Les technologies modernes permettent aux pirates d'améliorer constamment leurs méthodes de fraude contre les utilisateurs ordinaires. En règle générale, les logiciels antivirus qui pénètrent dans l'ordinateur sont utilisés à ces fins. Les virus de chiffrement sont considérés comme particulièrement dangereux. La menace est que le virus se propage très rapidement en cryptant les fichiers (l'utilisateur ne pourra tout simplement pas ouvrir un seul document). Et si c’est assez simple, il est alors beaucoup plus difficile de décrypter les données.

Que faire si un virus a crypté des fichiers sur votre ordinateur

N’importe qui peut être attaqué par un ransomware ; même les utilisateurs disposant d’un logiciel antivirus puissant ne sont pas à l’abri. Les chevaux de Troie de cryptage de fichiers se présentent sous la forme d'une variété de codes qui peuvent dépasser les capacités d'un antivirus. Les pirates informatiques parviennent même à attaquer de la même manière de grandes entreprises qui n’ont pas veillé à la protection nécessaire de leurs informations. Ainsi, après avoir récupéré un programme ransomware en ligne, vous devez prendre un certain nombre de mesures.

Les principaux signes d'infection sont le fonctionnement lent de l'ordinateur et les changements dans les noms des documents (visibles sur le bureau).

1. Redémarrez votre ordinateur pour arrêter le cryptage. Lors de la mise sous tension, ne confirmez pas le lancement de programmes inconnus.
2. Exécutez votre antivirus s’il n’a pas été attaqué par un ransomware.
3. Dans certains cas, les clichés instantanés aideront à restaurer les informations. Pour les retrouver, ouvrez les « Propriétés » du document crypté. Cette méthode fonctionne avec les données cryptées de l'extension Vault, sur lesquelles il existe des informations sur le portail.
4. Téléchargez la dernière version de l'utilitaire pour lutter contre les virus ransomware. Les plus efficaces sont proposés par Kaspersky Lab.

Virus Ransomware en 2016 : exemples

Lors de la lutte contre une attaque de virus, il est important de comprendre que le code change très souvent, complété par une nouvelle protection antivirus. Bien entendu, les programmes de sécurité ont besoin d'un certain temps jusqu'à ce que le développeur mette à jour les bases de données. Nous avons sélectionné les virus de chiffrement les plus dangereux de ces derniers temps.

Ransomware Ishtar

Ishtar est un ransomware qui extorque de l'argent à l'utilisateur. Le virus a été détecté à l'automne 2016, infectant un grand nombre d'ordinateurs d'utilisateurs de Russie et de plusieurs autres pays. Distribué par e-mail, qui contient des documents joints (installateurs, documents, etc.). Les données infectées par le chiffreur Ishtar reçoivent le préfixe « ISHTAR » dans leur nom. Le processus crée un document de test qui indique où aller pour obtenir le mot de passe. Les assaillants réclament pour cela entre 3 000 et 15 000 roubles.

Le danger du virus Ishtar est qu'il n'existe aujourd'hui aucun décrypteur qui pourrait aider les utilisateurs. Les éditeurs de logiciels antivirus ont besoin de temps pour déchiffrer tout le code. Désormais, vous ne pouvez isoler les informations importantes (si elles revêtent une importance particulière) que sur un support séparé, en attendant la sortie d'un utilitaire capable de décrypter les documents. Il est recommandé de réinstaller le système d'exploitation.

Neitrino

Le chiffreur Neitrino est apparu sur Internet en 2015. Le principe d'attaque est similaire à celui d'autres virus d'une catégorie similaire. Modifie les noms des dossiers et des fichiers en ajoutant "Neitrino" ou "Neutrino". Le virus est difficile à déchiffrer, tous les représentants des sociétés antivirus ne le font pas, citant un code très complexe. Certains utilisateurs peuvent bénéficier de la restauration d’un cliché instantané. Pour cela, faites un clic droit sur le document crypté, allez dans « Propriétés », onglet « Versions précédentes », cliquez sur « Restaurer ». Ce serait une bonne idée d'utiliser un utilitaire gratuit de Kaspersky Lab.

Portefeuille ou .wallet.

Le virus de cryptage Wallet est apparu fin 2016. Pendant le processus d’infection, le nom des données est modifié en « Name..wallet » ou quelque chose de similaire. Comme la plupart des virus ransomware, il pénètre dans le système via les pièces jointes des e-mails envoyés par les attaquants. La menace étant apparue très récemment, les programmes antivirus ne la remarquent pas. Après cryptage, il crée un document dans lequel le fraudeur indique l'email de communication. Actuellement, les développeurs de logiciels antivirus s’efforcent de déchiffrer le code du virus ransomware. [email protégé]. Les utilisateurs attaqués ne peuvent qu’attendre. Si les données sont importantes, il est recommandé de les enregistrer sur un disque externe en effaçant le système.

Énigme

Le virus ransomware Enigma a commencé à infecter les ordinateurs des utilisateurs russes fin avril 2016. Le modèle de cryptage AES-RSA est utilisé, que l'on retrouve aujourd'hui dans la plupart des virus ransomware. Le virus pénètre dans l'ordinateur à l'aide d'un script que l'utilisateur exécute en ouvrant les fichiers d'un courrier électronique suspect. Il n’existe toujours pas de moyen universel pour lutter contre le ransomware Enigma. Les utilisateurs disposant d'une licence antivirus peuvent demander de l'aide sur le site officiel du développeur. Une petite « faille » a également été trouvée : Windows UAC. Si l'utilisateur clique sur « Non » dans la fenêtre qui apparaît pendant le processus d'infection virale, il pourra ensuite restaurer les informations à l'aide de clichés instantanés.

Granit

Un nouveau virus ransomware, Granit, est apparu sur Internet à l'automne 2016. L'infection se produit selon le scénario suivant : l'utilisateur lance le programme d'installation, qui infecte et crypte toutes les données du PC, ainsi que les lecteurs connectés. Combattre le virus est difficile. Pour le supprimer, vous pouvez utiliser des utilitaires spéciaux de Kaspersky, mais nous n'avons pas encore réussi à déchiffrer le code. Peut-être que la restauration des versions précédentes des données sera utile. De plus, un spécialiste possédant une vaste expérience peut décrypter, mais le service coûte cher.

Tyson

A été repéré récemment. Il s’agit d’une extension du ransomware déjà connu no_more_ransom, que vous pouvez découvrir sur notre site Internet. Il atteint les ordinateurs personnels à partir du courrier électronique. De nombreux PC d'entreprise ont été attaqués. Le virus crée un document texte contenant des instructions de déverrouillage, proposant de payer une « rançon ». Le ransomware Tyson est apparu récemment, il n'y a donc pas encore de clé de déverrouillage. La seule façon de restaurer les informations est de renvoyer les versions précédentes si elles n'ont pas été supprimées par un virus. Vous pouvez bien sûr prendre un risque en transférant de l'argent sur le compte spécifié par les attaquants, mais rien ne garantit que vous recevrez le mot de passe.

Spora

Début 2017, plusieurs utilisateurs ont été victimes du nouveau rançongiciel Spora. Par son principe de fonctionnement, il n'est pas très différent de ses homologues, mais il bénéficie d'un design plus professionnel : les instructions pour obtenir un mot de passe sont mieux rédigées et le site est plus beau. Le virus ransomware Spora a été créé en langage C et utilise une combinaison de RSA et AES pour crypter les données de la victime. En règle générale, les ordinateurs sur lesquels le programme de comptabilité 1C était activement utilisé ont été attaqués. Le virus, se cachant sous l'apparence d'une simple facture au format .pdf, oblige les salariés de l'entreprise à le lancer. Aucun traitement n'a encore été trouvé.

1C.Drop.1

Ce virus de cryptage 1C est apparu à l'été 2016, perturbant le travail de nombreux services comptables. Il a été développé spécifiquement pour les ordinateurs utilisant le logiciel 1C. Une fois sur le PC via un fichier dans un email, il invite le propriétaire à mettre à jour le programme. Quel que soit le bouton sur lequel l'utilisateur appuie, le virus commencera à chiffrer les fichiers. Les spécialistes de Dr.Web travaillent sur des outils de décryptage, mais aucune solution n'a encore été trouvée. Cela est dû au code complexe, qui peut subir plusieurs modifications. La seule protection contre 1C.Drop.1 est la vigilance des utilisateurs et l'archivage régulier des documents importants.

Le code de De Vinci

Un nouveau ransomware au nom inhabituel. Le virus est apparu au printemps 2016. Il diffère de ses prédécesseurs par son code amélioré et son mode de cryptage fort. da_vinci_code infecte l'ordinateur grâce à une application d'exécution (généralement jointe à un email), que l'utilisateur lance de manière autonome. L'outil de cryptage da Vinci copie le corps dans le répertoire système et le registre, garantissant ainsi un lancement automatique lorsque Windows est allumé. L'ordinateur de chaque victime se voit attribuer un identifiant unique (permet d'obtenir un mot de passe). Il est presque impossible de décrypter les données. Vous pouvez payer de l'argent aux attaquants, mais personne ne garantit que vous recevrez le mot de passe.

[email protégé] / [email protégé]

Deux adresses email souvent accompagnées de virus ransomware en 2016. Ils servent à relier la victime à l’agresseur. Ci-jointes se trouvaient les adresses de divers types de virus : da_vinci_code, no_more_ransom, etc. Il est fortement recommandé de ne pas contacter ou transférer de l’argent à des fraudeurs. Dans la plupart des cas, les utilisateurs se retrouvent sans mot de passe. Cela montre ainsi que le ransomware des attaquants fonctionne et génère des revenus.

Briser le mauvais

Il est apparu début 2015, mais s'est propagé activement seulement un an plus tard. Le principe de l'infection est identique aux autres ransomwares : installer un fichier à partir d'un email, chiffrer des données. En règle générale, les programmes antivirus conventionnels ne remarquent pas le virus Breaking Bad. Certains codes ne peuvent pas contourner l'UAC Windows, laissant à l'utilisateur la possibilité de restaurer les versions précédentes des documents. Aucune entreprise développant un logiciel antivirus n'a encore présenté de décrypteur.

XTBL

Un ransomware très courant qui a causé des problèmes à de nombreux utilisateurs. Une fois sur le PC, le virus modifie l'extension du fichier en .xtbl en quelques minutes. Un document est créé dans lequel l'attaquant extorque de l'argent. Certaines variantes du virus XTBL ne peuvent pas détruire les fichiers pour la récupération du système, ce qui vous permet de récupérer des documents importants. Le virus lui-même peut être supprimé par de nombreux programmes, mais le décryptage des documents est très difficile. Si vous possédez un antivirus sous licence, utilisez le support technique en joignant des échantillons de données infectées.

Kukaracha

Le rançongiciel Cucaracha a été découvert en décembre 2016. Le virus au nom intéressant cache les fichiers des utilisateurs à l'aide de l'algorithme RSA-2048, très résistant. L'antivirus Kaspersky l'a appelé Trojan-Ransom.Win32.Scatter.lb. Kukaracha peut être supprimé de l'ordinateur afin que d'autres documents ne soient pas infectés. Cependant, les infectés sont actuellement presque impossibles à décrypter (un algorithme très puissant).

Comment fonctionne un virus ransomware ?

Il existe un très grand nombre de ransomwares, mais ils fonctionnent tous selon un principe similaire.

1. Accès à un ordinateur personnel. Généralement, grâce à un fichier joint à un email. L'installation est initiée par l'utilisateur lui-même en ouvrant le document.
2. Infection de fichier. Presque tous les types de fichiers sont cryptés (en fonction du virus). Un document texte est créé contenant des contacts pour communiquer avec les attaquants.
3. Tous. L'utilisateur ne peut accéder à aucun document.

Agents de contrôle des laboratoires populaires

L'utilisation généralisée des ransomwares, reconnus comme la menace la plus dangereuse pour les données des utilisateurs, est devenue un moteur pour de nombreux laboratoires antivirus. Chaque entreprise populaire propose à ses utilisateurs des programmes qui les aident à lutter contre les ransomwares. De plus, beaucoup d’entre eux contribuent au décryptage des documents et à la protection du système.

Virus Kaspersky et ransomware

L'un des laboratoires antivirus les plus célèbres de Russie et du monde propose aujourd'hui les outils les plus efficaces pour lutter contre les virus ransomware. La première barrière contre le virus ransomware sera Kaspersky Endpoint Security 10 avec les dernières mises à jour. L'antivirus ne permettra tout simplement pas à la menace d'entrer dans votre ordinateur (même s'il ne peut pas arrêter les nouvelles versions). Pour décrypter les informations, le développeur présente plusieurs utilitaires gratuits : XoristDecryptor, RakhniDecryptor et Ransomware Decryptor. Ils aident à trouver le virus et à sélectionner le mot de passe.

Dr. Web et rançongiciels

Ce laboratoire recommande d'utiliser son programme antivirus dont la fonctionnalité principale est la sauvegarde des fichiers. Le stockage des copies de documents est également protégé contre tout accès non autorisé par des intrus. Les propriétaires du produit sous licence Dr. La fonction Web est disponible pour demander de l'aide au support technique. Il est vrai que même les spécialistes expérimentés ne peuvent pas toujours résister à ce type de menace.

ESET Nod 32 et rançongiciel

Cette société n'est pas non plus restée à l'écart, offrant à ses utilisateurs une bonne protection contre les virus pénétrant dans leur ordinateur. De plus, le laboratoire a récemment publié un utilitaire gratuit avec des bases de données à jour - Eset Crysis Decryptor. Les développeurs affirment que cela aidera à lutter même contre les ransomwares les plus récents.

Je continue la rubrique notoire de mon site Internet avec une autre histoire dont j'ai moi-même été victime. Je parlerai du virus ransomware Crusis (Dharma), qui chiffrait tous les fichiers d'un lecteur réseau et leur donnait l'extension .combo. Il a travaillé non seulement sur des fichiers locaux, comme c'est le plus souvent le cas, mais également sur des fichiers réseau.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Introduction

L'histoire sera à la première personne, puisque les données et l'infrastructure que je gérais ont été affectées par le chiffreur. Aussi triste que cela puisse être de l’admettre, je suis en partie responsable de ce qui s’est passé, même si je connais les cryptographes depuis très longtemps. Pour ma défense, je dirai qu'aucune donnée n'a été perdue, tout a été rapidement restauré et étudié sans délai. Mais tout d’abord.

La matinée ennuyeuse a commencé avec le fait qu'à 9h15, l'administrateur système d'un site distant a appelé et a dit qu'il y avait un crypteur sur le réseau, que les données sur les lecteurs réseau étaient déjà cryptées. Un frisson m'a parcouru la peau :) Il a commencé à vérifier lui-même la source de l'infection et j'ai commencé à vérifier par moi-même. Bien sûr, je me suis immédiatement rendu sur le serveur, j'ai déconnecté les lecteurs réseau et j'ai commencé à consulter le journal d'accès aux données. Les lecteurs réseau sont configurés pour et doivent être activés. À partir du journal, j’ai immédiatement vu la source de l’infection, le compte sous lequel le ransomware était exécuté et l’heure de début du cryptage.

Description du virus ransomware Crusis (Dharma)

Puis l'enquête a commencé. Les fichiers cryptés ont reçu l'extension .combo. Il y en avait beaucoup. Le cryptographe a commencé à travailler tard dans la soirée, vers 23 heures. Nous avons eu de la chance : la sauvegarde des disques concernés venait juste d'être terminée. Les données n’ont pas été perdues puisqu’elles ont été sauvegardées à la fin de la journée de travail. J'ai immédiatement commencé la restauration à partir de la sauvegarde, qui se trouve sur un serveur distinct sans accès SMB.

Du jour au lendemain, le virus a réussi à chiffrer environ 400 Go de données sur les lecteurs réseau. La suppression banale de tous les fichiers cryptés avec l'extension combo a pris beaucoup de temps. Au début, je voulais tous les supprimer d'un coup, mais lorsque le simple comptage de ces fichiers a duré 15 minutes, j'ai réalisé que cela ne servait à rien à ce stade. Au lieu de cela, j'ai commencé à télécharger les dernières données et j'ai ensuite nettoyé les disques des fichiers cryptés.

Je vais vous dire la simple vérité tout de suite. Disposer de sauvegardes à jour et fiables permet de résoudre tout problème. Je ne peux même pas imaginer quoi faire s’ils ne sont pas là ou s’ils ne sont pas pertinents. Je porte toujours une attention particulière aux sauvegardes. Je prends soin d’eux, je les chéris et je n’en donne accès à personne.

Après avoir lancé la récupération des fichiers cryptés, j'ai eu le temps de comprendre sereinement la situation et d'examiner de plus près le virus de cryptage Crusis (Dharma). Des surprises et des surprises m'attendaient ici. La source de l'infection était une machine virtuelle avec Windows 7 avec abandonné rpd port via un canal de sauvegarde. Le port n'était pas standard - 33333. Je pense que c'était la principale erreur d'utiliser un tel port. Bien que ce ne soit pas un standard, il est très populaire. Bien sûr, il vaut mieux ne pas transmettre du tout rdp, mais dans ce cas, c'était vraiment nécessaire. D'ailleurs, désormais, à la place de cette machine virtuelle, une machine virtuelle avec CentOS 7 est également utilisée ; elle exécute un conteneur avec xfce et un navigateur dans Docker. Eh bien, cette machine virtuelle n’a accès nulle part, uniquement là où elle est nécessaire.

Qu'y a-t-il d'effrayant dans toute cette histoire ? La machine virtuelle a été mise à jour. Le cryptographe a commencé à travailler fin août. Il est impossible de déterminer exactement quand la machine a été infectée. Le virus a effacé beaucoup de choses dans la machine virtuelle elle-même. Des mises à jour de ce système ont été installées en mai. Autrement dit, il ne devrait y avoir aucun vieux trou ouvert. Maintenant, je ne sais même plus comment laisser le port rdp accessible depuis Internet. Il y a trop de cas où cela est vraiment nécessaire. Par exemple, un serveur de terminaux sur du matériel loué. Vous ne louerez pas non plus une passerelle VPN pour chaque serveur.

Revenons maintenant au sujet du ransomware lui-même. L'interface réseau de la machine virtuelle a été désactivée, après quoi je l'ai démarrée. J'ai été accueilli par un signe standard, que j'avais déjà vu à plusieurs reprises chez d'autres cryptographes.

Tous vos fichiers ont été cryptés ! Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'e-mail [email protégé]Écrivez cet identifiant dans le titre de votre message 501BED27 En cas de non réponse dans les 24 heures écrivez-nous à ces e-mails : [email protégé] Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après paiement, nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers. Décryptage gratuit en garantie Avant de payer, vous pouvez nous envoyer jusqu'à 1 fichier pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1 Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.) Comment obtenir des Bitcoins Le moyen le plus simple d'acheter des Bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur « Acheter des bitcoins » et sélectionner le vendeur par mode de paiement et prix. https://localbitcoins.com/buy_bitcoins Vous pouvez également trouver d'autres endroits pour acheter des Bitcoins et un guide pour débutants ici : Attention ! Ne renommez pas les fichiers cryptés. N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données. Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation de prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.

Il y avait 2 fichiers texte sur le bureau nommés FICHIERS CRYPTÉS.TXT le contenu suivant :

Toutes vos données nous ont été verrouillées. Voulez-vous revenir ? écrire un email [email protégé]

Il est intéressant de noter que les autorisations du répertoire ont changé Bureau. L'utilisateur ne disposait pas d'autorisations d'écriture. Apparemment, le virus a fait cela pour empêcher l'utilisateur de supprimer accidentellement des informations contenues dans des fichiers texte du bureau. Il y avait un répertoire sur le bureau Troie, qui contenait le virus lui-même - un fichier l20VHC_playload.exe.

Comment le virus ransomware Crusis (Dharma) crypte les fichiers

Après avoir tout compris calmement et lu des messages similaires sur le thème des ransomwares sur Internet, j'ai appris que j'avais attrapé une version du célèbre virus ransomware Crusis (Dharma). Kaspersky le détecte comme Trojan-Ransom.Win32.Crusis.to. Il met différentes extensions sur les fichiers, notamment and.combo. Ma liste de fichiers ressemblait à ceci :

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamtchatski.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Je vais vous donner plus de détails sur le fonctionnement du ransomware. Je n'ai pas mentionné une chose importante. Cet ordinateur se trouvait dans un domaine. Les fichiers ont été cryptés par un utilisateur du domaine !!! C’est là que se pose la question : d’où le virus l’a-t-il obtenu ? Je n'ai pas vu d'informations sur les journaux du contrôleur de domaine et sur la sélection du mot de passe de l'utilisateur. Il n’y a pas eu une tonne d’échecs de connexion. Soit une sorte de vulnérabilité a été exploitée, soit je ne sais pas quoi penser. Un compte a été utilisé qui ne s'est jamais connecté à ce système. Il y a eu une autorisation via rdp à partir d'un compte d'utilisateur de domaine, puis un cryptage. Il n'y avait également aucune trace d'attaques par force brute contre les utilisateurs et les mots de passe sur le système lui-même. Presque immédiatement, j'ai eu une connexion en utilisant un compte de domaine RDP. Il fallait choisir, au minimum, non seulement un mot de passe, mais aussi un nom.

Malheureusement, le compte avait un mot de passe de 123456. C'était le seul compte avec ce mot de passe qui n'a pas été détecté par les administrateurs locaux. Facteur humain. Il s'agissait du gestionnaire et, pour une raison quelconque, toute une série d'administrateurs système connaissaient ce mot de passe, mais ne l'ont pas modifié. C’est évidemment la raison pour laquelle vous utilisez ce compte particulier. Mais néanmoins, le mécanisme permettant d'obtenir même un mot de passe et un nom d'utilisateur aussi simples reste inconnu.

J'ai éteint et supprimé la machine virtuelle infectée par le chiffreur, après avoir d'abord pris l'image disque. Le virus lui-même en a retiré l’image pour examiner son travail. La suite de l'histoire sera basée sur l'exécution du virus dans une machine virtuelle.

Encore un petit détail. Le virus a analysé l'ensemble du réseau local et en même temps crypté les informations sur les ordinateurs où se trouvaient des dossiers partagés accessibles à tous. C'est la première fois que je vois une telle modification du chiffreur. C'est vraiment une chose effrayante. Un tel virus peut simplement paralyser le travail de toute l’organisation. Disons que, pour une raison quelconque, vous disposiez d'un accès réseau aux sauvegardes elles-mêmes. Ou ils ont utilisé une sorte de mot de passe faible pour le compte. Il peut arriver que tout soit crypté, aussi bien les données que les copies archivées. En général, je pense maintenant au stockage des sauvegardes non seulement dans un environnement réseau isolé, mais généralement sur un équipement éteint qui est démarré uniquement pour effectuer une sauvegarde.

Comment traiter votre ordinateur et supprimer le ransomware Crusis (Dharma)

Dans mon cas, le virus ransomware Crusis (Dharma) n’était pas particulièrement caché et sa suppression ne devrait poser aucun problème. Comme je l'ai dit, il se trouvait dans un dossier sur mon bureau. De plus, il s'est enregistré lui-même ainsi qu'un message d'information en exécution automatique.

Le corps du virus lui-même a été dupliqué dans la section de lancement Démarrer pour tous les utilisateurs et Windows/système32. Je n’ai pas regardé de plus près car je n’en vois pas l’intérêt. Après avoir été infecté par un ransomware, je recommande fortement de réinstaller le système. C'est le seul moyen d'être sûr de supprimer le virus. Vous ne serez jamais complètement sûr que le virus a été supprimé, car il aurait pu utiliser certaines vulnérabilités encore inédites et inconnues pour laisser un signet sur le système. Après un certain temps, grâce à cette hypothèque, vous pouvez contracter un nouveau virus et tout se répétera en cercle.

Je vous recommande donc de ne pas traiter votre ordinateur immédiatement après avoir détecté le ransomware, mais de réinstaller le système en sauvegardant les données restantes. Peut-être que le virus n’a pas réussi à tout crypter. Ces recommandations s'appliquent à ceux qui n'ont pas l'intention de tenter de récupérer des fichiers. Si vous disposez de sauvegardes actuelles, réinstallez simplement le système et restaurez les données.

Si vous ne disposez pas de sauvegardes et que vous êtes prêt à restaurer des fichiers à tout prix, nous essayons de ne pas toucher du tout à l'ordinateur. Tout d'abord, débranchez simplement le câble réseau, téléchargez quelques fichiers cryptés et un fichier texte contenant des informations sur faire le ménage clé USB, puis éteignez l'ordinateur. L'ordinateur ne peut plus être allumé. Si vous ne comprenez pas du tout les problèmes informatiques, vous ne pourrez pas lutter vous-même contre le virus, et encore moins décrypter ou restaurer des fichiers. Contactez quelqu'un qui sait. Si vous pensez que vous pouvez faire quelque chose vous-même, continuez à lire.

Où télécharger le décrypteur Crusis (Dharma)

Ce qui suit est mon conseil universel sur tous les virus ransomware. Il existe un site Web - https://www.nomoreransom.org Il pourrait théoriquement contenir un décrypteur pour Crusis ou Dharma, ou d'autres informations sur le décryptage de fichiers. Dans ma pratique, cela ne s’est jamais produit auparavant, mais peut-être aurez-vous de la chance. Ça vaut la peine d'essayer. Pour ce faire, sur la page principale nous acceptons en cliquant OUI.

Joignez 2 fichiers et collez le contenu du message d'information du ransomware et cliquez sur Vérifier.

Si vous avez de la chance, vous obtiendrez des informations. Dans mon cas, rien n'a été trouvé.

Tous les décrypteurs de ransomware existants sont rassemblés sur une page séparée - https://www.nomoreransom.org/ru/decryption-tools.html L'existence de cette liste nous permet d'espérer qu'il y a encore un certain sens à ce site et à ce service. Kaspersky propose un service similaire - https://noransom.kaspersky.com/ru/ Vous pouvez y tenter votre chance.

Je ne pense pas que cela vaut la peine de chercher des décrypteurs ailleurs via une recherche sur Internet. Il est peu probable qu'ils soient retrouvés. Il s’agira très probablement soit d’une arnaque classique avec un logiciel indésirable, soit d’un nouveau virus.

Ajout important. Si vous avez installé une version sous licence d'un antivirus, assurez-vous de créer une demande auprès du TP antivirus pour le décryptage des fichiers. Parfois, cela aide vraiment. J'ai vu des critiques de décryptage réussi par le support antivirus.

Comment décrypter et récupérer des fichiers après le virus Crusis (Dharma)

Que faire lorsque le virus Crusis (Dharma) a crypté vos fichiers, qu'aucune des méthodes décrites précédemment n'a aidé et que vous avez vraiment besoin de restaurer les fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci inclus:

• Outil clichés instantanés les fenêtres.
• Programmes de récupération de données supprimées

Avant d'autres manipulations, je recommande de créer une image disque secteur par secteur. Cela vous permettra d'enregistrer l'état actuel et si rien ne fonctionne, vous pourrez au moins revenir au point de départ et essayer autre chose. Ensuite, vous devez supprimer le ransomware lui-même à l’aide de n’importe quel antivirus doté du dernier ensemble de bases de données antivirus. Ça ira Guérissez-le ou Outil de suppression de virus Kaspersky. Vous pouvez installer n'importe quel autre antivirus en mode d'essai. C'est suffisant pour supprimer le virus.

Après cela, nous démarrons le système infecté et vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.

Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression de fichiers dans les clichés instantanés, certaines données devraient y rester. Pour restaurer facilement des fichiers à partir de clichés instantanés, je suggère d'utiliser un programme gratuit pour cela - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers s'ouvrira et la racine du lecteur C. Dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez différentes copies pour les fichiers nécessaires. Comparez par date pour la version la plus récente. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.

J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai fait un clic droit, j'ai sélectionné Exporter et j'ai spécifié le dossier dans lequel les restaurer.

Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d’entre eux seront une version plus ancienne que nous le souhaiterions, mais néanmoins c’est mieux que rien.

Si, pour une raison quelconque, vous ne disposez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération de fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez un lecteur flash ou un disque dur externe pour ce faire.

Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n’y a aucune garantie ici ; ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de récupérer le nombre maximum de fichiers :

• R. économiseur
• Récupération de fichiers Starus
• Récupération JPEG Pro
• Professionnel de la récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers à l'aide des programmes répertoriés est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le ransomware Crusis (Dharma)

Comme d'habitude, j'ai parcouru les forums d'antivirus populaires à la recherche d'informations sur le ransomware qui installe l'extension .combo. Il existe une nette tendance à la propagation du virus. De nombreuses demandes commencent à partir de la mi-août. Il semble maintenant qu'ils ne soient plus visibles, mais peut-être temporairement, ou que l'extension des fichiers cryptés ait simplement changé.

Voici un exemple de demande typique du forum Kaspersky.

Il y a aussi un commentaire du modérateur ci-dessous.

Le forum EsetNod32 connaît depuis longtemps le virus qui installe l'extension .combo. Si je comprends bien, le virus n’est ni unique ni nouveau, mais une variante de la série de virus Crusis (Dharma) bien connue. Voici une requête typique pour décrypter des données :

J'ai remarqué qu'il existe de nombreuses critiques sur le forum Eset selon lesquelles le virus a pénétré le serveur via rdp. Il semble qu’il s’agisse d’une menace très forte et vous ne pouvez pas laisser RDP sans couverture. La seule question qui se pose est de savoir comment le virus entre via rdp ? Il devine un mot de passe, se connecte avec un utilisateur et un mot de passe connus, ou autre chose.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont Crusis (Dharma). Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage et votre vérification. Voici un plan de travail approximatif :

1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
2. Lance le décrypteur sur votre ordinateur et décrypte certains fichiers.
3. Vous vous assurez que tous les fichiers sont ouverts, signez le certificat d'acceptation du travail terminé et recevez un décrypteur.
4. Vous décryptez vos fichiers et complétez les documents restants.

Vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus ransomware

Je n'énumérerai pas les éléments évidents concernant le lancement de programmes inconnus à partir d'Internet et l'ouverture de pièces jointes dans un courrier. Tout le monde le sait maintenant. De plus, j'en ai parlé à plusieurs reprises dans mes articles de la section À propos. Je ferai attention aux sauvegardes. Ils doivent non seulement exister, mais être inaccessibles de l’extérieur. S'il s'agit d'une sorte de lecteur réseau, un compte distinct doté d'un mot de passe fort doit y avoir accès.

Si vous sauvegardez des fichiers personnels sur un lecteur flash ou un disque externe, ne les gardez pas connectés en permanence au système. Après avoir créé des copies de sauvegarde, déconnectez les périphériques de l'ordinateur. Je vois la sauvegarde idéale sur un appareil séparé, qui est allumé uniquement pour effectuer une sauvegarde, puis à nouveau physiquement déconnecté du réseau en débranchant le câble réseau ou simplement en arrêtant le travail.

Les sauvegardes doivent être incrémentielles. Ceci est nécessaire afin d’éviter une situation dans laquelle le chiffreur crypte toutes les données sans que vous vous en rendiez compte. Une sauvegarde a été effectuée, qui a remplacé les anciens fichiers par de nouveaux, mais déjà cryptés. Du coup, vous disposez d’une archive, mais elle ne sert à rien. Vous devez disposer d’une profondeur d’archive d’au moins plusieurs jours. Je pense que dans le futur il y aura, s'ils ne sont pas encore apparus, des ransomwares qui crypteront discrètement une partie des données et attendront un certain temps sans se révéler. Cela se fera dans l’espoir que les fichiers cryptés finiront dans des archives et y remplaceront, au fil du temps, les vrais fichiers.

Ce sera une période difficile pour le secteur des entreprises. J'ai déjà donné ci-dessus un exemple tiré du forum eset, où les lecteurs réseau contenant 20 To de données étaient cryptés. Imaginez maintenant que vous disposez d'un tel lecteur réseau, mais que seulement 500 Go de données sont cryptées dans des répertoires qui ne sont pas consultés en permanence. Quelques semaines passent, personne ne remarque les fichiers cryptés, car ils se trouvent dans des répertoires d'archives et ne sont constamment pas utilisés. Mais à la fin de la période de référence, des données sont nécessaires. Ils y vont et voient que tout est crypté. Ils vont aux archives, et là, la profondeur de stockage est, disons, de 7 jours. Et c'est tout, les données ont disparu.

Cela nécessite une approche distincte et prudente des archives. Vous avez besoin de logiciels et de ressources pour le stockage de données à long terme.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification similaire du virus, mais la vidéo est tout à fait pertinente pour le combo.

Vous est-il déjà arrivé de recevoir un message par e-mail, Skype ou ICQ d'un expéditeur inconnu avec un lien vers une photo de votre ami ou des félicitations pour les vacances à venir ? Vous ne semblez pas vous attendre à une quelconque configuration, et tout à coup, lorsque vous cliquez sur le lien, un logiciel malveillant sérieux est téléchargé sur votre ordinateur. Avant que vous vous en rendiez compte, le virus a déjà crypté tous vos fichiers. Que faire dans une telle situation ? Est-il possible de restaurer des documents ?

Afin de comprendre comment gérer les logiciels malveillants, vous devez savoir de quoi il s’agit et comment ils pénètrent dans le système d’exploitation. De plus, peu importe la version de Windows que vous utilisez : le virus Critroni vise à infecter n'importe quel système d'exploitation.

Virus informatique de cryptage : définition et algorithme d'action

Un nouveau logiciel antivirus est apparu sur Internet, connu sous le nom de CTB (Curve Tor Bitcoin) ou Critroni. Il s'agit d'un cheval de Troie rançongiciel amélioré, similaire en principe au logiciel malveillant précédemment connu CriptoLocker. Si un virus a crypté tous les fichiers, que devez-vous faire dans ce cas ? Tout d'abord, vous devez comprendre l'algorithme de son fonctionnement. L'essence du virus est de crypter tous vos fichiers avec les extensions .ctbl, .ctb2, .vault, .xtbl ou autres. Cependant, vous ne pourrez pas les ouvrir tant que vous n’aurez pas payé la somme d’argent demandée.

Les virus Trojan-Ransom.Win32.Shade et Trojan-Ransom.Win32.Onion sont courants. Ils ressemblent beaucoup au STV dans leur action locale. Ils se distinguent par l’extension des fichiers cryptés. Trojan-Ransom code les informations au format .xtbl. Lorsque vous ouvrez un fichier, un message apparaît à l'écran indiquant que vos documents personnels, bases de données, photos et autres fichiers ont été cryptés par un logiciel malveillant. Pour les décrypter, vous devez payer pour une clé unique, qui est stockée sur un serveur secret, et ce n'est que dans ce cas que vous pourrez effectuer des opérations de décryptage et de cryptographie avec vos documents. Mais ne vous inquiétez pas, et encore moins envoyez de l’argent au numéro indiqué : il existe un autre moyen de lutter contre ce type de cybercriminalité. Si un tel virus pénétrait sur votre ordinateur et chiffrait tous les fichiers .xtbl, que devriez-vous faire dans une telle situation ?

Que ne pas faire si un virus de cryptage pénètre dans votre ordinateur

Il arrive que, dans la panique, nous installions un programme antivirus et, avec son aide, supprimions automatiquement ou manuellement les logiciels antivirus, perdant ainsi des documents importants. C'est désagréable, de plus, l'ordinateur peut contenir des données sur lesquelles vous travaillez depuis des mois. C'est dommage de perdre de tels documents sans possibilité de les récupérer.

Si le virus a crypté tous les fichiers .xtbl, certains tentent de modifier leur extension, mais cela ne conduit pas non plus à des résultats positifs. La réinstallation et le formatage du disque dur supprimeront définitivement le programme malveillant, mais vous perdrez en même temps toute possibilité de récupération de documents. Dans cette situation, les programmes de décryptage spécialement créés ne seront d'aucune utilité, car le logiciel ransomware est programmé à l'aide d'un algorithme non standard et nécessite une approche particulière.

À quel point un virus ransomware est-il dangereux pour un ordinateur personnel ?

Il est absolument clair qu'aucun programme malveillant ne profitera à votre ordinateur personnel. Pourquoi un tel logiciel est-il créé ? Curieusement, de tels programmes n'ont pas été créés uniquement dans le but d'escroquer le plus d'argent possible aux utilisateurs. En fait, le marketing viral est très rentable pour de nombreux inventeurs d’antivirus. Après tout, si un virus chiffrait tous les fichiers de votre ordinateur, vers qui vous tourneriez-vous en premier ? Naturellement, faites appel à des professionnels. Qu'est-ce que le cryptage pour votre ordinateur portable ou personnel ?

Leur algorithme de fonctionnement n'est pas standard, il sera donc impossible de guérir les fichiers infectés avec un logiciel antivirus classique. La suppression d'objets malveillants entraînera une perte de données. Seul le passage en quarantaine permettra de sécuriser d'autres fichiers que le virus malveillant n'a pas encore réussi à chiffrer.

Date d'expiration du logiciel malveillant de chiffrement

Si votre ordinateur est infecté par Critroni (malware) et que le virus a crypté tous vos fichiers, que devez-vous faire ? Vous ne pouvez pas décrypter vous-même les formats .vault-, .xtbl-, .rar en modifiant manuellement l'extension en .doc, .mp3, .txt et autres. Si vous ne payez pas le montant requis aux cybercriminels dans les 96 heures, ils vous enverront une correspondance intimidante par e-mail indiquant que tous vos fichiers seront définitivement supprimés. Dans la plupart des cas, les gens sont influencés par de telles menaces et accomplissent ces actions à contrecœur mais avec obéissance, craignant de perdre des informations précieuses. Il est dommage que les utilisateurs ne comprennent pas que les cybercriminels ne tiennent pas toujours parole. Une fois l’argent reçu, ils ne se soucient souvent plus du décryptage de vos fichiers verrouillés.

Lorsque la minuterie expire, il se ferme automatiquement. Mais vous avez toujours la possibilité de récupérer des documents importants. Un message apparaîtra à l'écran indiquant que le délai a expiré et vous pourrez afficher des informations plus détaillées sur les fichiers du dossier de documents dans un fichier de bloc-notes spécialement créé, DecryptAllFiles.txt.

Comment les logiciels malveillants de chiffrement pénètrent dans le système d'exploitation

En règle générale, les virus ransomware pénètrent dans un ordinateur via des messages électroniques infectés ou via de faux téléchargements. Il peut s'agir de fausses mises à jour flash ou de lecteurs vidéo frauduleux. Dès que le programme est téléchargé sur votre ordinateur à l'aide de l'une de ces méthodes, il crypte immédiatement les données sans possibilité de récupération. Si le virus a chiffré tous les fichiers .cbf, .ctbl, .ctb2 dans d'autres formats et que vous ne disposez pas d'une copie de sauvegarde du document stocké sur un support amovible, supposez que vous ne pourrez plus les récupérer. Pour le moment, les laboratoires antivirus ne savent pas comment déchiffrer ces virus de cryptage. Sans la clé requise, vous pouvez uniquement bloquer les fichiers infectés, les mettre en quarantaine ou les supprimer.

Comment éviter d'attraper un virus sur votre ordinateur

Menaçant tous les fichiers .xtbl. Ce qu'il faut faire? Vous avez déjà lu de nombreuses informations inutiles écrites sur la plupart des sites Web et vous ne trouvez pas la réponse. Il se trouve qu'au moment le plus inopportun, lorsque vous avez un besoin urgent de remettre un rapport de travail, une thèse dans une université ou de défendre votre diplôme de professeur, l'ordinateur commence à vivre sa propre vie : il tombe en panne, est infecté par des virus. , et se fige. Vous devez vous préparer à de telles situations et conserver les informations sur le serveur et les supports amovibles. Cela vous permettra de réinstaller le système d'exploitation à tout moment et après 20 minutes de travail sur l'ordinateur comme si de rien n'était. Mais malheureusement, nous ne sommes pas toujours aussi entreprenants.

Pour éviter d'infecter votre ordinateur avec un virus, vous devez d'abord installer un bon programme antivirus. Vous devez disposer d'un pare-feu Windows correctement configuré, qui protège contre divers objets malveillants transitant par le réseau. Et le plus important : ne téléchargez pas de logiciels à partir de sites non vérifiés ou de trackers torrent. Pour éviter d'infecter votre ordinateur avec des virus, faites attention aux liens sur lesquels vous cliquez. Si vous recevez un e-mail d'un destinataire inconnu avec une demande ou une offre de voir ce qui se cache derrière le lien, il est préférable de déplacer le message vers le spam ou de le supprimer complètement.

Pour éviter que le virus ne chiffre un jour tous les fichiers .xtbl, les laboratoires de logiciels antivirus recommandent un moyen gratuit de se protéger contre l'infection par les virus de chiffrement : une fois par semaine, inspectez leur état.

Le virus a crypté tous les fichiers de l'ordinateur : méthodes de traitement

Si vous avez été victime de cybercriminalité et que les données de votre ordinateur ont été infectées par l'un des types de logiciels malveillants de cryptage, il est temps d'essayer de récupérer vos fichiers.

Il existe plusieurs manières de traiter gratuitement les documents infectés :

1. La méthode la plus courante, et probablement la plus efficace à l’heure actuelle, consiste à sauvegarder les documents puis à les restaurer en cas d’infection inattendue.
2. L'algorithme logiciel du virus CTB fonctionne de manière intéressante. Une fois sur l'ordinateur, il copie les fichiers, les crypte et supprime les documents originaux, éliminant ainsi la possibilité de leur récupération. Mais avec l'aide du logiciel Photorec ou R-Studio, vous pouvez réussir à sauvegarder certains fichiers originaux intacts. Il faut savoir que plus vous utilisez votre ordinateur longtemps après qu'il ait été infecté, moins il est probable que vous puissiez récupérer tous les documents nécessaires.
3. Si le virus a chiffré tous les fichiers .vault, il existe un autre bon moyen de les décrypter : à l'aide de volumes de clichés instantanés. Bien entendu, le virus tentera de tous les supprimer définitivement et irrévocablement, mais il arrive aussi que certains fichiers restent intacts. Dans ce cas, vous aurez une petite mais chance de les restaurer.
4. Il est possible de stocker des données sur des services d'hébergement de fichiers tels que DropBox. Il peut être installé sur votre ordinateur en tant que mappage de disque local. Naturellement, le virus du cryptage l’infectera également. Mais dans ce cas, il est bien plus réaliste de restaurer des documents et des fichiers importants.

Logiciel de prévention des infections virales sur les ordinateurs personnels

Si vous avez peur que de sinistres logiciels malveillants s'introduisent sur votre ordinateur et que vous ne souhaitez pas qu'un virus insidieux crypte tous vos fichiers, vous devez utiliser l'éditeur de stratégie local ou l'éditeur de groupe Windows. Grâce à ce logiciel intégré, vous pouvez mettre en place une politique de restriction des programmes - et vous n'aurez alors plus à craindre que votre ordinateur soit infecté.

Comment récupérer des fichiers infectés

Si le virus CTB a crypté tous les fichiers, que devez-vous faire dans ce cas pour restaurer les documents nécessaires ? Malheureusement, à l'heure actuelle, aucun laboratoire antivirus ne peut proposer le décryptage de vos fichiers, mais il est possible de neutraliser l'infection et de la supprimer complètement d'un ordinateur personnel. Toutes les méthodes efficaces de récupération d’informations sont répertoriées ci-dessus. Si vos fichiers sont trop précieux pour vous et que vous n'avez pas pris la peine de les sauvegarder sur un disque amovible ou un lecteur Internet, vous devrez alors payer le montant demandé par les cybercriminels. Mais il n’y a aucune chance que la clé de déchiffrement vous soit envoyée même après paiement.

Comment trouver les fichiers infectés

Pour voir la liste des fichiers infectés, vous pouvez accéder à ce chemin : « Mes documents »\.html ou « C: »\ »Utilisateurs »\ »Tous les utilisateurs »\.html. Cette feuille HTML contient des données non seulement sur des instructions aléatoires, mais également sur des objets infectés.

Comment bloquer un virus de cryptage

Une fois qu'un ordinateur a été infecté par un logiciel malveillant, la première action nécessaire de la part de l'utilisateur est d'allumer le réseau. Cela se fait en appuyant sur la touche du clavier F10.

Si le virus Critroni s'est accidentellement introduit sur votre ordinateur et a crypté tous les fichiers au format .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf ou tout autre format, alors il est déjà difficile de les récupérer. Mais si le virus n’a pas encore apporté beaucoup de changements, il sera probablement bloqué à l’aide d’une politique de restriction logicielle.

Virus Ransomware : faut-il ou non payer les escrocs ?

Ce jour sombre est arrivé. Un virus de cryptage fonctionnait activement sur l'une des machines de travail importantes, après quoi tous les fichiers bureautiques, graphiques et bien d'autres ont reçu l'autorisation crypted000007, qui au moment de la rédaction de cet article étaient impossibles à déchiffrer.

En outre, un fond d'écran est apparu sur le bureau avec une inscription du type « Vos fichiers sont cryptés » et des documents texte Lisez-moi contenant les coordonnées de l'escroc sont apparus à la racine des lecteurs locaux. Naturellement, il veut une rançon pour le décryptage.

Personnellement, je n'ai pas contacté ce(s) connard(s) pour décourager une telle activité, mais je sais que le prix moyen commence à 300 $ et plus. Alors réfléchissez par vous-même à ce que vous devez faire. Mais si vous avez des fichiers très importants cryptés, par exemple des bases de données 1C, et qu'il n'y a pas de copie de sauvegarde, alors c'est l'effondrement de votre carrière.

Permettez-moi de prendre de l'avance et de dire que si vous avez l'espoir d'un décryptage, ne supprimez en aucun cas le fichier exigeant de l'argent et ne faites rien avec les fichiers cryptés (ne changez pas le nom, l'extension, etc.). Mais parlons de tout dans l'ordre.

Virus ransomware : qu’est-ce que c’est ?

Il s'agit d'un logiciel malveillant (ransomware) qui crypte les données d'un ordinateur à l'aide d'un algorithme très puissant. Ensuite, je vais donner une analogie approximative. Imaginez que vous ayez défini un mot de passe de plusieurs milliers de caractères pour vous connecter à Windows et que vous l'ayez oublié. D'accord, c'est impossible à retenir. Combien de vies vous faudra-t-il pour effectuer une recherche manuelle ?

C’est le cas d’un ransomware qui utilise des méthodes cryptographiques légales à des fins illégales. Ces virus utilisent généralement un cryptage asynchrone. Cela signifie qu'une paire de clés est utilisée.

Les fichiers sont cryptés à l’aide d’une clé publique et peuvent être déchiffrés à l’aide d’une clé privée dont seul le fraudeur dispose. Toutes les clés sont uniques car elles sont générées séparément pour chaque ordinateur.

C'est pourquoi j'ai dit au début de l'article que vous ne pouvez pas supprimer le fichier readme.txt à la racine du disque avec une demande de rançon. C'est dans celui-ci qu'est indiquée la clé publique.

L'adresse e-mail du ransomware dans mon cas. Si vous la saisissez dans une recherche, la véritable ampleur de la tragédie devient claire. Beaucoup de gens ont été blessés.

Par conséquent, je le répète : ne modifiez en aucun cas les fichiers endommagés. Sinon, vous perdrez la moindre chance de les restaurer à l'avenir.

Il n'est pas non plus recommandé de réinstaller le système d'exploitation et de nettoyer les répertoires temporaires et système. Bref, jusqu’à ce que toutes les circonstances soient éclaircies, on ne touche à rien, pour ne pas se compliquer la vie. Même si cela semble être bien pire.

Cette infection arrive le plus souvent sur votre ordinateur par courrier électronique avec un sujet brûlant comme "Urgent, au responsable. Lettre de la banque", etc. L’ennemi est caché dans la pièce jointe, qui peut ressembler à un fichier pdf ou jpg inoffensif.

Une fois lancé, rien de grave ne se produit à première vue. Sur un PC de bureau faible, l'utilisateur peut remarquer une certaine « lenteur ». Ce virus, se faisant passer pour un processus système, fait déjà son sale boulot.

Sous Windows 7 et versions ultérieures, lorsque le code nuisible est lancé, la fenêtre Contrôle de compte d'utilisateur apparaîtra constamment vous demandant d'autoriser les modifications. Bien entendu, un utilisateur inexpérimenté sera d’accord avec tout, signant ainsi sa propre condamnation à mort.

Oui, en effet, le virus bloque déjà l'accès aux fichiers et une fois terminé, un message d'avertissement « Vos fichiers sont cryptés » apparaîtra sur le bureau. En général, c'est un cul. C'est alors que la brutalité commence.

Comment guérir un virus ransomware

Sur la base de ce qui précède, nous pouvons conclure que si la terrible inscription sur le bureau n'est pas encore apparue et que vous avez déjà vu les premiers fichiers avec des noms longs incompréhensibles provenant d'un ensemble chaotique de divers caractères, retirez immédiatement l'ordinateur de la prise.

C'est vrai, grossier et sans compromis. En faisant cela, vous arrêterez l’algorithme du malware et pourrez sauvegarder au moins quelque chose. Malheureusement, dans mon cas, l’employé ne le savait pas et a tout perdu. Ta mère...

La cerise sur le gâteau pour moi était le fait qu'il s'avère que ce virus crypte facilement tous les supports amovibles et lecteurs réseau connectés au PC avec des droits d'accès en écriture. C'est là que se trouvaient les sauvegardes.

Parlons maintenant du traitement. La première chose que vous devez comprendre est que le virus est guéri, mais que les fichiers resteront cryptés. Peut-être pour toujours. Le processus de traitement lui-même n’est pas compliqué.

Pour ce faire, vous devez connecter le disque dur à un autre ordinateur et l'analyser avec des utilitaires tels que Kaspersky Virus Removal Tool. Pour plus de sécurité, vous pouvez en utiliser deux à tour de rôle. Si vous ne souhaitez pas transférer une vis infectée sur un autre ordinateur, démarrez à partir d'un Live CD.

En règle générale, ces solutions antivirus détectent et suppriment le chiffreur sans aucun problème. Mais parfois, ils ne détectent rien, car le virus, ayant fait son travail, peut se supprimer du système. C'est une telle merde qui recouvre toutes les traces et rend difficile son étude.

Je prévois la question : pourquoi l’antivirus n’a-t-il pas immédiatement empêché les logiciels indésirables de pénétrer dans l’ordinateur ? Il n'y aurait alors aucun problème. À mon avis, les antivirus perdent actuellement la bataille contre les chiffreurs et c'est très triste.

De plus, comme je l’ai déjà dit, ces logiciels malveillants fonctionnent sur la base de méthodes cryptographiques légales. Autrement dit, il s'avère que leur travail n'est pas illégal d'un point de vue technique. C'est la difficulté de les identifier.

De nouvelles modifications sont constamment publiées et ne sont incluses dans les bases de données antivirus qu'après l'infection. Donc, hélas, dans ce cas, il ne peut y avoir de protection à 100 %. Uniquement un comportement vigilant lorsque vous travaillez sur un PC, mais nous y reviendrons plus tard.

Comment décrypter des fichiers après un virus

Tout dépend du cas spécifique. Il a été écrit ci-dessus que les modifications du virus de cryptage peuvent être n'importe quoi. En fonction de cela, les fichiers cryptés ont des extensions différentes.

La bonne nouvelle est que pour de nombreuses versions de l'infection, les sociétés antivirus ont déjà mis au point des décrypteurs (décrypteurs). Le leader sur le marché russophone est Kaspersky Lab. À ces fins, la ressource suivante a été créée :

Là-dessus, dans la barre de recherche, nous entrons des informations sur l'extension ou l'e-mail de la demande de rançon, cliquez sur « Rechercher » et voyons s'il existe un utilitaire de sauvegarde pour nous.

Si vous avez de la chance, téléchargez le programme dans la liste et exécutez-le. La description de certains décrypteurs indique que lorsque vous travaillez sur un ordinateur, vous devez avoir accès à Internet pour pouvoir effectuer une recherche avancée de clés dans la base de données en ligne.

Sinon, tout est simple. Sélectionnez un fichier ou un disque spécifique dans son intégralité et lancez l'analyse. Si vous activez l'élément "Supprimer les fichiers cryptés", après le décryptage, tous les fichiers originaux seront supprimés. Oh, je ne serais pas si pressé, je dois voir le résultat tout de suite.

Pour certains types de virus, le programme peut demander deux versions du fichier : l'originale et la version cryptée. Si le premier n’est pas là, alors c’est une cause perdue.

De plus, les utilisateurs de produits Kaspersky Lab sous licence ont la possibilité de contacter le forum officiel pour obtenir de l'aide sur le décryptage. Mais après l'avoir parcouru avec mon extension (crypted000007), j'ai réalisé qu'il n'y avait aucune aide. On peut en dire autant de Dr.Web.

Il existe un autre projet similaire, mais cette fois international. Selon des informations provenant d'Internet, il est pris en charge par les principaux fabricants d'antivirus. Voici son adresse :

Bien sûr, cela peut être vrai, mais le site ne fonctionne pas correctement. La page principale vous demande de télécharger deux fichiers cryptés, ainsi qu'un fichier de rançon, après quoi le système répondra si le décrypteur est disponible ou non.

Mais à la place, il y a un transfert vers la section avec le choix de la langue et c'est tout. Par conséquent, vous pouvez accéder indépendamment à la section « Decryptor-Utilities » et essayer de trouver le programme dont vous avez besoin.

Ce n'est pas très pratique, car la brève description du logiciel disponible n'indique pas clairement les extensions de fichiers cryptées prises en charge. Pour ce faire, vous devez lire les instructions détaillées pour chaque type de décrypteur.

En train de rédiger cette publication, j'ai trouvé un service similaire qui fonctionne correctement sur le même principe. Il vous aidera à identifier le nom de la menace et vous proposera une « pilule magique » s’il y en a une. Il y a un bouton de traduction dans le coin supérieur droit du site pour plus de commodité.

Ce qu'il faut faire? Payer ou ne pas payer

Si vous avez lu jusqu'ici, cela signifie que vos fichiers sont toujours cryptés de manière sécurisée. Et là, la question est : que faire ensuite ? En effet, si des fichiers extrêmement importants sont cryptés, le travail même des grandes entreprises, sans parler des petites, peut être paralysé.

Tout d’abord, vous pouvez suivre les instructions du fraudeur et payer la rançon. Mais les statistiques de Kaspersky Lab montrent qu'une entreprise sur cinq n'a jamais reçu la clé de déchiffrement après le paiement.

Cela peut se produire pour diverses raisons. Par exemple, le virus aurait pu être utilisé non pas par les créateurs eux-mêmes, qui détiennent la clé privée, mais par des intermédiaires frauduleux.

Ils ont simplement modifié le code du malware, indiquant leurs données dans le fichier de rançon, mais ils ne disposent pas de deuxième clé. Ils ont reçu l'argent et sont partis. Et vous continuez à cuisiner.

En général, ils ne mentiront pas, je ne connais pas moi-même toutes les nuances techniques. Mais dans tous les cas, en payant les extorsionnistes, vous les motivez à poursuivre de telles activités. Après tout, puisque ça marche et rapporte de l’argent, pourquoi pas.

Mais sur Internet, j'ai trouvé au moins deux sociétés qui promettent de résoudre ce problème et même de décrypter les fichiers avec l'extension crypted000007. J'ai contacté l'un d'eux avec une grande peur.

Pour être honnête, les gars ne m'ont pas aidé, car ils ont immédiatement dit qu'ils n'avaient pas de décrypteur, mais qu'ils pouvaient essayer de restaurer environ 30 % des fichiers originaux supprimés par le virus à l'aide d'une analyse de bas niveau.

J'y ai réfléchi et j'ai refusé. Mais merci à eux de ne pas se ridiculiser, d'avoir pris le temps et de tout expliquer sobrement. Eh bien, comme ils n’ont pas de clé, cela signifie qu’ils ne devraient pas interagir avec des fraudeurs.

Mais il existe une autre société, plus « intéressante », qui garantit à 100 % le succès de l'opération. Son site internet se trouve à cette adresse :

J'ai essayé de surfer sur les forums spécialisés, mais je n'ai pas trouvé d'avis de vrais clients. Autrement dit, tout le monde le sait, mais peu l'ont utilisé. Cercle vicieux.

Ces gars-là travaillent sur la base des résultats reçus, il n'y a pas de prépaiement. Encore une fois, je le répète, ils offrent une garantie de décryptage même crypted000007. Cela signifie qu'ils ont une clé et un décrypteur. D’où la question : d’où leur viennent cette bonté ? Ou est-ce que j'ai raté quelque chose ?

Je ne veux rien dire de mal, peut-être qu'ils sont gentils et moelleux, qu'ils travaillent honnêtement et aident les gens. Bien que techniquement, cela soit tout simplement impossible sans un passe-partout. En tout cas, quelque chose d’incriminant a été trouvé contre eux.

Comment se protéger d'un virus ransomware

Je vais donner quelques postulats de base qui vous aideront à rester en sécurité et, en cas de pénétration de tels logiciels malveillants, à réduire les pertes au minimum. Après tout, j’ai vécu tout cela sur ma propre peau.

Effectuez des sauvegardes régulières sur des supports amovibles (isolés du réseau). Sans exagération, je peux dire que c'est la chose la plus importante.

Ne travaillez pas sous un compte avec des droits d'administrateur afin de minimiser les pertes en cas d'infection.

Surveillez de près les destinataires des lettres entrantes et des liens supprimés sur les réseaux sociaux. réseaux. Pas de commentaires ici.

Gardez votre programme antivirus à jour. Cela peut vous sauver, mais ce n’est pas certain.

Assurez-vous d'activer les fichiers dans Windows 7/10. Nous en parlerons en détail dans les prochains numéros.

Ne désactivez pas le contrôle de compte d'utilisateur dans Windows 7 et versions ultérieures.

À mon tour, je me retrouve avec des fichiers bureautiques entièrement cryptés par le virus. Je regarderai périodiquement toutes les ressources indiquées dans l'article, dans l'espoir d'y voir un jour un décrypteur. Peut-être que la chance sourira dans cette vie, qui sait.

C’est une chose lorsque les fichiers de l’utilisateur sur un ordinateur personnel, tels que des films, de la musique, etc., sont cryptés. C’est complètement différent lorsque vous perdez l’accès à l’ensemble de la gestion des documents d’une entreprise pendant au moins 5 à 7 ans. Ça fait mal, je le sais déjà.

Si le système est infecté par des logiciels malveillants des types Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl ou Trojan -Familles de rançon. Win32.CryptXXX, tous les fichiers de l'ordinateur seront cryptés comme suit :

• Lorsque Trojan-Ransom.Win32.Rannoh est infecté, les noms et extensions changent en fonction du modèle verrouillé.<оригинальное_имя>.<4 произвольных буквы>.
• Lorsque Trojan-Ransom.Win32.Cryakl est infecté, une étiquette (CRYPTENDBLACKDC) est ajoutée à la fin du contenu du fichier.
• En cas d'infection par Trojan-Ransom.Win32.AutoIt, l'extension change en fonction du modèle<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
  Par exemple, [email protégé] _.RZWDTDIC.
• En cas d'infection par Trojan-Ransom.Win32.CryptXXX, l'extension change selon les modèles<оригинальное_имя>.crypte,<оригинальное_имя>.crypz et<оригинальное_имя>.cryp1.

L'utilitaire RannohDecryptor est conçu pour décrypter les fichiers après une infection par Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola. , Trojan-Ransom.Win32.Cryakl ou Trojan-Ransom.Win32.CryptXXX versions 1, 2 et 3.

Comment guérir le système

Pour guérir un système infecté :

1. Téléchargez le fichier RannohDecryptor.zip.
2. Exécutez RannohDecryptor.exe sur la machine infectée.
3. Dans la fenêtre principale, cliquez sur Commencez à vérifier.

1. Spécifiez le chemin d'accès au fichier chiffré et non chiffré.
   Si le fichier est chiffré avec Trojan-Ransom.Win32.CryptXXX, spécifiez la taille de fichier la plus grande. Le décryptage ne sera disponible que pour les fichiers de taille égale ou inférieure.
2. Attendez la fin de la recherche et du décryptage des fichiers cryptés.
3. Redémarrez votre ordinateur si nécessaire.
4. après verrouillé-<оригинальное_имя>.<4 произвольных буквы>Pour supprimer une copie des fichiers cryptés après un décryptage réussi, sélectionnez .

Si le fichier a été chiffré par Trojan-Ransom.Win32.Cryakl, l'utilitaire enregistrera le fichier à son ancien emplacement avec l'extension .decryptedKLR.original_extension. Si vous avez choisi Supprimer les fichiers cryptés après un décryptage réussi, le fichier transcrit sera enregistré par l'utilitaire avec le nom d'origine.

1. Par défaut, l'utilitaire génère un rapport de travail à la racine du disque système (le disque sur lequel le système d'exploitation est installé).

   Le nom du rapport est le suivant : UtilityName.Version_Date_Time_log.txt

   Par exemple, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

Sur un système infecté par Trojan-Ransom.Win32.CryptXXX, l'utilitaire analyse un nombre limité de formats de fichiers. Si un utilisateur sélectionne un fichier affecté par CryptXXX v2, la restauration de la clé peut prendre beaucoup de temps. Dans ce cas, l'utilitaire affiche un avertissement.