Récupération de fichiers après un virus ransomware. Fichiers de travail transformés en .xtbl : apprivoiser le virus ransomware

Les virus eux-mêmes menace informatique personne n’est surpris aujourd’hui. Mais si auparavant ils affectaient le système dans son ensemble, provoquant des perturbations dans ses performances, aujourd'hui, avec l'avènement d'une variété telle qu'un virus de chiffrement, les actions d'une menace pénétrante affectent davantage de données utilisateur. Cela représente peut-être une menace encore plus grande que les applications exécutables destructrices pour Windows ou les applets de logiciels espions.

Qu'est-ce qu'un virus ransomware ?

Le code lui-même, écrit dans un virus autocopiant, implique le cryptage de presque toutes les données utilisateur avec des algorithmes cryptographiques spéciaux, sans affecter les fichiers système du système d'exploitation.

Au début, la logique de l’impact du virus n’était pas tout à fait claire pour beaucoup. Tout n'est devenu clair que lorsque les pirates qui ont créé de telles applets ont commencé à exiger de l'argent pour restaurer la structure originale des fichiers. Dans le même temps, le virus crypté lui-même ne vous permet pas de décrypter les fichiers en raison de ses caractéristiques. Pour ce faire, vous avez besoin d'un décrypteur spécial, si vous le souhaitez, d'un code, d'un mot de passe ou d'un algorithme nécessaire pour restaurer le contenu souhaité.

Le principe de pénétration dans le système et le fonctionnement du code viral

En règle générale, il est assez difficile de « ramasser » de telles conneries sur Internet. La principale source de propagation de « l'infection » est le courrier électronique au niveau des programmes installés sur un terminal informatique spécifique comme Outlook, Thunderbird, La chauve-souris etc. Notons tout de suite : cela ne s'applique pas aux serveurs de messagerie Internet, car ils disposent de suffisamment haut degré protection, et l'accès aux données des utilisateurs n'est possible qu'au niveau

Une autre chose est une application sur un terminal informatique. C'est là que le champ d'action des virus est si vaste qu'il est impossible de l'imaginer. Certes, cela vaut également la peine de faire une réserve ici : dans la plupart des cas, les virus ciblent les grandes entreprises à qui ils peuvent « soutirer » de l'argent en échange d'un code de décryptage. Cela est compréhensible, car non seulement sur les terminaux informatiques locaux, mais également sur les serveurs de ces sociétés, les fichiers peuvent être stockés, pour ainsi dire, en un seul exemplaire, qui ne peut en aucun cas être détruit. Et puis décrypter les fichiers après un virus ransomware devient assez problématique.

Bien sûr, un utilisateur ordinaire peut être soumis à une telle attaque, mais dans la plupart des cas, cela est peu probable si vous suivez les recommandations les plus simples pour ouvrir des pièces jointes avec des extensions de type inconnu. Même si un client de messagerie détecte une pièce jointe avec une extension .jpg en tant que fichier graphique standard, elle doit d'abord être vérifiée en tant que fichier standard installé sur le système.

Si cela n'est pas fait, lors de l'ouverture double-cliquez(méthode standard), l'activation du code commencera et le processus de cryptage commencera, après quoi le même Breaking_Bad (virus de cryptage) sera non seulement impossible à supprimer, mais les fichiers ne seront pas non plus restaurés après avoir éliminé la menace.

Conséquences générales de la pénétration de tous les virus de ce type

Comme déjà mentionné, la plupart des virus de ce type pénètrent dans le système par courrier électronique. Eh bien, disons qu'une grande organisation reçoit une lettre envoyée à un e-mail recommandé spécifique avec un contenu tel que "Nous avons modifié le contrat, une copie numérisée est jointe" ou "Vous avez reçu une facture pour l'expédition des marchandises (une copie ici)." Naturellement, l'employé sans méfiance ouvre le dossier et...

Tous les fichiers utilisateur par niveau documents de bureau, multimédia, projets AutoCAD spécialisés ou toute autre donnée d'archives sont instantanément cryptés, et si le terminal informatique est en réseau local, le virus peut se transmettre davantage, en cryptant les données sur d'autres machines (cela devient immédiatement perceptible par le « freinage » du système et le gel des programmes ou des applications en cours d'exécution).

À la fin du processus de cryptage, le virus lui-même envoie apparemment une sorte de rapport, après quoi l'entreprise peut recevoir un message indiquant que telle ou telle menace a pénétré dans le système, et que seule telle ou telle organisation peut la déchiffrer. Il s'agit généralement d'un virus. [email protégé]. Vient ensuite l’obligation de payer les services de décryptage avec une offre d’envoi de plusieurs fichiers sur la messagerie du client, le plus souvent fictive.

Dommages causés par l'exposition au code

Si quelqu'un ne l'a pas encore compris : le décryptage de fichiers après un virus ransomware est un processus plutôt laborieux. Même si vous ne cédez pas aux exigences des attaquants et essayez d’impliquer les agences gouvernementales officielles dans la lutte et la prévention des délits informatiques, il n’en résulte généralement rien de bon.

Si vous supprimez tous les fichiers, produisez et même copiez les données originales à partir d'un support amovible (bien sûr, s'il existe une telle copie), tout sera toujours à nouveau crypté si le virus est activé. Il ne faut donc pas trop se faire d’illusions, d’autant plus que lorsque vous insérez la même clé USB dans un port USB, l’utilisateur ne remarquera même pas comment le virus cryptera également les données qu’elle contient. Vous n'aurez alors aucun problème.

Premier-né de la famille

Tournons maintenant notre attention vers le premier virus de chiffrement. Comment désinfecter et décrypter des fichiers après exposition au code exécutable contenu dans une pièce jointe E-mail avec l'offre de connaissance, au moment de son apparition personne n'y avait encore pensé. La prise de conscience de l’ampleur du désastre n’est venue qu’avec le temps.

Ce virus avait le nom romantique « Je t’aime ». Un utilisateur sans méfiance a ouvert une pièce jointe dans un message électronique et a reçu des fichiers multimédias (graphiques, vidéo et audio) totalement illisibles. Mais à l’époque, de telles actions semblaient plus destructrices (préjudiciables aux utilisateurs des médiathèques) et personne n’exigeait d’argent pour cela.

Les dernières modifications

Comme nous le voyons, l'évolution de la technologie est devenue une activité assez rentable, d'autant plus que de nombreux dirigeants de grandes organisations courent immédiatement pour payer les efforts de décryptage, sans penser du tout qu'ils pourraient perdre à la fois de l'argent et des informations.

D’ailleurs, ne regardez pas tous ces « faux » messages sur Internet disant : « J’ai payé/payé le montant requis, ils m’ont envoyé un code, tout a été restauré ». Absurdité! Tout cela est écrit par les développeurs du virus eux-mêmes afin d’attirer des potentiels, excusez-moi, des « drageons ». Mais, selon les normes d'un utilisateur ordinaire, les montants à payer sont assez importants : de plusieurs centaines à plusieurs milliers ou dizaines de milliers d'euros ou de dollars.

Maintenant regardons types les plus récents virus de ce type qui ont été enregistrés relativement récemment. Tous sont pratiquement similaires et appartiennent non seulement à la catégorie des chiffreurs, mais également au groupe des ransomwares. Dans certains cas, ils agissent plus correctement (comme paycrypt), envoyant apparemment des offres commerciales officielles ou des messages indiquant que quelqu'un se soucie de la sécurité de l'utilisateur ou de l'organisation. Un tel virus cryptant induit simplement l'utilisateur en erreur avec son message. S’il fait la moindre démarche pour payer, c’est tout : le « divorce » sera complet.

Virus XTBL

Cette version relativement récente peut être classée comme une version classique du ransomware. Généralement, il pénètre dans le système via des messages électroniques contenant des pièces jointes, ce qui est standard pour les économiseurs d'écran Windows. Le système et l'utilisateur pensent que tout va bien et activent la visualisation ou l'enregistrement de la pièce jointe.

Malheureusement, cela entraîne de tristes conséquences : les noms de fichiers sont convertis en un ensemble de caractères et .xtbl est ajouté à l'extension principale, après quoi un message est envoyé à l'adresse e-mail souhaitée concernant la possibilité de décryptage après avoir payé le montant spécifié. (généralement 5 000 roubles).

virus CBF

Ce type de virus fait également partie des classiques du genre. Il apparaît sur le système après avoir ouvert les pièces jointes des e-mails, puis renomme les fichiers utilisateur, en ajoutant une extension comme .nochance ou .perfect à la fin.

Malheureusement, il n'est pas possible de décrypter un virus ransomware de ce type pour analyser le contenu du code même au stade de son apparition dans le système, car après avoir terminé ses actions, il s'autodétruit. Même ce que beaucoup croient être un outil universel comme RectorDecryptor n’aide pas. Là encore, l'utilisateur reçoit une lettre exigeant le paiement, pour laquelle deux jours sont accordés.

Virus Breaking_Bad

Ce type de menace fonctionne de la même manière, mais renomme les fichiers en version standard, ajoutant à l'extension.breaking_bad.

La situation ne se limite pas à cela. Contrairement aux virus précédents, celui-ci peut créer une autre extension - .Heisenberg, il n'est donc pas toujours possible de trouver tous les fichiers infectés. Breaking_Bad (un virus ransomware) constitue donc une menace assez sérieuse. À propos, il existe des cas où même le package de licence Kaspersky Endpoint Security 10 ignore ce type de menace.

Virus [email protégé]

Voici une autre menace, peut-être la plus grave, qui vise principalement de grandes organisations commerciales. En règle générale, certains services reçoivent une lettre contenant apparemment des modifications au contrat de fourniture, ou même simplement une facture. La pièce jointe peut contenir un fichier .jpg ordinaire (comme une image), mais le plus souvent - un script.js exécutable (applet Java).

Comment décrypter ce type de virus de cryptage ? À en juger par le fait qu'un algorithme RSA-1024 inconnu y est utilisé, ce n'est pas possible. D'après le nom, vous pouvez supposer qu'il s'agit d'un système de cryptage 1024 bits. Mais, si quelqu'un s'en souvient, l'AES 256 bits est aujourd'hui considéré comme le plus avancé.

Virus Encryptor : comment désinfecter et décrypter des fichiers à l'aide d'un logiciel antivirus

À ce jour, aucune solution n’a encore été trouvée pour décrypter les menaces de ce type. Même des maîtres dans le domaine de la protection antivirus comme Kaspersky, Dr. Web et Eset ne trouvent pas la clé pour résoudre le problème lorsque le système est infecté par un virus de cryptage. Comment désinfecter les fichiers ? Dans la plupart des cas, il est suggéré d'envoyer une demande au site officiel du développeur antivirus (d'ailleurs, uniquement si le système dispose d'un logiciel sous licence de ce développeur).

Dans ce cas, vous devez joindre plusieurs fichiers cryptés, ainsi que leurs originaux « sains », le cas échéant. En général, dans l'ensemble, peu de personnes sauvegardent des copies de données, de sorte que le problème de leur absence ne fait qu'aggraver une situation déjà désagréable.

Moyens possibles pour identifier et éliminer la menace manuellement

Oui, l'analyse avec les programmes antivirus conventionnels identifie les menaces et les supprime même du système. Mais que faire des informations ?

Certains essaient d'utiliser des programmes de décryptage comme l'utilitaire RectorDecryptor (RakhniDecryptor) déjà mentionné. Notons tout de suite : cela ne servira à rien. Et dans le cas du virus Breaking_Bad, cela ne peut que faire du mal. Et c'est pourquoi.

Le fait est que les personnes qui créent de tels virus tentent de se protéger et de guider les autres. Lors de l'utilisation d'utilitaires de décryptage, le virus peut réagir de telle manière que l'ensemble du système « vole », et avec la destruction complète de toutes les données stockées sur disques durs ou dans des partitions logiques. C'est, pour ainsi dire, une leçon indicative pour l'édification de tous ceux qui ne veulent pas payer. Nous ne pouvons compter que sur les laboratoires antivirus officiels.

Méthodes cardinales

Cependant, si les choses vont vraiment mal, vous devrez sacrifier l’information. Pour vous débarrasser complètement de la menace, vous devez formater l'intégralité du disque dur, y compris partitions virtuelles, puis réinstallez le système d'exploitation.

Malheureusement, il n’y a pas d’autre issue. Même jusqu'à un certain point de restauration enregistré, cela n'aidera pas. Le virus peut disparaître, mais les fichiers resteront cryptés.

Au lieu d'une postface

En conclusion, il convient de noter que la situation est la suivante : un virus ransomware pénètre dans le système, fait son sale boulot et n’est guéri par aucun moyen connu. Les outils de protection antivirus n'étaient pas prêts à faire face à ce type de menace. Il va sans dire qu’il est possible de détecter un virus après exposition ou de le supprimer. Mais les informations cryptées resteront inesthétiques. J'espère donc que les meilleurs esprits des sociétés de développement de logiciels antivirus trouveront toujours une solution, même si, à en juger par les algorithmes de cryptage, cela sera très difficile à faire. Rappelez-vous simplement la machine de cryptage Enigma dont disposait la marine allemande pendant la Seconde Guerre mondiale. Les meilleurs cryptographes n’ont pas pu résoudre le problème d’un algorithme de décryptage des messages avant d’avoir mis la main sur l’appareil. C’est ainsi que les choses se passent ici aussi.

Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. Dans ce cas, rien de nouveau ou d’unique n’est apparu, juste une modification de la version précédente.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Description du virus rançongiciel CRYPTED000007

Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.

Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et d'informations importantes sur l'affaire dans la pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.

Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Un message d'information du système de contrôle de compte d'utilisateur Windows commence à apparaître constamment.

Si vous acceptez la proposition, les copies de sauvegarde des fichiers dans les clichés instantanés de Windows seront supprimées et la restauration des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.

Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les avertissements du contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous le compte d'administrateur de l'ordinateur, sauf en cas de besoin objectif. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.

Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.

Dans le même temps, il y aura de nombreux fichiers texte avec le même contenu sur votre bureau.

Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez Navigateur Tor via le lien : https://www.torproject.org/download/download-easy.html.en Dans la zone d'adresse du navigateur Tor, saisissez l'adresse : http://cryptsen7fo43rr6.onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers, vous devez envoyer le code suivant : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans la barre d'adresse : http:/ /cryptsen7fo43rr6.onion/ Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée. 2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresse postale peut changer. Je suis également tombé sur les adresses suivantes :

Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.

Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage à la fois sur l'ordinateur local et sur les lecteurs réseau. Un virus de chiffrement peut chiffrer toutes les informations qu'il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le cryptographe n'avait pas le temps de tout chiffrer. lecteur réseau environ 100 gigaoctets.

Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas forcément pour de l'argent pour certaines entreprises. Tu as juste besoin de quelqu'un qui sait bien systèmes d'information. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.

Des actions incorrectes à ce stade peuvent compliquer considérablement le processus de décryptage ou de restauration des fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.

Comment le virus ransomware CRYPTED000007 crypte les fichiers

Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.

Dans une telle situation, il sera difficile d'évaluer l'ampleur de la tragédie, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous avez vécu dans votre vie. différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.

Et si vous aviez chiffré et dossiers réseau et il n'y a pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.

Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007

Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous avez besoin à tout prix de récupérer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.

En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, de sorte qu'il est plus difficile d'enquêter sur l'incident et de décrypter les fichiers.

Il est difficile de décrire comment supprimer manuellement un virus, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela n'a aucun sens. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.

Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :

  1. Virus Kaspersky Outil de suppression- un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
  3. Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :

  1. Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
  2. Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
  3. Nous effaçons la mention du processus viral par nom de fichier dans le registre.
  4. Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.

Où télécharger le décrypteur CRYPTED000007

La question d’un décrypteur simple et fiable se pose en premier lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur la page principale, cliquez sur Oui :

Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:

Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.

Peut-être aurez-vous plus de chance. Vous pouvez également voir la liste des décrypteurs à télécharger sur une page séparée - https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications des chiffreurs sont apparus sur le réseau. Et ces exemples se trouvent sur la page spécifiée.

Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.

Comment décrypter et récupérer des fichiers après le virus CRYPTED000007

Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci inclus:

  • Outil clichés instantanés les fenêtres.
  • Programmes de récupération de données supprimées

Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.

Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression de fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.

Pour récupération pratique fichiers à partir de clichés instantanés, je suggère d'utiliser un programme gratuit pour cela - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers et la racine du lecteur C s'ouvriront. Dans la partie gauche coin supérieur vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez la disponibilité des différents exemplaires fichiers nécessaires. Comparez par date pour la version la plus récente. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.

J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai cliqué clic-droit souris, sélectionné Exporter et indiqué le dossier où les restaurer.

Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d'entre eux seront plus ancienne version, que nous le souhaiterions, mais néanmoins, c'est mieux que rien.

Si, pour une raison quelconque, vous ne disposez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération de fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez une clé USB ou externe dur disque pour cela.

Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n’y a aucune garantie ici ; ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de récupérer le nombre maximum de fichiers :

  • R. économiseur
  • Récupération de fichiers Starus
  • Récupération JPEG Pro
  • Professionnel de la récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED

Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.

Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Une nouvelle version du ransomware est publiée, mais les antivirus n'y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.

Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Peut-être qu'il y en a nuance technique sur ce sujet, ce qui ne vous permet pas de répondre adéquatement et d'empêcher le cryptage des fichiers utilisateur. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un plan de travail approximatif :

  1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
  2. Lance le décrypteur et décrypte tous les fichiers.
  3. Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
  4. Le paiement est effectué uniquement en cas de résultats de décryptage réussis.

Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus CRYPTED000007

Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :

  1. Sauvegarde! Copie de sauvegarde toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde à laquelle il n'y a pas d'accès constant. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
  2. Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d'éviter l'infection si vous n'étiez pas inclus dans la première vague de mailings. nouvelle modification cryptographe
  3. N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
  4. N'ouvrez pas inconsidérément les liens qui vous sont envoyés par vos amis via les réseaux sociaux ou les messageries instantanées. C’est aussi ainsi que les virus se propagent parfois.
  5. Activez Windows pour afficher les extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.

J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.

Les technologies modernes permettent aux pirates d'améliorer constamment leurs méthodes de fraude en matière de utilisateurs ordinaires. En règle générale, les logiciels antivirus qui pénètrent dans l'ordinateur sont utilisés à ces fins. Les virus de chiffrement sont considérés comme particulièrement dangereux. La menace est que le virus se propage très rapidement en cryptant les fichiers (l'utilisateur ne pourra tout simplement pas ouvrir un seul document). Et si c’est assez simple, il est alors beaucoup plus difficile de décrypter les données.

Que faire si un virus a crypté des fichiers sur votre ordinateur

N’importe qui peut être attaqué par un ransomware ; même les utilisateurs disposant d’un logiciel antivirus puissant ne sont pas à l’abri. Présentation des chevaux de Troie de cryptage de fichiers code différent, que l'antivirus peut ne pas être en mesure de gérer. Les pirates informatiques parviennent même à attaquer de la même manière de grandes entreprises qui n’ont pas veillé à la protection nécessaire de leurs informations. Ainsi, après avoir récupéré un programme ransomware en ligne, vous devez prendre un certain nombre de mesures.

Les principaux signes d’infection sont : travail lent ordinateur et modification des noms de documents (visibles sur le bureau).

  1. Redémarrez votre ordinateur pour arrêter le cryptage. Lors de la mise sous tension, ne confirmez pas le lancement de programmes inconnus.
  2. Exécutez votre antivirus s’il n’a pas été attaqué par un ransomware.
  3. Dans certains cas, les clichés instantanés aideront à restaurer les informations. Pour les retrouver, ouvrez les « Propriétés » du document crypté. Cette méthode fonctionne avec les données cryptées de l'extension Vault, sur lesquelles il existe des informations sur le portail.
  4. Téléchargez l'utilitaire dernière version pour lutter contre les virus ransomware. Les plus efficaces sont proposés par Kaspersky Lab.

Virus Ransomware en 2016 : exemples

Lors de la lutte contre une attaque de virus, il est important de comprendre que le code change très souvent, complété par une nouvelle protection antivirus. Bien entendu, les programmes de sécurité ont besoin d'un certain temps jusqu'à ce que le développeur mette à jour les bases de données. Nous avons sélectionné les virus de chiffrement les plus dangereux de ces derniers temps.

Ransomware Ishtar

Ishtar est un ransomware qui extorque de l'argent à l'utilisateur. Le virus a été détecté à l'automne 2016, infectant un grand nombre d'ordinateurs d'utilisateurs de Russie et de plusieurs autres pays. Distribué par e-mail, qui contient des documents joints (installateurs, documents, etc.). Les données infectées par le chiffreur Ishtar reçoivent le préfixe « ISHTAR » dans leur nom. Le processus crée un document de test qui indique où aller pour obtenir le mot de passe. Les assaillants réclament pour cela entre 3 000 et 15 000 roubles.

Le danger du virus Ishtar est qu'il n'existe aujourd'hui aucun décrypteur qui pourrait aider les utilisateurs. Les éditeurs de logiciels antivirus ont besoin de temps pour déchiffrer tout le code. Désormais, vous ne pouvez isoler les informations importantes (si elles revêtent une importance particulière) que sur un support séparé, en attendant la sortie d'un utilitaire capable de décrypter les documents. Il est recommandé de réinstaller le système d'exploitation.

Neitrino

Le chiffreur Neitrino est apparu sur Internet en 2015. Le principe d'attaque est similaire à celui d'autres virus d'une catégorie similaire. Modifie les noms des dossiers et des fichiers en ajoutant "Neitrino" ou "Neutrino". Le virus est difficile à déchiffrer, tous les représentants des sociétés antivirus ne le font pas, citant un code très complexe. Certains utilisateurs peuvent bénéficier de la restauration d’un cliché instantané. Pour cela, faites un clic droit sur le document crypté, allez dans « Propriétés », onglet « Versions précédentes », cliquez sur « Restaurer ». Ce serait une bonne idée d'utiliser un utilitaire gratuit de Kaspersky Lab.

Portefeuille ou .wallet.

Le virus de cryptage Wallet est apparu fin 2016. Pendant le processus d’infection, le nom des données est modifié en « Name..wallet » ou quelque chose de similaire. Comme la plupart des virus ransomware, il pénètre dans le système via les pièces jointes des e-mails envoyés par les attaquants. La menace étant apparue très récemment, les programmes antivirus ne la remarquent pas. Après cryptage, il crée un document dans lequel le fraudeur indique l'email de communication. Actuellement, les développeurs de logiciels antivirus s’efforcent de déchiffrer le code du virus ransomware. [email protégé]. Les utilisateurs attaqués ne peuvent qu’attendre. Si les données sont importantes, il est recommandé de les sauvegarder sur stockage externe, nettoyage du système.

Énigme

Le virus ransomware Enigma a commencé à infecter les ordinateurs des utilisateurs russes fin avril 2016. Le modèle de cryptage AES-RSA est utilisé, que l'on retrouve aujourd'hui dans la plupart des virus ransomware. Le virus pénètre dans l'ordinateur à l'aide d'un script que l'utilisateur exécute en ouvrant les fichiers d'un courrier électronique suspect. Il n’existe toujours pas de moyen universel pour lutter contre le ransomware Enigma. Les utilisateurs disposant d'une licence antivirus peuvent demander de l'aide sur le site officiel du développeur. Une petite « échappatoire » a également été trouvée - Contrôle de compte d'utilisateur Windows. Si l'utilisateur clique sur « Non » dans la fenêtre qui apparaît pendant le processus d'infection virale, il pourra ensuite restaurer les informations à l'aide de clichés instantanés.

Granit

Nouveau virus rançongiciel Granit est apparu sur Internet à l'automne 2016. L'infection se produit selon le scénario suivant : l'utilisateur lance le programme d'installation, qui infecte et crypte toutes les données du PC, ainsi que les lecteurs connectés. Combattre le virus est difficile. Pour supprimer, vous pouvez utiliser utilitaires spéciaux de Kaspersky, mais le code n'a pas encore été déchiffré. Peut-être que la restauration des versions précédentes des données sera utile. De plus, un spécialiste possédant une vaste expérience peut décrypter, mais le service coûte cher.

Tyson

A été repéré récemment. Il s’agit d’une extension du ransomware déjà connu no_more_ransom, que vous pouvez découvrir sur notre site Internet. Il atteint les ordinateurs personnels à partir du courrier électronique. De nombreux PC d'entreprise ont été attaqués. Le virus crée un document texte contenant des instructions de déverrouillage, proposant de payer une « rançon ». Le ransomware Tyson est apparu récemment, il n'y a donc pas encore de clé de déverrouillage. La seule façon de restaurer les informations est de renvoyer les versions précédentes si elles n'ont pas été supprimées par un virus. Vous pouvez bien sûr prendre un risque en transférant de l'argent sur le compte spécifié par les attaquants, mais rien ne garantit que vous recevrez le mot de passe.

Spora

Début 2017, plusieurs utilisateurs ont été victimes du nouveau rançongiciel Spora. Par son principe de fonctionnement, il n'est pas très différent de ses homologues, mais il bénéficie d'un design plus professionnel : les instructions pour obtenir un mot de passe sont mieux rédigées et le site est plus beau. Le virus ransomware Spora a été créé en langage C et utilise une combinaison de RSA et AES pour crypter les données de la victime. En règle générale, les ordinateurs activement utilisés ont été attaqués. programme de comptabilité 1C. Le virus, se cachant sous l'apparence d'une simple facture au format .pdf, oblige les salariés de l'entreprise à le lancer. Aucun traitement n'a encore été trouvé.

1C.Drop.1

Ce virus de cryptage 1C est apparu à l'été 2016, perturbant le travail de nombreux services comptables. Il a été conçu spécifiquement pour les ordinateurs qui utilisent logiciel 1C. Une fois sur le PC via un fichier dans un email, il invite le propriétaire à mettre à jour le programme. Quel que soit le bouton sur lequel l'utilisateur appuie, le virus commencera à chiffrer les fichiers. Les spécialistes de Dr.Web travaillent sur des outils de décryptage, mais aucune solution n'a encore été trouvée. Cela est dû au code complexe, qui peut subir plusieurs modifications. La seule protection contre 1C.Drop.1 est la vigilance des utilisateurs et l'archivage régulier des documents importants.

Le code de De Vinci

Nouveau rançongiciel avec un nom inhabituel. Le virus est apparu au printemps 2016. Il diffère de ses prédécesseurs par son code amélioré et son mode de cryptage fort. da_vinci_code infecte l'ordinateur grâce à une application d'exécution (généralement jointe à un email), que l'utilisateur lance de manière autonome. L'outil de cryptage da Vinci copie le corps dans le répertoire système et le registre, garantissant ainsi un lancement automatique lorsque Windows est allumé. L'ordinateur de chaque victime se voit attribuer un identifiant unique (permet d'obtenir un mot de passe). Il est presque impossible de décrypter les données. Vous pouvez payer de l'argent aux attaquants, mais personne ne garantit que vous recevrez le mot de passe.

[email protégé] / [email protégé]

Deux adresses email souvent accompagnées de virus ransomware en 2016. Ils servent à relier la victime à l’agresseur. Ci-joint les adresses des plus différents types virus : da_vinci_code, no_more_ransom et ainsi de suite. Il est fortement recommandé de ne pas contacter ou transférer de l’argent à des fraudeurs. Dans la plupart des cas, les utilisateurs se retrouvent sans mot de passe. Cela montre ainsi que le ransomware des attaquants fonctionne et génère des revenus.

Briser le mauvais

Il est apparu début 2015, mais s'est propagé activement seulement un an plus tard. Le principe de l'infection est identique aux autres ransomwares : installer un fichier à partir d'un email, chiffrer des données. En règle générale, les programmes antivirus conventionnels ne remarquent pas le virus Breaking Bad. Certains codes ne peuvent pas contourner l'UAC Windows, laissant à l'utilisateur la possibilité de restaurer les versions précédentes des documents. Aucune entreprise développant un logiciel antivirus n'a encore présenté de décrypteur.

XTBL

Un ransomware très courant qui a causé des problèmes à de nombreux utilisateurs. Une fois sur le PC, le virus modifie l'extension du fichier en .xtbl en quelques minutes. Un document est créé dans lequel l'attaquant extorque de l'argent. Quelques variétés Virus XTBL ne peut pas détruire les fichiers pour restaurer le système, ce qui vous permet de restituer des documents importants. Le virus lui-même peut être supprimé par de nombreux programmes, mais le décryptage des documents est très difficile. Si vous possédez un antivirus sous licence, utilisez le support technique en joignant des échantillons de données infectées.

Kukaracha

Le rançongiciel Cucaracha a été découvert en décembre 2016. Le virus au nom intéressant cache les fichiers des utilisateurs à l'aide de l'algorithme RSA-2048, très résistant. Kaspersky Antivirus l'a appelé Trojan-Ransom.Win32.Scatter.lb. Kukaracha peut être supprimé de l'ordinateur afin que d'autres documents ne soient pas infectés. Cependant, les infectés sont actuellement presque impossibles à décrypter (un algorithme très puissant).

Comment fonctionne un virus ransomware ?

Il existe un très grand nombre de ransomwares, mais ils fonctionnent tous selon un principe similaire.

  1. Accès à un ordinateur personnel. Généralement, grâce à un fichier joint à un email. L'installation est initiée par l'utilisateur lui-même en ouvrant le document.
  2. Infection de fichier. Presque tous les types de fichiers sont cryptés (en fonction du virus). Un document texte est créé contenant des contacts pour communiquer avec les attaquants.
  3. Tous. L'utilisateur ne peut accéder à aucun document.

Agents de contrôle des laboratoires populaires

L'utilisation généralisée des ransomwares, reconnus comme la menace la plus dangereuse pour les données des utilisateurs, est devenue un moteur pour de nombreuses personnes. laboratoires antivirus. Chaque entreprise populaire propose à ses utilisateurs des programmes qui les aident à lutter contre les ransomwares. De plus, beaucoup d’entre eux contribuent au décryptage des documents et à la protection du système.

Virus Kaspersky et ransomware

L'un des laboratoires antivirus les plus célèbres de Russie et du monde propose aujourd'hui les outils les plus efficaces pour lutter contre les virus ransomware. La première barrière contre le virus ransomware sera Kaspersky Endpoint Security 10 avec les dernières mises à jour. L'antivirus ne permettra tout simplement pas à la menace d'entrer dans votre ordinateur (même s'il ne peut pas arrêter les nouvelles versions). Pour décrypter les informations, le développeur présente plusieurs utilitaires gratuits : XoristDecryptor, RakhniDecryptor et Ransomware Decryptor. Ils aident à trouver le virus et à sélectionner le mot de passe.

Dr. Web et rançongiciels

Ce laboratoire recommande d'utiliser son programme antivirus dont la fonctionnalité principale est la sauvegarde des fichiers. Le stockage des copies de documents est également protégé contre tout accès non autorisé par des intrus. Les propriétaires produit sous licence Dr. La fonction Web est disponible pour demander de l'aide au support technique. Il est vrai que même les spécialistes expérimentés ne peuvent pas toujours résister à ce type de menace.

ESET Nod 32 et rançongiciel

Cette société n'est pas non plus restée à l'écart, offrant à ses utilisateurs une bonne protection contre les virus pénétrant dans leur ordinateur. Par ailleurs, le laboratoire a récemment publié utilitaire gratuit avec les bases de données actuelles - Eset Crysis Decryptor. Les développeurs affirment que cela aidera à lutter même contre les ransomwares les plus récents.

est un programme malveillant qui, une fois activé, crypte tout dossiers personnels, tels que des documents, des photographies, etc. Le nombre de ces programmes est très important et augmente chaque jour. Seulement dans Dernièrement Nous avons rencontré des dizaines de variantes de ransomwares : CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Le but de ces virus de cryptage est de forcer les utilisateurs à acheter, souvent pour une grosse somme d'argent, le programme et la clé nécessaires pour décrypter leurs propres fichiers.

Bien entendu, vous pouvez restaurer les fichiers cryptés simplement en suivant les instructions que les créateurs du virus laissent sur l'ordinateur infecté. Mais le plus souvent, le coût du décryptage est très important, et il faut également savoir que certains virus ransomware chiffrent les fichiers de telle manière qu'il est tout simplement impossible de les décrypter par la suite. Et bien sûr, c'est tout simplement ennuyeux de payer pour restaurer ses propres fichiers.

Ci-dessous, nous parlerons plus en détail des virus de cryptage, de la manière dont ils pénètrent dans l’ordinateur de la victime, ainsi que de la manière de supprimer le virus de cryptage et de restaurer les fichiers cryptés par celui-ci.

Comment un virus ransomware pénètre-t-il dans un ordinateur ?

Un virus ransomware se propage généralement par courrier électronique. La lettre contient des documents infectés. Ces lettres sont envoyées à énorme base de données adresses mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint entraînera l’infection de votre ordinateur par un virus ransomware.

Qu'est-ce qu'un virus ransomware ?

Un virus ransomware est un programme malveillant qui affecte les versions modernes de systèmes d'exploitation Famille Windows, comme Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ces virus tentent d'utiliser les modes de cryptage les plus puissants possibles, par exemple RSA-2048 avec une longueur de clé de 2048 bits, ce qui élimine pratiquement la possibilité de sélectionner un clé pour décrypter les fichiers vous-même.

Lors de l'infection d'un ordinateur, le virus ransomware utilise le répertoire système %APPDATA% pour stocker ses propres fichiers. Pour se lancer automatiquement lorsque vous allumez l'ordinateur, le ransomware crée une entrée dans le registre Windows : sections HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Exécuter, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Immédiatement après son lancement, le virus analyse tous les lecteurs disponibles, y compris le stockage réseau et cloud, pour déterminer les fichiers qui seront cryptés. Un virus ransomware utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Presque tous les types de fichiers sont cryptés, y compris les plus courants tels que :

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portefeuille, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Immédiatement après qu'un fichier soit crypté, il reçoit une nouvelle extension, qui peut souvent être utilisée pour identifier le nom ou le type du ransomware. Certains types de ces logiciels malveillants peuvent également modifier les noms des fichiers cryptés. Le virus crée ensuite un document texte portant des noms tels que HELP_YOUR_FILES, README, qui contient des instructions pour décrypter les fichiers cryptés.

Au cours de son fonctionnement, le virus de cryptage tente de bloquer la possibilité de restaurer des fichiers à l'aide du système SVC (shadow copy of files). A cet effet, le virus mode commande appelle l'utilitaire d'administration des clichés instantanés des fichiers avec une clé qui lance la procédure de suppression complète de ceux-ci. Ainsi, il est presque toujours impossible de restaurer des fichiers en utilisant leurs clichés instantanés.

Le virus ransomware utilise activement des tactiques d'intimidation en donnant à la victime un lien vers une description de l'algorithme de cryptage et en affichant un message menaçant sur le bureau. Il tente ainsi de forcer l’utilisateur de l’ordinateur infecté, sans hésitation, à envoyer l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers. La réponse à un tel message est le plus souvent le montant de la rançon et l’adresse du portefeuille électronique.

Mon ordinateur est-il infecté par un virus ransomware ?

Il est assez simple de déterminer si un ordinateur est infecté ou non par un virus de cryptage. Faites attention aux extensions de vos fichiers personnels, comme les documents, photos, musiques, etc. Si l'extension a changé ou si vos fichiers personnels ont disparu, laissant derrière eux de nombreux fichiers aux noms inconnus, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé HELP_YOUR_FILES ou README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers.

Si vous pensez avoir ouvert un e-mail infecté par un virus ransomware, mais que vous ne présentez encore aucun symptôme d'infection, n'éteignez pas et ne redémarrez pas votre ordinateur. Suivez les étapes décrites dans la section de ce manuel. Je le répète encore une fois, il est très important de ne pas éteindre l'ordinateur ; dans certains types de ransomwares, le processus de cryptage des fichiers est activé la première fois que vous allumez l'ordinateur après l'infection !

Comment décrypter des fichiers cryptés avec un virus ransomware ?

Si cette catastrophe se produit, il n’y a pas lieu de paniquer ! Mais il faut savoir que dans la plupart des cas, il n’existe pas de décrypteur gratuit. Cela est dû aux algorithmes de cryptage puissants utilisés par ces logiciels malveillants. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé est le seul moyen d’essayer d’obtenir la clé de décryptage.

Bien entendu, rien ne garantit qu’après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.

Comment supprimer un virus ransomware ?

Avant de commencer, vous devez savoir que lorsque vous commencez à supprimer un virus et à essayer de auto-récupération fichiers, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu’ils ont demandé.

Kaspersky Virus Removal Tool et Malwarebytes Anti-malware peuvent détecter différents types de virus ransomware actifs et les supprimeront facilement de votre ordinateur, MAIS ils ne peuvent pas récupérer les fichiers cryptés.

5.1. Supprimez les ransomwares à l'aide de Kaspersky Virus Removal Tool

Par défaut, le programme est configuré pour récupérer tous les types de fichiers, mais pour accélérer le travail, il est recommandé de ne laisser que les types de fichiers dont vous avez besoin pour récupérer. Lorsque vous avez terminé votre sélection, cliquez sur OK.

Au bas de la fenêtre du programme QPhotoRec, recherchez le bouton Parcourir et cliquez dessus. Vous devez sélectionner le répertoire dans lequel les fichiers récupérés seront enregistrés. Il est conseillé d'utiliser un disque qui ne contient pas de fichiers cryptés nécessitant une récupération (vous pouvez utiliser un lecteur flash ou un lecteur externe).

Pour lancer la procédure de recherche et de restauration des copies originales des fichiers cryptés, cliquez sur le bouton Rechercher. Ce processus prend beaucoup de temps, alors soyez patient.

Une fois la recherche terminée, cliquez sur le bouton Quitter. Ouvrez maintenant le dossier que vous avez choisi pour enregistrer les fichiers récupérés.

Le dossier contiendra des répertoires nommés recup_dir.1, recup_dir.2, recup_dir.3, etc. Comment plus de fichiers seront trouvés par le programme, plus il y aura de catalogues. Pour trouver les fichiers dont vous avez besoin, vérifiez tous les répertoires un par un. Pour faciliter la recherche du fichier dont vous avez besoin parmi un grand nombre de fichiers récupérés, utilisez le système de recherche Windows intégré (par contenu de fichier) et n'oubliez pas non plus la fonction de tri des fichiers dans les répertoires. Vous pouvez sélectionner la date à laquelle le fichier a été modifié comme option de tri, car QPhotoRec tente de restaurer cette propriété lors de la restauration d'un fichier.

Comment empêcher un virus ransomware d’infecter votre ordinateur ?

La plupart des programmes antivirus modernes disposent déjà d'un système de protection intégré contre la pénétration et l'activation de virus de cryptage. Par conséquent, si vous n'avez pas de programme antivirus sur votre ordinateur, assurez-vous de l'installer. Vous pouvez découvrir comment le choisir en lisant ceci.

De plus, il existe également des spécialités programmes de protection. Par exemple, voici CryptoPrevent, plus de détails.

Quelques derniers mots

En suivant ces instructions, votre ordinateur sera débarrassé du virus ransomware. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.

Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?

Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.

Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le ransomware « s’installe » dans le dossier système System32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.

Le ransomware se déguise souvent en images ordinaires, fichiers texte , mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.

Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.

Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Comment protéger Windows contre les ransomwares.EternalBlue via le protocole de port SMB.

Protéger Windows contre les ransomwares 2017 – règles de base :

  • Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
  • mise à jour bases de données antivirus et pare-feu à la demande
  • une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
  • Sauvegarde des informations importantes sur un support amovible.

Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.

En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».

Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.

À l'heure actuelle, le moyen le plus efficace de récupérer les données perdues est de contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, envoyez un courrier ou utilisez le formulaire pour retour sur le site du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.

Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à un formatage complet du disque dur, ce qui implique un changement complet de système d'exploitation. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.

ARTICLES LIÉS