Immédiatement après son lancement, le virus analyse tous les lecteurs disponibles, y compris le stockage réseau et cloud, pour déterminer les fichiers qui seront cryptés. Un virus ransomware utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Presque tous les types de fichiers sont cryptés, y compris les plus courants tels que :
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portefeuille, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw
Immédiatement après qu'un fichier soit crypté, il reçoit une nouvelle extension, qui peut souvent être utilisée pour identifier le nom ou le type du ransomware. Certains types de ces logiciels malveillants peuvent également modifier les noms des fichiers cryptés. Le virus crée ensuite un document texte portant des noms tels que HELP_YOUR_FILES, README, qui contient des instructions pour décrypter les fichiers cryptés.
Au cours de son fonctionnement, le virus de cryptage tente de bloquer la possibilité de restaurer des fichiers à l'aide du système SVC (shadow copy of files). Pour ce faire, le virus, en mode commande, appelle l'utilitaire d'administration des clichés instantanés des fichiers avec une clé qui lance la procédure de suppression complète de ceux-ci. Ainsi, il est presque toujours impossible de restaurer des fichiers en utilisant leurs clichés instantanés.
Le virus ransomware utilise activement des tactiques d'intimidation en donnant à la victime un lien vers une description de l'algorithme de cryptage et en affichant un message menaçant sur le bureau. Il tente ainsi de forcer l’utilisateur de l’ordinateur infecté, sans hésitation, à envoyer l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers. La réponse à un tel message est le plus souvent le montant de la rançon et l’adresse du portefeuille électronique.
Mon ordinateur est-il infecté par un virus ransomware ?
Il est assez simple de déterminer si un ordinateur est infecté ou non par un virus de cryptage. Faites attention aux extensions de vos fichiers personnels, comme les documents, photos, musiques, etc. Si l'extension a changé ou si vos fichiers personnels ont disparu, laissant derrière eux de nombreux fichiers aux noms inconnus, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé HELP_YOUR_FILES ou README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers.
Si vous pensez avoir ouvert un e-mail infecté par un virus ransomware, mais que vous ne présentez encore aucun symptôme d'infection, n'éteignez pas et ne redémarrez pas votre ordinateur. Suivez les étapes décrites dans la section de ce manuel. Je le répète encore une fois, il est très important de ne pas éteindre l'ordinateur ; dans certains types de ransomwares, le processus de cryptage des fichiers est activé la première fois que vous allumez l'ordinateur après l'infection !
Comment décrypter des fichiers cryptés avec un virus ransomware ?
Si cette catastrophe se produit, il n’y a pas lieu de paniquer ! Mais il faut savoir que dans la plupart des cas, il n’existe pas de décrypteur gratuit. Cela est dû aux algorithmes de cryptage puissants utilisés par ces logiciels malveillants. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé est le seul moyen d’essayer d’obtenir la clé de décryptage.
Bien entendu, rien ne garantit qu’après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.
Comment supprimer un virus ransomware ?
Avant de commencer, vous devez savoir qu'en commençant à supprimer le virus et en essayant de restaurer les fichiers vous-même, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu'ils ont demandé.
Kaspersky Virus Removal Tool et Malwarebytes Anti-malware peuvent détecter différents types de virus ransomware actifs et les supprimeront facilement de votre ordinateur, MAIS ils ne peuvent pas récupérer les fichiers cryptés.
5.1. Supprimez les ransomwares à l'aide de Kaspersky Virus Removal Tool
Par défaut, le programme est configuré pour récupérer tous les types de fichiers, mais pour accélérer le travail, il est recommandé de ne laisser que les types de fichiers dont vous avez besoin pour récupérer. Lorsque vous avez terminé votre sélection, cliquez sur OK.
Au bas de la fenêtre du programme QPhotoRec, recherchez le bouton Parcourir et cliquez dessus. Vous devez sélectionner le répertoire dans lequel les fichiers récupérés seront enregistrés. Il est conseillé d'utiliser un disque qui ne contient pas de fichiers cryptés nécessitant une récupération (vous pouvez utiliser un lecteur flash ou un lecteur externe).
Pour lancer la procédure de recherche et de restauration des copies originales des fichiers cryptés, cliquez sur le bouton Rechercher. Ce processus prend beaucoup de temps, alors soyez patient.
Une fois la recherche terminée, cliquez sur le bouton Quitter. Ouvrez maintenant le dossier que vous avez choisi pour enregistrer les fichiers récupérés.
Le dossier contiendra des répertoires nommés recup_dir.1, recup_dir.2, recup_dir.3, etc. Plus le programme trouve de fichiers, plus il y aura de répertoires. Pour trouver les fichiers dont vous avez besoin, vérifiez tous les répertoires un par un. Pour faciliter la recherche du fichier dont vous avez besoin parmi un grand nombre de fichiers récupérés, utilisez le système de recherche Windows intégré (par contenu de fichier) et n'oubliez pas non plus la fonction de tri des fichiers dans les répertoires. Vous pouvez sélectionner la date à laquelle le fichier a été modifié comme option de tri, car QPhotoRec tente de restaurer cette propriété lors de la restauration d'un fichier.
Comment empêcher un virus ransomware d’infecter votre ordinateur ?
La plupart des programmes antivirus modernes disposent déjà d'un système de protection intégré contre la pénétration et l'activation de virus de cryptage. Par conséquent, si vous n'avez pas de programme antivirus sur votre ordinateur, assurez-vous de l'installer. Vous pouvez découvrir comment le choisir en lisant ceci.
De plus, il existe des programmes de protection spécialisés. Par exemple, voici CryptoPrevent, plus de détails.
Quelques derniers mots
En suivant ces instructions, votre ordinateur sera débarrassé du virus ransomware. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.