Archives par étiquette : Filecoder

Virus Locky (Ransomware/Rançongiciel)

Le Virus Locky est en réalité un ransomware (rançongiciel en français) qui vise à crypter les documents (en terme informatique on dit plutôt chiffrer) afin de rendre les documents impossible à ouvrir.
Des instruction seront ensuite affichées en fond d’écran vous réclament de payer une somme d’argent en Bitcoin afin de récupérer l’accès à vos documents.
Tous les documents chiffrés/cryptés par le ransomware Locky porteront l’extension .osiris
Il s’agit donc d’un crypto-Ransomware.

La fiche suivante résume très bien ce qu’est le Virus Locky : Locky Ransomware (Crypto-Ransomware) que nous allons à nouveau résumer ici.

Actuellement, ce ransomware Locky est distribué à travers des campagnes d’emails malicieux contenant des pièces jointes au format Word.
Ces campagnes Word malicieux sont en langue anglaise pour la plupart, en ouvrant el document, si la macro contenu dans le document est exécuté, le malware Locky est téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word_stopransomware

Les campagnes suivantes ont vu des emails ciblés en langue française, par exemple, de faux emails Free Mobile.

ou encore ce faux emails se faisant passer pour une société de comptabilité :

ou de fausses factures et commandes :

Voici les instructions du Virus Locky (ransomware) qui s’affiche en fond d’écran mais aussi en format texte à travers un fichier _Locky_recover_instructions.txt

Locky_Ransomware_stopransomware

ou encore cette capture d’écran des instructions du rançongiciel Locky

Locky_Ransomware_3

et un fichier _HELP_instructions.html

Locky_HELP_instructions

et voici un exemple de documents chiffrés portant l’extension .odin
Ces derniers demeurent inaccessibles.

Locky_Ransomware_4

Les instructions de paiement où vous devez vous connecter au réseau TOR pour accéder au site de paiement Locky.Locky_Ransomware_2

Microsoft peut détecté ce dernier en Ransom:Win32/Locky.A

Ransom_Win32_Locky

Concrètement donc, vos documents sont pris en otage afin de vous faire payer une somme d’argent.
Le Ransomware Locky va aussi tenter de chiffrer les documents contenus médias amovibles (clefs USB, disque dur externes) ou ressources réseaux tant que ce dernier est actif.
La récupération des documents est malheureusement impossible actuellement.
Si une solution est trouvée dans le futur, nous modifierons bien entendu cette fiche afin de donner la solution.

Tout ce que vous pouvez faire, c’est désinfecter l’ordinateur et vous assurer que le ransomware Locky n’est plus actif.
Si vous possédez des sauvegardes, rétablissez ces dernières afin de remettre en place vos documents.
La procédure gratuite suivante vous explique comment désinfecter votre ordinateur.

Liens connexes au campagne du ransomware/Virus Locky :

Supprimer le virus/ransomware Locky



La procédure suivante devrait vous permettre de vous assurer que Locky n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus/ransomware Locky avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus/ransomware Locky avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Récupérer/Décrypter vos documents en .odin

Vous pouvez tenter de récupérer les fichiers .odin avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Windows et versions précédentes.

Pour d’éventuels utilitaire de récupération de fichiers/décryptage.
Surveillez la page suivante, pour une mise à disposition d’un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, Comment se protéger des scripts malicieux sur Windows

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus-encoder INFO@CRYPTEDFILES.BIZ

Le Virus-encoder INFO@CRYPTEDFILES.BIZ est un crypto-ransomware qui va chiffrer vos documents (en langage commun, comprendre crypter) afin de rendre les documents inaccessible.
Une rançon est alors demandé à payer afin de récupérer l’accès à ces derniers. Cette rançon s’élève à plusieurs centaines d’euros.

Les fichiers chiffrés par ce ransomware comportent l’id et l’adresse email de contact pour payer la rançon en l’occurence info@cryptedfiles.biz ou salutem@protonmail.com

RELEVE D'INFORMATIONS.PDF.id-6654782581_info@cryptedfiles.biz

Vous obtenez aussi les instructions à travers une image sur fond noir débutant par : Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithm.

ransomware_info_cryptedfiles.biz

Ces malwares de type ransomware se propagent par deux méthodes distincts :

  • par des emails malicieux – souvent avec des pièces jointes, vous exécutez le contenu de la pièce jointe, le ransomware se lance et s’installe dans l’ordinateur.
  • par des exploits sur des sites WEB par la simple visite d’un site piraté ou contenant une publicité malicieuse « malvertising ».

Dans le second cas, cela signifie que des logiciels non à jour permettent l’infection de votre ordinateur.
Ce dernier sera à sécuriser.

Malheureusement, il n’existe pas de solution pour récupérer les documents.
Une fois que le rançongiciel a fait son sale boulot, le mal est fait surtout qu’en plus, cette variante est capable de lister les ressources réseaux pour s’attaquer à d’autres ordinateurs accessibles par des partages.

La procédure suivante vous guide néanmoins dans la désinfection de votre ordinateur et devrait vous permettre de vous assurer que le Virus-encoder INFO@CRYPTEDFILES.BIZ n’est plus actif dans l’ordinateur.

Supprimer le virus-encoder INFO@CRYPTEDFILES.BIZ



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer virus-encoder INFO@CRYPTEDFILES.BIZ avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer virus-encoder INFO@CRYPTEDFILES.BIZ avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Trojan Crypteur

Trojan Crypteur est un nom donné par les internautes pour désigner des détections trojan crypter ou des messages provenant de ransomwares (rançonlogiciel en français) qui chiffrent les documents.
Le but de ces ransomwares est d’empêcher l’accès à vos documents et vous demander de payer une rançon pour récupérer leur accès.
C’est donc une prise en otage de vos documents afin d’obtenir de vous le paiement d’une somme.

En général, l’extension des fichiers documents sont modifiés et vous trouvez soit un fichier texte, soit un fichier HTML avec les instructions.
Par fois le ransomware change aussi le fond d’écran pour informer que vous avez été infecté et donne les instructions pour effectuer le paiement.

Par exemple, voici des instructions en anglais pour payer la rançon.

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES

Malheureusement, il n’existe en général, aucun moyen pour récupérer ses documents.

Actuellement, deux ransomwares sortent du lot par leurs propagations assez fortes :

Par exemple, Microsoft peut détecter TeslaCrypt en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

et Malwarebytes Anti-Malware peut détecter CryptoWall en Ransom.CryptoWallMalwarebytes_Ransom_CryptoWall

Ces ransomware Trojan Crypteur se propagent de deux manières différentes :

Dans le premier cas, cela signifie que vous avez ouvert une pièce jointe malicieuse, celle-ci est majoritairement au format zip mais peut dans certains cas être au format Word ou Excel.

Dans le second cas, cela signifie que des logiciels ne sont pas à jour sur l’ordinateur et possède des vulnérabilités qui permettent l’infection de votre ordinateur à la simple visite d’un site WEB et ceci de manière automatique.

Malheureusement, il est impossible de récupérer les documents, vous devez cependant vous assurer que le ransomware n’est plus actif, puisque tout nouveau document créé sera sinon chiffré à son tour.

Supprimer Trojan Crypteur



La procédure suivante devrait vous permettre de vous assurer que Trojan Crypteur n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer Trojan Crypteur avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer Trojan Crypteur avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Ransomware TeslaCrypt .mp3 (_RECOVERxxxx_)

TeslaCrypt est une famille de ransomware chiffreurs de fichiers des plus actifs avec Cryptowall.
Pour rappel les ransomwares chiffreurs de fichiers sont des malwares qui prennent en otage vos documents, le ransomware va empêcher l’accès à vos documents en les chiffrant et vous demande de payer une somme pour récupérer leur accès.
En général, au bout du compte, vos documents sont perdus.

Ce ransomware TeslaCrypt se propage de deux manières différentes :

Dans le cas du ransomware TeslaCrypt, l’extension des documents est modifié en .jpg ou .mp3

TeslaCrypt_extension_ccc

puis un fichier RECOVERxxxx s’ouvre avec les instructions pour payer.
Celles-ci demandent de se connecter au réseau TOR et certains sites en particulier pour effectuer le paiement.
L’utilisateur doit indiquer la clef de cryptage fournit dans les instructions pour récupérer le fichier qui permettrai (soit disant) de récupérer les documents.
Bien entendu, aucune garantie.

On notera que la page suivante ressemble beaucoup au première version de Cryptowall.
La version HTML du fichier RECOVERxxxx

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES

puis RECOVERxxxx en version image :

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_2

et enfin RECOVERxxxx au format texte :

TeslaCrypt_extension_ccc_HOW_TO_RESTORE_FILES_3

Le contenu du texte :

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
____________________________________________________________________________________________________________________________________________
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
____________________________________________________________________________________________________________________________________________

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
2. http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
3. https://3st7uyjfocyourll.onion.to/1717617A27149ED

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 3st7uyjfocyourll.onion/1717617A27149ED
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://hfy28djd6dh.rg7hdts4d2sjfy.com/1717617A27149ED
http://fg347djvb.poin84mdgu9e.com/1717617A27149ED
https://3st7uyjfocyourll.onion.to/1717617A27149ED
Your personal page (using TOR): 3st7uyjfocyourll.onion/1717617A27149ED
Your personal identification number (if you open the site (or TOR 's) directly): 1717617A27149ED

La détection du sample TeslaCrypt observé :

SHA256: eed0eed86632ea74289e4ab2fccd0dcb27b5a9b754a7f6fc23287720cb7c38bd
Nom du fichier : bbhiy-a.exe
Ratio de détection : 31 / 54
Date d’analyse : 2015-11-09 17:52:00 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2852538 20151109
AVG Crypt5.KBN 20151109
AVware Trojan.Win32.Generic!BT 20151109
AhnLab-V3 Win-Trojan/Malpacked6.Gen 20151109
Arcabit Trojan.Generic.D2B86BA 20151109
Avast Win32:Malware-gen 20151109
Avira TR/Crypt.ZPACK.203958 20151109
Baidu-International Trojan.Win32.Filecoder.EM 20151109
BitDefender Trojan.GenericKD.2852538 20151109
DrWeb Trojan.Encoder.2883 20151109
ESET-NOD32 Win32/Filecoder.EM 20151109
Emsisoft Trojan.GenericKD.2852538 (B) 20151109
F-Secure Trojan.GenericKD.2852538 20151109
Fortinet W32/Filecoder.EM!tr 20151109
GData Trojan.GenericKD.2852538 20151109
Ikarus Trojan.Win32.Filecoder 20151109
K7AntiVirus Trojan ( 004b56ff1 ) 20151109
K7GW Trojan ( 004b56ff1 ) 20151109
Kaspersky UDS:DangerousObject.Multi.Generic 20151109
Malwarebytes Ransom.TeslaCrypt 20151109
McAfee GenericR-EZE!2E7F7CC9A815 20151109
McAfee-GW-Edition Artemis!Trojan 20151109
MicroWorld-eScan Trojan.GenericKD.2852538 20151109
Microsoft Ransom:Win32/Tescrypt!rfn 20151109
NANO-Antivirus Trojan.Win32.Encoder.dyntfa 20151109
Panda Trj/Genetic.gen 20151109
Sophos Mal/Generic-S 20151109
Symantec Trojan.Gen 20151109
Tencent Win32.Trojan.Inject.Auto 20151109
VIPRE Trojan.Win32.Generic!BT 20151109
nProtect Trojan.GenericKD.2852538 20151109

 

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

La récupération des documents est possible.
Ici il faudra tout de même désinfecter votre ordinateur afin de ne pas chiffrer les nouveaux documents qui seront utilisés sur l’ordinateur.

La procédure gratuite suivante devrait vous permettre de désinfecter votre ordinateur, cette procédure est totalement gratuite.

Comment supprimer TeslaCrypt (RSA 4096)


Nettoyer sur Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware :https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
NOD32 en vidéo :

Supprimer les fichiers RECOVERxxxx

Les fichiers RECOVERxxxx sont créés dans chaque dossier.
Vous devez faire une recherche de fichiers afin de tous les supprimer.

Vous avez aussi au démarrage de l’ordinateur car dans le menu Démarrer / Tous Programmes / Démarrage

TeslaCrypt: Décrypter/Récupérer ses documents

Comment décrypter les fichiers du ransomware TeslaCrypt.
Il est en effet maintenant possible de récupérer les fichiers chiffrés par TeslaCrypt, toutes les variantes :
extension .mp3
extension .micro
extension .ttt
extension .jpg
extension .vvv

Procédure de récupération des fichiers TeslaCrypt : Récupérer ses fichiers/documents chiffrés par TeslaCrypt
En vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Help Decrypt

Les fichiers HELP_DECRYPTION contiennent les instructions pour récupérer l’accès à vos documents, si vous avez ces fichiers, cela signifie que malheureusement votre ordinateur a été infecté par un ransomware chiffreurs de fichiers.

Un ransomware chiffreur de fichiers est un malware qui va chiffrer tous vos documents et vous demander de payer une somme pour récupérer l’accès à ces derniers. En l’occurrence dans votre cas, il s’agit probablement de la variante CryptoWall.

En général, les instructions demandent à se connecter à un site via le réseau TOR.

Cryptowall HELP_DECRYPT

Cryptowall Help Decrypt

Malheureusement, il n’existe aucune solution pour récupérer l’accès à vos documents, ces derniers sont perdus.

Comment ce ransomware est arrivé sur votre ordinateur ?

En d’autre terme, soit vous vous êtes fait avoir par un mail avec une pièce jointe infectée, notez qu’il existe des campagnes de mails malicieux en français avec des documents Word/Excel malicieux.

ou votre ordinateur est vulnérable aux exploits WEB.

Afin de vous débarrasser du ransomware help decrypt, vous allez donc devoir désinfecter votre ordinateur, changer les mots de passe et le sécuriser afin de pouvoir éviter les infections à l’avenir.

Sachez que la procédure suivante, contrairement à beaucoup de sites de désinfections ne proposent pas d’antispywares payants.
En effet, beaucoup de sites de désinfections ne sont que des vitrines pour vous faire installer un antispyware payant qui va analyser l’ordinateur et vous demander de payer pour retirer les détections.

Sur supprimer-trojan.com toutes les procédures sont basées sur des logiciels gratuites.
Ces procédures sont détaillées avec des tutorials en images et vidéos qui devraient vous permettre de suivre la procédure facilement.

Continue reading “Help Decrypt” »