RSA 4096 et extension .crypt

Un nouveau ransomware est sorti courant Avril 2016 qui reprend pour le moment les pages d’instructions du ransomware TeslaCrypt RSA-4096.
Ce ransomware RSA 4096 vise à modifier la structure des documents en les chiffrant (ou cryptage si vous préférez) et modifie l’extension de ces derniers en .crypt
Le but est donc de rendre vos documents inaccessibles et vous faire payer une sorte de rançon pour avoir à nouveau accès à ces derniers.

Voir la fiche du Ransomware RSA-4096 (extension .crypt)

C’est donc de l’extorsion de fond à travers l’accès à vos documents.

Ransomware-RSA-4096_crypt_4

Une fois les documents modifiés en .crypt, les fichiers contenant les instructions sont déposés avec les noms suivants :

de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

Voici une capture des instructions de paiement qui reprennent en réalité celles du ransomware TeslaCrypt.
Ransomware-RSA-4096_crypt_2
Ransomware-RSA-4096_crypt

Le paiement se fait, comme bien souvent, avec ce type de malware sur le réseau TOR et en bitcoin.

Ransomware-RSA-4096_crypt_3

Informations techniques Ransomware RSA 4096 .crypt

Du côté technique, ce Ransomware 4096 se présente sous la forme d’une DLL qui se charge au démarrage de Windows.
Notre analyse montre que beaucoup d’antivirus ne sont pas capables de détecter ce dernier, voici un exemple de détection :

SHA256: 9ca837ca94e581171577a62fce0892ece22874ceb93f8843b4b9bf874bc65fcd
Nom du fichier : xwizards.dll
Ratio de détection : 10 / 56
Date d’analyse : 2016-04-19 08:16:40 UTC (il y a 3 minutes)

Antivirus Résultat Mise à jour
AVG Win32/Heim 20160419
AegisLab Virus.W32.Heim!c 20160419
Avast Win64:Malware-gen 20160419
BitDefender Trojan.Generic.16379754 20160419
Bkav HW64.packed.C105 20160415
ESET-NOD32 a variant of Win64/Kryptik.AYK 20160419
Emsisoft Trojan.Generic.16379754 (B) 20160419
GData Trojan.Generic.16379754 20160419
Malwarebytes Trojan.FakeMS 20160419
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160419

Comment le Ransomware RSA 4096 .Crypt est arrivé sur votre ordinateur ?

Le ransomware RSA 4096 est distribué à partir de Web Exploit.
Aucune campagne d’emails malicieux n’a pour le moment été signalé.
Si votre ordinateur a été infecté, cela signifie que des logiciels non à jour et comportant des vulnérabilités sont présentes sur votre ordinateur et permettent son infection.
Notamment les plugins des navigateurs WEB (Adobe Flash, Java) nécessitent une attention particulière.
Cela peut aussi signifié que vous surfez avec Internet Explorer qui est un navigateur WEB beaucoup plus visé que les autres.

Comment récupérer les documents .crypt chiffrés par le Ransomware RSA 4096 ?

Malheureusement, il n’existe aucune solution pour récupérer vos documents.
Tout ce que vous pouvez faire, c’est de vous assurer que l’ordinateur n’est plus infecté par ce ransomware et que ce dernier n’est plus actif.
Une fois l’ordinateur sain, vous pouvez rétablir des sauvegardes de vos documents.

Comment supprimer le Ransomware RSA 4096 ?


Supprimer ransomware RSA-4096 extension .crypt avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version prenium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.

Malwarebytes Anti-Malware en vidéo :

Supprimer ransomware RSA-4096 extension .crypt avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer les fichiers .crypt

Tentez le programme suivant de Kaspersky : http://media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter les malwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Nous vous conseillons de changer tous vos mots de passe, ces derniers ont été probablement récupérés.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious

Et pour sécuriser votre ordinateur afin d’éviter les infections à l’avenir : Sécuriser votre ordinateur