Archives de catégorie : ransomware

Ransomware : prise otage PC/données pour vous demander de payer

Serpent Ransomware

Serpent Ransomware est un rançongiciel ou logiciel de rançon est un programme malveillant qui prend en otage des données personnelles. Le virus Serpent chiffre (ou crypte si vous préférez) vos documents et données utilisateurs : l’accès aux documents est impossible tant que vous n’avez pas la clé de déchiffrement. Cela se manifeste par un changement d’extension, tous vos fichiers portent l’extension .serpent

Serpent réclament de payer une une somme d’argent en échange de cette clé de déblocage (décryptage). Pour se faire, le virus Serpent, un fichier texte, image d’instruction laissé sur le bureau.
Les instructions stipulent de se connecter à un site, sur le réseau TOR pour payer cette rançon et récupérer vos fichiers.

Le ransomware Serpent est distribué à travers des mails vérolés.
Vous devez donc être très vigilant lors de la lecture de vos mails comportant des pièces jointes.

Supprimer le virus/ransomware Serpent



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Serpent avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Serpent avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .Serpent

Vous pouvez tenter de récupérer les fichiers .Serpent avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Pour d’éventuelle solution pour récupérer vos documents chiffrés en .serpent, suivez la page Decrypt Tools Ransomware

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

HakunaMatata

HakunaMatata est un ransomware qui infecte Windows et visent vos donnés utilisateurs (fichiers, documents Word/Excel/Powerpoint, images, vidéos etc)
Ce virus fait partie de la catégorie un ransomware, car il tente de chiffrer/crypter vos fichiers, afin de rendre ces derniers illisibles.
Un fichier instruction est ensuite laissé, afin de vous donner les renseignements pour payer une rançon afin de récupérer vos fichiers.

Comme vous pouvez le voir sur la capture ci-dessus HakunaMatata moidifie l’extension des fichiers en ajoutant l’extension .HakunaMatata à vos fichiers, dans chaque répertoire il dépose également un fichier ou se trouve la procédure de paiement.
Pour décrypter vos fichiers il faut en fait un clef de décryptage.
C’est cette clé de déchiffrement qui est vendue, souvent à travers en bitcoin.
Aucune garantie n’est donnée que le cybercriminel après paiement va vraiment vous envoyer cette clé.

Vous trouverez plus d’informations sur les rançongiciels, sur la page : crypto-ransomware / rançongiciels chiffreurs de fichiers

Si Windows a été infecté par le virus HakunaMatata, voici ce qu’il faut faire :

  • Désinfecter l’ordinateur en suivant la procédure gratuite ci-dessous.
  • Tentez la récupération avec ShadowExplorer
  • Si la récupération est impossible, garder les fichiers  .HakunaMatata pour une éventuelle récupération ultérieure, ces fichiers sont inoffensifs. A moins, que vous aillez une sauvegarde de toutes vos données.

Voici la procédure de désinfection et de suppression du virus HakunaMatata.

Comment supprimer le virus/ransomware HakunaMatata



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Cerber avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware HakunaMatata avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0

Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .HakunaMatata

Vous pouvez tenter de récupérer les fichiers .HakunaMatata avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes avec Shadow Explorer.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

webmafia@asia.com

webmafia@asia.com est l’extension utilisé par un ransomware qui chiffre (crypte) vos documents.
Les ransomwares ou rançongiciels, sont des logiciels malveillants qui prend en otage les fichiers de votre ordinateur. Pour être clair, webmafia@asia.com crypte ou chiffre les fichiers de votre PC vous réclame de payer une somme d’argent pour récupérer ces derneirs. Ce virus vise notamment les fichiers .PDF, .PPT, .DOC, .XLS, .TXT, .JPG, une fois qu’il a crypté les fichiers il ajoute une extension du type .id-_webmafia@asia.com

Le ransomware affiche également une page content les instructions de paiement, on y trouve l’adresse email de contact webmafia@asia.com :

Ce message ransomware indique le message « All your files have been encrypted!« , soit donc « tous vos fichiers ont été chiffrés (ou cryptés) » suite à un problème de sécurité, que tous les fichiers ont été cryptés sans la clé de décryptage que seul le pirate possède, vous ne pourrez pas récupérer vos données.
Le cybercriminel vous fait payer cette clé; via une rançon en bitcoin, à travers un mail à l’adresse webmafia@asia.com.

Ce ransomware fait partie de la famille BandarChor / Criakl / Rakhni, le vecteur de diffusion principale sont des emails malicieux ou des attaques RDP contre des serveurs mal sécurisés.

Comment supprimer le virus/ransomware Cerber



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware webmafia@asia.com

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware webmafia@asia.com avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutoriel pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0

Récupérer/Décrypter vos documents en webmafia@asia.com

Vous pouvez tenter de récupérer les fichiers .cerber avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

OSIRIS

OSIRIS est une extension de fichier mise par le Ransomware Locky.
Cette modification des extensions de fichiers en .OSIRIS est accompagné de fichier instruction du type OSIRIS-36a3.htm.
Enfin le fond d’écran est modifié.

Que s’est-il passé ? Votre ordinateur a été infecté un Ransomware ou raçongiciel.
Il s’agit de chiffrer les fichiers (crypter si vous préférez) dans le but de les rendre inaccessible.
A partir de là, on va vous demander de payer une rançon, afin de récupérer l’accès à ces derniers.
Les fichiers instructions OSIRIS-XXX.htm contiennent les instructions de paiements.
Vous devez vous rendre sur un site et payer en bitcoin.

Voici un exemple de fichier OSIRIS chiffrés :

ransomware_locky_extension_osiris_wt

Locky est très actif depuis un an, voici quelques liens concernant ce ransomware :

Actuellement, ce ransomware Locky est distribué à travers des campagnes d’emails malicieux contenant des pièces jointes au format Word.
Ces campagnes Word malicieux sont en langue anglaise pour la plupart, en ouvrant el document, si la macro contenu dans le document est exécuté, le malware Locky est téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word_stopransomware

Les campagnes suivantes ont vu des emails ciblés en langue française, par exemple, de faux emails Free Mobile.

 

Si vous vous faites avoir, vos fichiers sont transférés en OSIRIS et l’extension devient .osiris.

La récupération des documents est malheureusement impossible actuellement.
Si une solution est trouvée dans le futur, nous modifierons bien entendu cette fiche afin de donner la solution.

Tout ce que vous pouvez faire, c’est désinfecter l’ordinateur et vous assurer que le ransomware Locky n’est plus actif.
Si vous possédez des sauvegardes, rétablissez ces dernières afin de remettre en place vos documents.
La procédure gratuite suivante vous explique comment désinfecter votre ordinateur.

Supprimer le virus/ransomware Osiris



La procédure suivante devrait vous permettre de vous assurer que Locky n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Osiris avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutoriel Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Osiris avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .odin

Vous pouvez tenter de récupérer les fichiers .odin avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, Comment se protéger des scripts malicieux sur Windows

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus Aesir

Si vos fichiers et documents ont une extension aesir, c’est que Windows a été infecté par le virus Locky.
Locky est un ransomware apparu courant février 2016 et est particulièrement actif dans le monde et notamment en France.
Dernièrement, la nouvelle variante chiffre les documents (cryptent les documents, si vous préférez) et modifie les extensions de fichiers pour mettre .aesir

Normalement, il n’est pas possible de récupérer vos documents.
Si vous n’avez pas de sauvegardes, vous avez probablement perdu tous vos documents.
Dans la procédure, nous fournissons tout de même une méthode pour récupérer les fichiers .aesir mais celle-ci ne fonctionne généralement pas.
Vous pouvez tout de même tenter le coup.

ransomware_aesir

Le virus aesir se propage par essentiellement par des emails malicieux.
Si vous avez infecté, cela signifie que vous n’êtes pas assez attentif aux mails que vous recevez et que votre ordinateur est vulnérable aux scripts malicieux.

La page suivante explique comment s’en protéger : Comment se protéger des scripts malicieux sur Windows

Une fois le rançongiciel Locky lancé, ce dernier va chiffrer (crypter si vous préférez) les documents et mettre l’extension .aesir partout.
Des fichiers texte, HTML et images seront aussi disséminés dans chaque dossier contenant les instructions de paiements, qui se font en général, sur le réseau TOR en monnaie virtuelle Bitcoin.
Enfin, le fond d’écran de Windows va aussi être modifié pour afficher les informations de paiements.

Le virus aesir ne reste pas actif, une fois qu’il a fait son travail, il va se fermer et ne va pas chercher à se relancer au démarrage de Windows.
En théorie donc, il n’est pas nécessaire d’effectuer une désinfection de l’ordinateur.

Néanmoins, si vous désirez vous en assurer, et ce que nous vous conseillons, vous pouvez suivre la procédure suivante.

Supprimer le virus/ransomware aesir



La procédure suivante devrait vous permettre de vous assurer que le virus aesir n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware aesir avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware aesir avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .aesir

Vous pouvez tenter de récupérer les fichiers .aesir avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

A lire aussi, la page : Ransomware et récupération de fichiers

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, Comment se protéger des scripts malicieux sur Windows

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus Odin

Odin est l’extension de fichier qui apparaît, lorsque Windows a été infecté par le virus Locky.
Locky est un ransomware courant février 2016 et est particulièrement actif dans le monde et en France.
Dernièrement, la nouvelle variante chiffre les documents (cryptent les documents, si vous préférez) et modifie les extensions de fichiers pour mettre .odin

En théorie, il n’est pas possible de récupérer vos documents.
Si vous n’avez pas de sauvegardes, vous avez tout perdu.
Dans la procédure, nous fournissons tout de même une méthode pour récupérer les fichiers .odin mais celle-ci ne devrait pas fonctionner.

Ransomware Locky - variante Odin

Le virus Odin se propage par essentiellement par des emails malicieux.
Si vous avez infecté, cela signifie que vous n’êtes pas assez attentif aux mails que vous recevez et que votre ordinateur est vulnérable aux scripts malicieux.

La page suivante explique comment s’en protéger : Comment se protéger des scripts malicieux sur Windows

Une fois le rançongiciel Locky lancé, ce dernier va chiffrer les documents et mettre l’extension .odin partout.
Des fichiers texte, HTML et images seront aussi disséminés dans chaque dossier contenant les instructions de paiements, qui se font en général, sur le réseau TOR en monnaie virtuelle Bitcoin.
Enfin, le fond d’écran va aussi être modifié pour afficher les informations de paiments.

Le virus Odin n’est pas résident, il va se fermer et ne va pas chercher à se relancer au démarrage de Windows.
En théorie donc, il n’est pas nécessaire d’effectuer une désinfection de l’ordinateur.

Néanmoins, si vous désirez vous en assurer, et ce que nous vous conseillons, vous pouvez suivre la procédure suivante.

Supprimer le virus/ransomware Odin



La procédure suivante devrait vous permettre de vous assurer que le virus Odin n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Odin avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Odin avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .odin

Vous pouvez tenter de récupérer les fichiers .odin avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, Comment se protéger des scripts malicieux sur Windows

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

cerber3

Cerber3 correspont à l’extension de fichiers qui ont été touché par le Ransomware cerber.

Ce ransomware est apparu fin Février 2016 et vise les systèmes Windows.
Il s’agit plus précisément d’un crypto-Ransomware, c’est à dire un ransomware qui va modifier les fichiers documents pour les rendre inaccessible.
Une rançon est ensuite demandée à travers des fichiers instructions, de l’ordre de quelques centaines d’euros. Le paiement se faisant en Bicoin, une monnaie virtuelle.
Les fichiers touchés portent l’extension cerber3, mais on a pu avoir l’extension .cerber ou .cerber2, probablement que la prochaine mise à jour du ransomware donneront des fichiers en .cerber4.

Ce type de ransomwares qui chiffrent les documents ont explosés depuis le début de l’année 2016, avec notamment Locky Ransomware, TeslaCrypt Ransomware et CryptoWall ransomware.
La plupart du temps, il n’y a malheureusement pas de solution pour décrypter les documents.Cerbere_Ransomware_6

Cerber en vidéo :

 

Ce rançongiciel est donc actif dans le système et va chercher à chiffrer tous les documents qui vont être copié ou ouvert sur Windows.
Le virus Cerber3 peut aussi viser les partages réseaux et disques amovibles, ce qui dans un réseau d’entreprise peut causer beaucoup de dommages.

Voici la procédure pour supprimer le virus Cerber3.
Cette procédure est gratuite et devrait vous permettre de désinfecter Windows.

Comment supprimer le virus/ransomware Cerber3

Supprimer le virus/ransomware Cerber3 avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Cerber avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32
Scan NOD32 en vidéo :

NOD32_ScanEnLigne0

Récupérer/Décrypter vos documents en .cerber3

Vous pouvez tenter de récupérer les fichiers .cerber3 avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Zepto Ransomware

Zepto Ransomware est une variante du Ransomware Locky qui va prendre en otage les documents de l’ordinateur infecté et modifier l’extension .zepto
Les ransomwares étant des logiciels malveillants qui chiffrent les documents de l’ordinateur et réclame de payer une rançon pour récupérer l’accès à ces derniers.

Une fois l’ordinateur Zepto Ransomware va :

  • modifier le fond d’écran pour afficher les instructions de paiement.
  • charge un fichier HELP_INSTRUCTIONS au format texte, HTML et images avec les instructions de paiements
  • modifier les fichiers en .zepto et chiffrer ces derniers.

Voici un exemple de fichier touchés par Zepto dont l’extension a été modifiée en .zepto :

zepto_ransomware_3

et les instructions de paiements : zepto_ransomware_2 zepto_ransomware

Le virus Zepto se propage essentiellement par des emails malicieux, certains sont en français et se font passer pour Free.
Le format des pièces jointes malicieuses Zepto sont des fichiers zips contenant un Trojan.JavaScript ou un document Office avec des macros malveillants qui permettent de télécharger installer le virus Zepto.

zepto_ransomware_email_malicieux

Une fois ce dernier lancé, il va faire son travail et chffrer les document.
A ce stade là, le mal est fait et les fichiers sont perdus car pour le moment, il n’y a pas de solution pour récupérer les fichiers zepto.
Tout ce que vous pouvez faire, c’est vérifier que votre ordinateur n’est plus infecté par le ransomware Zepto, afin de restaurer des sauvegardes.

Notre procédure de désinfection gratuite, vous explique comment parvenir à supprimer le virus Zepto.

Supprimer le virus/ransomware Zepto



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Zepto avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Zepto avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .zepto

Vous pouvez tenter de récupérer les fichiers .zepto avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

.crypz

.crypz est une extension qui peut se positionner sur tous vos fichiers documents à la suite d’une attaque de type ransomware.
Les antivirus nomme ce rançongiciel en UltraDeCrypter.

Ces menaces ransomwares sont très répandues depuis 2016. Le virus .crypz est une de ces variantes car ils en existent beaucoup.
Le dossier suivant donne des indications sur les ransomwares : crypto-ransomware / rançongiciels chiffreurs de fichiers
Un ransomware ou raçongiciel en français sont des malwares qui cherchent à prendre en otage en chiffrant ces derniers (ou crypter). La structure des documents est donc modifiée et les documents deviennent inexploitables, enfin l’extension est aussi modifiée en .crypz

Ces menaces ransomwares sont très répandues depuis 20016.

Ransomware_crypz

Une fois les fichiers chiffrés, des messages instructions sont déposés dans chacun des dossiers. Ces fichiers vous donnent les instructions pour payer et potentiellement récupérer l’accès à vos documents.

Le contenu des fichiers instructions du ransomware .crypz

 All your files are enccrypted
    
     ID . 6F01C9EFC002

     http://eqyo4fbr5okzaysm.onion.to
     http://eqyo4fbr5okzaysm.onion.cab
     http://eqyo4fbr5okzaysm.onion.city

     Download and install Tor-Browser  http://torproject.org/projects/torbrowser.html.en

     TorLink:http://eqyo4fbr5okzaysm.onion

     Write down the information to notebook (exercise book) and reboot the computer

Le ransomware crypz en vidéo :

Pour payer la rançon, vous devez accéder à un site sur TOR donné dans les instructions du virus .crypz qui mène à un « Decrypt service »

Malheureusement, il n’existe pas de solution connu pour décrypter les fichiers .crypz
Aucune solution donc pour récupérer vos documents.
Tout ce que vous pouvez faire, c’est de vous assurer que le malware n’est plus actif.
A ce sujet, nous vous fournissons une procédure gratuit pour supprimer le ransomware .crypz

Liens connexes :

Quelques liens de désinfection .crypz

Supprimer le virus/ransomware .crypz



La procédure suivante devrait vous permettre de vous assurer que crypz n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware .crypz avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware .crypz avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus encrypted

Suite à une attaque de virus du type virus encrypted, il se peut que vos fichiers et documents deviennent inaccessibles.
En général, l’extension des documents est modifié, lorsque vous double-cliquez dessus, on vous demande avec quel programme vous souhaitez ouvrir ces derniers.

Des instructions en langue anglaise peuvent alors s’ouvrir au démarrage de l’ordinateur, ces textes contiennent alors des phrases du type :

Your documents, photos, databases and other
important files have been encrypted!

ou

All of your files were protected
by a strong encryption with RSA-2048.

ou encore

Your personal files are encrypted

ou encore exemple ci-dessous avec le message : All your files have been encrypted With RemindMe Ransomware.

virus_encrypted_RemindMe

Ce message « files encrypted » indique que malheureusement, Windows a été attaque par un ransomware ou rançongiciel que l’on peut assimiler à un virus encrypted.

Les ransomware sont des menaces informatiques très en vogue depuis 2016 qui cherche à corrompre vos documents, en les chiffrant (ou crypter si vous préférez) afin de vous demander de payer une somme d’argent pour récupérer ces derniers.
Il s’agit donc d’une exhortation numérique.

virus-encrypted-teslacrypt-ransom-note

Plusieurs variantes et familles de virus encrypted sont actuellement actif, on trouve notamment :

Malheureusement, la récupération des documents est parfois impossible. Les attaquants faisant en sorte que les fichiers ne puissent être récupérés par aucune autre manière que le paiement de la rançon.
Celle-ci est de plusieurs centaines d’euros et la paiement se fait en bitcoin à travers le réseau TOR.

Pour courronner le tout, certaines variantes du virus encrypted sont aussi capables de voler les mots de passe contenus sur l’ordinateur et les transmettre aux pirates.

Ces programmes malveillants sont distribués de trois manières différentes :

  • des campagnes d’emails malicieuses contenant des Trojan JavaScript
  • des Web Exploit
  • des attaques RDP Bruteforce visant des serveurs d’entreprises.

Notre guide vous permet de désinfecter votre ordinateur et supprimer les ransomwares et virus encrypted, cependant, nous ne pouvons vous garantir la récupération de vos documents qui ont été chiffrés (cryptés).

Comment supprimer le virus encrypted



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus encrypted avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus encrypted avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter pris en otage par le virus encrypted

Vous pouvez tenter de récupérer les fichiers avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

bitcoinrush@aol.com

bitcoinrush@aol.com est l’adresse et le nom de fichiers qui est utilisé par un ransomware (rançongiciel) qui vise les serveurs d’entreprises.
Les pirates utilisent des attaques RDP Bruteforce afin de prendre le contrôle des serveurs puis télécharger et lancer le ransomware. En général, l’accès sur le serveur se fait en administrateur, ce qui peut permettre de désactiver l’antivirus.
Les documents vont ensuite être chiffrés (cryptés) afin de rendre leur exploitation impossible, un message avec les instructions de payement en bitcoin est alors laissé comportant l’adresse email bitcoinrush@aol.com
Voici un exemple de nom de fichier chiffrés (crypté) par bitcoinrush@aol.com

548646556465.id.bitcoinrush@aol.com

Ce ransomware bitcoinrush@aol.com appartient à la famille Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure), il y a malheureusement peu de chance de récupérer les documents.
D’autre part, il est aussi possible que le virus bitcoinrush@aol.com ait des fonctionalités de stealer, c’est à dire qu’il récupère tous les mots de passe contenus sur le serveur (autres utilisateurs, client FTP etc)

Security concept: Lock on digital screen, illustration

Ce virus bitcoinrush@aol.com n’est pas vraiment nouveau,il s’agit d’une variante utilisée depuis plusieurs mois. Vous trouverez d’autres exemples sur la page Ransomware « virus-encoder ».

Ce qu’il faut faire si votre serveur a été infecté par bitcoinrush@aol.com, il faut dans un premier temps désinfecter le serveur puis rétablir les sauvegardes.
Notre guide gratuit vous aide justement à supprimer le ransomware bitcoinrush@aol.com, ce guide est entièrement gratuit et devrait vous permettre de supprimer l’intru.
Un forum d’aide vous ait aussi donné si vous désirez effectuer une vérification plus approfondi.

Supprimer le virus bitcoinrush@aol.com



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus bitcoinrush@aol.com avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus bitcoinrush@aol.com avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

RSA 4096 et extension .crypt

Un nouveau ransomware est sorti courant Avril 2016 qui reprend pour le moment les pages d’instructions du ransomware TeslaCrypt RSA-4096.
Ce ransomware RSA 4096 vise à modifier la structure des documents en les chiffrant (ou cryptage si vous préférez) et modifie l’extension de ces derniers en .crypt
Le but est donc de rendre vos documents inaccessibles et vous faire payer une sorte de rançon pour avoir à nouveau accès à ces derniers.

Voir la fiche du Ransomware RSA-4096 (extension .crypt)

C’est donc de l’extorsion de fond à travers l’accès à vos documents.

Ransomware-RSA-4096_crypt_4

Une fois les documents modifiés en .crypt, les fichiers contenant les instructions sont déposés avec les noms suivants :

de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

Voici une capture des instructions de paiement qui reprennent en réalité celles du ransomware TeslaCrypt.
Ransomware-RSA-4096_crypt_2
Ransomware-RSA-4096_crypt

Le paiement se fait, comme bien souvent, avec ce type de malware sur le réseau TOR et en bitcoin.

Ransomware-RSA-4096_crypt_3

Informations techniques Ransomware RSA 4096 .crypt

Du côté technique, ce Ransomware 4096 se présente sous la forme d’une DLL qui se charge au démarrage de Windows.
Notre analyse montre que beaucoup d’antivirus ne sont pas capables de détecter ce dernier, voici un exemple de détection :

SHA256: 9ca837ca94e581171577a62fce0892ece22874ceb93f8843b4b9bf874bc65fcd
Nom du fichier : xwizards.dll
Ratio de détection : 10 / 56
Date d’analyse : 2016-04-19 08:16:40 UTC (il y a 3 minutes)

Antivirus Résultat Mise à jour
AVG Win32/Heim 20160419
AegisLab Virus.W32.Heim!c 20160419
Avast Win64:Malware-gen 20160419
BitDefender Trojan.Generic.16379754 20160419
Bkav HW64.packed.C105 20160415
ESET-NOD32 a variant of Win64/Kryptik.AYK 20160419
Emsisoft Trojan.Generic.16379754 (B) 20160419
GData Trojan.Generic.16379754 20160419
Malwarebytes Trojan.FakeMS 20160419
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160419

Comment le Ransomware RSA 4096 .Crypt est arrivé sur votre ordinateur ?

Le ransomware RSA 4096 est distribué à partir de Web Exploit.
Aucune campagne d’emails malicieux n’a pour le moment été signalé.
Si votre ordinateur a été infecté, cela signifie que des logiciels non à jour et comportant des vulnérabilités sont présentes sur votre ordinateur et permettent son infection.
Notamment les plugins des navigateurs WEB (Adobe Flash, Java) nécessitent une attention particulière.
Cela peut aussi signifié que vous surfez avec Internet Explorer qui est un navigateur WEB beaucoup plus visé que les autres.

Comment récupérer les documents .crypt chiffrés par le Ransomware RSA 4096 ?

Malheureusement, il n’existe aucune solution pour récupérer vos documents.
Tout ce que vous pouvez faire, c’est de vous assurer que l’ordinateur n’est plus infecté par ce ransomware et que ce dernier n’est plus actif.
Une fois l’ordinateur sain, vous pouvez rétablir des sauvegardes de vos documents.

Comment supprimer le Ransomware RSA 4096 ?


Supprimer ransomware RSA-4096 extension .crypt avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version prenium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.

Malwarebytes Anti-Malware en vidéo :

Supprimer ransomware RSA-4096 extension .crypt avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer les fichiers .crypt

Tentez le programme suivant de Kaspersky : http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter les malwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Nous vous conseillons de changer tous vos mots de passe, ces derniers ont été probablement récupérés.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious

Et pour sécuriser votre ordinateur afin d’éviter les infections à l’avenir : Sécuriser votre ordinateur

Virus .XTBL

Depuis quelques jours, une nouvelle campagne d’un ransomware ancien reprend.
Cette campagne vise plus particulièrement les serveurs Windows, à travers des attaques bruteforce RDP.
Il s’agit ici de tenter de prendre la main sur un serveur Windows avec les droits administrateurs, pour désactiver les éventuelles antivirus et charger un ransomware qui va chiffrer (crypter en langage commun) les documents du serveur, voire du réseau entier.
Le but recherché et donc de prendre en otage l’accès aux documents et demander de payer une somme en bitcoin afin de rendre ces derniers à nouveau accessible.

Ce ransomware n’est pas vraiment nouveau, vous trouverez des informations sur la fiche suivante : Ransomware « virus-encoder » (Crypto-Ransomware)
Ce dernier se caractérise par l’utilisation d’extension .XTBL et l’utilisation d’adresse email de contact en @aol.com et @india.com

Les documents, en plus d’avoir leur extension modifiée en XTBL, comporte aussi un ID et une adresse email avec la syntaxe suivante :

id-6A406277.Vegclass@aol.com.xtbl

ransomware_redshitline_extension_xtbl_2 ransomware_extension_XTBL_2

Le ransomware XTBL peut ensuite modifier le fond d’écran pour afficher une image et les adresses de contacts pour le paiement.

ransomware_extension_XTBL ransomware_redshitline_extension_xtbl

Nos analyses montrent aussi que ces ransomwares ont aussi des fonctionnalités de stealer et vont chercher à voler tous les mots de passe de l’ordinateur (Windows et navigateurs WEB).
Il est fortement recommandé après l’attaque du ransomware XTBL de changer tous vots de passe.
Dans le cas d’un serveur, interdisez les mots de passe faibles.

La procédure suivante vous guide dans la désinfection de l’ordinateur et vous donne quelques conseils suite à l’attaque du virus XTBL.
Cette procédure est entièrement gratuite et sans arnaque.

Supprimer le virus XTBL



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus XTBL avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus XTBL avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Cerber Ransomware

Cerber Ransomware est un ransomware apparu fin Février 2016 et vise les systèmes Windows.
C’est un crypto-Ransomware, puisque Cerber Ransomware va chiffrer les documents de l’ordinateur en modifiant l’extension en .cerber afin de les rendre inaccessible et demander de payer une rançon via le réseau TOR.

Ce type de ransomwares qui chiffrent les documents ont explosés depuis le début de l’année 2016, avec notamment Locky Ransomware, TeslaCrypt Ransomware et CryptoWall ransomware.
La plupart du temps, il n’y a malheureusement pas de solution pour décrypter les documents.

Les fichiers contenant les instructions de paiement en anglais portent les noms suivants :

# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

 

Cerbere_Ransomware_6 Cerbere_Ransomware

Les documents chiffrés par le Ransomware Cerber avec l’extension modifiée en .cerber

cerber_documents_cryptes
Cerber en vidéo :

Cerber Ransomware est persistant dans le système à travers les clefs Run suivante, ce qui lui permet de se rendre actif au démarrage de la session Windows :

HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. )
HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe
HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe

dont voici la détection antivirus :

SHA256: 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier : SndVol.exe
Ratio de détection : 16 / 56
Date d’analyse : 2016-04-03 10:57:20 UTC (il y a 2 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20160403
Ad-Aware Gen:Variant.Razy.36318 20160403
Arcabit Trojan.Razy.D8DDE 20160403
Avira (no cloud) TR/Dropper.VB.bhdk 20160403
BitDefender Gen:Variant.Razy.36318 20160403
ESET-NOD32 Win32/Filecoder.Cerber.B 20160403
Emsisoft Gen:Variant.Razy.36318 (B) 20160403
F-Secure Gen:Variant.Razy.36318 20160403
GData Gen:Variant.Razy.36318 20160403
Malwarebytes Trojan.Injector.VB 20160403
eScan Gen:Variant.Razy.36318 20160403
Microsoft Trojan:Win32/Porest!dha 20160403
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160403
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160403
Tencent Win32.Trojan.Filecoder.Hvjd 20160403
VIPRE Trojan.Win32.Generic!BT 20160403

Microsoft peut détecter ce ransomware en Ransom:Win32/Cerber

Ransom_Win32_Cerber

ou Ransom.Cerber par Malwarebytes Anti-Malware

Ransom_Cerber_Malwarebytes

Cerber ransomware est donc actif dans le système et permet de chiffrer tous nouveaux documents qui y seront copiés.
Le ransomware Cerber peut aussi viser les partages réseaux et disques amovibles, ce qui dans un réseau d’entreprise peut causer beaucoup de dommages.

Afin de vous débarrasser du virus Cerber, nous vous recommandons de suivre la procédure suivante afin d’effectuer une désinfection complètement de l’ordinateur, vous assurer que le ransomware n’est plus actif et restaurer des sauvegardes de vos documents.

Actualité autour du Ransomware Cerber :

Comment supprimer le virus/ransomware Cerber



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Cerber avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Cerber avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0

Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .cerber

Vous pouvez tenter de récupérer les fichiers .cerber avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes avec ShadowExplorer.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus Locky (Ransomware/Rançongiciel)

Le Virus Locky est en réalité un ransomware (rançongiciel en français) qui vise à crypter les documents (en terme informatique on dit plutôt chiffrer) afin de rendre les documents impossible à ouvrir.
Des instruction seront ensuite affichées en fond d’écran vous réclament de payer une somme d’argent en Bitcoin afin de récupérer l’accès à vos documents.
Tous les documents chiffrés/cryptés par le ransomware Locky porteront l’extension .osiris
Il s’agit donc d’un crypto-Ransomware.

La fiche suivante résume très bien ce qu’est le Virus Locky : Locky Ransomware (Crypto-Ransomware) que nous allons à nouveau résumer ici.

Actuellement, ce ransomware Locky est distribué à travers des campagnes d’emails malicieux contenant des pièces jointes au format Word.
Ces campagnes Word malicieux sont en langue anglaise pour la plupart, en ouvrant el document, si la macro contenu dans le document est exécuté, le malware Locky est téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word_stopransomware

Les campagnes suivantes ont vu des emails ciblés en langue française, par exemple, de faux emails Free Mobile.

ou encore ce faux emails se faisant passer pour une société de comptabilité :

ou de fausses factures et commandes :

Voici les instructions du Virus Locky (ransomware) qui s’affiche en fond d’écran mais aussi en format texte à travers un fichier _Locky_recover_instructions.txt

Locky_Ransomware_stopransomware

ou encore cette capture d’écran des instructions du rançongiciel Locky

Locky_Ransomware_3

et un fichier _HELP_instructions.html

Locky_HELP_instructions

et voici un exemple de documents chiffrés portant l’extension .odin
Ces derniers demeurent inaccessibles.

Locky_Ransomware_4

Les instructions de paiement où vous devez vous connecter au réseau TOR pour accéder au site de paiement Locky.Locky_Ransomware_2

Microsoft peut détecté ce dernier en Ransom:Win32/Locky.A

Ransom_Win32_Locky

Concrètement donc, vos documents sont pris en otage afin de vous faire payer une somme d’argent.
Le Ransomware Locky va aussi tenter de chiffrer les documents contenus médias amovibles (clefs USB, disque dur externes) ou ressources réseaux tant que ce dernier est actif.
La récupération des documents est malheureusement impossible actuellement.
Si une solution est trouvée dans le futur, nous modifierons bien entendu cette fiche afin de donner la solution.

Tout ce que vous pouvez faire, c’est désinfecter l’ordinateur et vous assurer que le ransomware Locky n’est plus actif.
Si vous possédez des sauvegardes, rétablissez ces dernières afin de remettre en place vos documents.
La procédure gratuite suivante vous explique comment désinfecter votre ordinateur.

Liens connexes au campagne du ransomware/Virus Locky :

Supprimer le virus/ransomware Locky



La procédure suivante devrait vous permettre de vous assurer que Locky n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Locky avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Locky avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .odin

Vous pouvez tenter de récupérer les fichiers .odin avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, Comment se protéger des scripts malicieux sur Windows

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.