Archives par étiquette : virus encoder

bitcoinrush@aol.com

bitcoinrush@aol.com est l’adresse et le nom de fichiers qui est utilisé par un ransomware (rançongiciel) qui vise les serveurs d’entreprises.
Les pirates utilisent des attaques RDP Bruteforce afin de prendre le contrôle des serveurs puis télécharger et lancer le ransomware. En général, l’accès sur le serveur se fait en administrateur, ce qui peut permettre de désactiver l’antivirus.
Les documents vont ensuite être chiffrés (cryptés) afin de rendre leur exploitation impossible, un message avec les instructions de payement en bitcoin est alors laissé comportant l’adresse email bitcoinrush@aol.com
Voici un exemple de nom de fichier chiffrés (crypté) par bitcoinrush@aol.com

548646556465.id.bitcoinrush@aol.com

Ce ransomware bitcoinrush@aol.com appartient à la famille Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure), il y a malheureusement peu de chance de récupérer les documents.
D’autre part, il est aussi possible que le virus bitcoinrush@aol.com ait des fonctionalités de stealer, c’est à dire qu’il récupère tous les mots de passe contenus sur le serveur (autres utilisateurs, client FTP etc)

Security concept: Lock on digital screen, illustration

Ce virus bitcoinrush@aol.com n’est pas vraiment nouveau,il s’agit d’une variante utilisée depuis plusieurs mois. Vous trouverez d’autres exemples sur la page Ransomware « virus-encoder ».

Ce qu’il faut faire si votre serveur a été infecté par bitcoinrush@aol.com, il faut dans un premier temps désinfecter le serveur puis rétablir les sauvegardes.
Notre guide gratuit vous aide justement à supprimer le ransomware bitcoinrush@aol.com, ce guide est entièrement gratuit et devrait vous permettre de supprimer l’intru.
Un forum d’aide vous ait aussi donné si vous désirez effectuer une vérification plus approfondi.

Supprimer le virus bitcoinrush@aol.com



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer le virus bitcoinrush@aol.com avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer le virus bitcoinrush@aol.com avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Virus-encoder INFO@CRYPTEDFILES.BIZ

Le Virus-encoder INFO@CRYPTEDFILES.BIZ est un crypto-ransomware qui va chiffrer vos documents (en langage commun, comprendre crypter) afin de rendre les documents inaccessible.
Une rançon est alors demandé à payer afin de récupérer l’accès à ces derniers. Cette rançon s’élève à plusieurs centaines d’euros.

Les fichiers chiffrés par ce ransomware comportent l’id et l’adresse email de contact pour payer la rançon en l’occurence info@cryptedfiles.biz ou salutem@protonmail.com

RELEVE D'INFORMATIONS.PDF.id-6654782581_info@cryptedfiles.biz

Vous obtenez aussi les instructions à travers une image sur fond noir débutant par : Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithm.

ransomware_info_cryptedfiles.biz

Ces malwares de type ransomware se propagent par deux méthodes distincts :

  • par des emails malicieux – souvent avec des pièces jointes, vous exécutez le contenu de la pièce jointe, le ransomware se lance et s’installe dans l’ordinateur.
  • par des exploits sur des sites WEB par la simple visite d’un site piraté ou contenant une publicité malicieuse « malvertising ».

Dans le second cas, cela signifie que des logiciels non à jour permettent l’infection de votre ordinateur.
Ce dernier sera à sécuriser.

Malheureusement, il n’existe pas de solution pour récupérer les documents.
Une fois que le rançongiciel a fait son sale boulot, le mal est fait surtout qu’en plus, cette variante est capable de lister les ressources réseaux pour s’attaquer à d’autres ordinateurs accessibles par des partages.

La procédure suivante vous guide néanmoins dans la désinfection de votre ordinateur et devrait vous permettre de vous assurer que le Virus-encoder INFO@CRYPTEDFILES.BIZ n’est plus actif dans l’ordinateur.

Supprimer le virus-encoder INFO@CRYPTEDFILES.BIZ



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer virus-encoder INFO@CRYPTEDFILES.BIZ avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer virus-encoder INFO@CRYPTEDFILES.BIZ avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

CryptoWall 4.0 – HELP_FILE_

Cryptowall est un ransomware chiffreurs de fichiers ou crypto-ranwomare, des plus actifs depuis fin 2013.
La première version se nommait CryptorBit qui est devenue par la suite BitDecrypt puis CryptoDefense et enfin CryptoWall. Le nom n’a pas changé depuis, la version actuelle est CryptoWall 4.0

Cryptowall est donc un ransomware chiffreurs de fichiers, le principe consiste, une fois l’insfection active de chiffrer les documents contenus dans l’ordinateur.
Ces derniers ne seront plus accessibles par l’utilisateur, bien souvent, l’extension est modifiée par le ransomware.
Dans le cas de CryptoWall, le nom et l’extension devient aléatoire.
L’utilisateur ne saura même plus de quel type de fichiers il s’agit (photo, vidéo, images etc).

Pour récupérer l’accès à vos documents, il faudra payer une rançon.
Cela peut aller de 250 à 500 euros.

Le ransomware Cryptowall place ensuite des fichiers HELP_FILES, dans chaque dossier mais aussi au démarrage de l’ordinateur.
Ce fichier HELP_FILES contient les instructions de paiements.

Voici le contenu :

Cryptowall – HELP_YOUR_FILES

 

Cryptowall – HELP_FILES

Exemple de fichiers chiffrés par Cryptowall 4.0 – HELP_FILES

CryptoWall_Help_File

Tant que le ransomware sera actif sur l’ordinateur, tout document utilisé sera à son tour chiffré et son accès impossible.
Cryptowall peut aussi se connecter aux ordinateurs par le réseau et tenter de modifier les documents accessibles par les partages.

Malwarebytes Anti-Malware peut détecter ce dernier en Ransom.CryptoWall

Malwarebytes_Ransom_CryptoWall

Ce ransomware Cryptowall se propage de deux manières différentes :

Dans le premier cas, cela signifie que vous avez ouvert une pièce jointe malicieuse, celle-ci est majoritairement au format zip mais peut dans certains cas être au format Word ou Excel.

Dans le second cas, cela signifie que des logiciels ne sont pas à jour sur l’ordinateur et possède des vulnérabilités qui permettent l’infection de votre ordinateur à la simple visite d’un site WEB et ceci de manière automatique.

Supprimer Cryptowall 4.0 – HELP_FILES



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Supprimer Cryptowall 4.0 – HELP_FILES avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer Cryptowall 4.0 – HELP_FILES avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.

Ransomware RSA-4096 (Virus)

Si les extensions de vos documents ont été modifiées en .jpg ou .mp3 – cela signifie que votre ordinateur a été infecté par le ransomware TeslaCrypt RSA-4096.
Il s’agit donc d’un rançongiciels qui va prendre en otage vos documents en chiffrant (crypter si vous préférez) et vous demander de payer une somme d’argent pour retrouver l’accès à ces derniers.

Le ransomware TeslaCrypt RSA-4096 existe depuis plusieurs mois et est particulièrement actif depuis plusieurs jours suite à des campagnes de mails piégés.

Plus d’informations sur ce virus RSA-4096 en variante,vous pouvez vous reporter à la page  : Mail malicieux : TeslaCrypt Ransomware (virus RSA 4096)

Ne pas confondre avec le Ransomware RSA 4096 .crypt qui appartient à une autre famille de virus RSA.4096.

Pour la variante RSA-4096 en extension .vvv – Il est possible de récupérer ces fichiers une fois le ransomware supprimé, voir la procédure : Décrypter/récupérer ses fichiers .vvv

Voici un exemple de ces mails piégés, une fois la piège jointe ouverte et exécutée, le ransomware est téléchargé et s’installe sur l’ordinateur.
ci-dessous un mail avec une pièce jointe Zip qui contient un JavaScript malicieux qui télécharge et lance le dropper TeslaCrypt.

TeslaCrypt_Campagne_mail_JSou encore des mails avec des fichiers doc malicieux qui vont aussi télécharger et installer le ransomware modifiant les extensions en .vvv (selon la variante RSA-4096, l’extension peut être différente)

TeslaCrypt_campagne_Word_malicieuxpuis les instructions de paiements de TeslaCrypt RECOVERxxxx s’ouvrent dans divers formats.
Le paiement se fait sur un site qui se trouve sur le réseau TOR.

TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES_3 TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES_2
Une fois le malware exécuté, le mal est fait et l’accès à vos documents devient impossible.
L’extension de vos documents a été modifiée en .jpg
Il n’y a malheureusement aucun moyen pour récupérer l’accès à vos documents.

Ransomware_extension_vvvTout ce que vous pouvez faire c’est vous assurer que le malware RSA-4096 n’est plus actif pour ne plus qu’aucun nouveau document sur l’ordinateur soit chiffré.

A l’avenir, nous vous recommandons d’avoir la plus grande prudence lors de l’ouverture des pièces jointes par mail.

La procédure suivante vous explique comment désinfecter gratuitement votre ordinateur.
Cette procédure devrait vous permettre de supprimer le Ransomware RSA-4096 (TeslaCrypt)

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

Comment supprimer ransomware RSA-4096 extension .jpg de son ordinateur ?


Supprimer ransomware RSA-4096 extension .jpg avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version prenium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.

Malwarebytes Anti-Malware en vidéo :

Supprimer ransomware RSA-4096 extension .jpg avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32

NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

TeslaCrypt: Décrypter/Récupérer ses documents

Comment décrypter les fichiers du ransomware TeslaCrypt.
Il est en effet maintenant possible de récupérer les fichiers chiffrés par TeslaCrypt, toutes les variantes :
extension .mp3
extension .micro
extension .ttt
extension .jpg
extension .vvv

Procédure de récupération des fichiers TeslaCrypt : Récupérer ses fichiers/documents chiffrés par TeslaCrypt
En vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter les malwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Nous vous conseillons de changer tous vos mots de passe, ces derniers ont été probablement récupérés.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious

Et pour sécuriser votre ordinateur afin d’éviter les infections à l’avenir : Sécuriser votre ordinateur

Cryptowall HELP_YOUR_FILES

Cryptowall est un ransomware chiffreurs de fichiers, des plus actifs depuis fin 2013.
La première version se nommait CryptorBit qui est devenue par la suite BitDecrypt puis CryptoDefense et enfin CryptoWall. Le nom n’a pas changé depuis.

Cryptowall est donc un ransomware chiffreurs de fichiers, le principe consiste, une fois l’insfection active de chiffrer les documents contenus dans l’ordinateur.
Ces derniers ne seront plus accessibles par l’utilisateur, bien souvent, l’extension est modifiée par le ransomware.
Dans le cas de CryptoWall, le nom et l’extension devient aléatoire.
L’utilisateur ne saura même plus de quel type de fichiers il s’agit (photo, vidéo, images etc).

Pour récupérer l’accès à vos documents, il faudra payer une rançon.
Cela peut aller de 250 à 500 euros.

Le ransomware Cryptowall place ensuite des fichiers HELP_YOUR_FILES, dans chaque dossier mais aussi au démarrage de l’ordinateur.
Ce fichier HELP_YOUR_FILES contient les instructions de paiements.

Voici le contenu :

Cryptowall – HELP_YOUR_FILES

Cryptowall – HELP_YOUR_FILES

Tant que le malware sera actif sur l’ordinateur, tout document utilisé sera à son tour chiffré et son accès impossible.
Cryptowall peut aussi se connecter aux ordinateurs par le réseau et tenter de modifier les documents accessibles par les partages.

Ce ransomware Cryptowall se propage de deux manières différentes :

Dans le premier cas, cela signifie que vous avez ouvert une pièce jointe malicieuse, celle-ci est majoritairement au format zip mais peut dans certains cas être au format Word ou Excel.

Dans le second cas, cela signifie que des logiciels ne sont pas à jour sur l’ordinateur et possède des vulnérabilités qui permettent l’infection de votre ordinateur à la simple visite d’un site WEB et ceci de manière automatique.

Supprimer Cryptowall



La procédure suivante devrait vous permettre de vous assurer que CryptoWall n’est plus actif sur l’ordinateur.
Cette procédure est gratuite, en cas de soucis ou questions, un lien vers un forum d’entraide informatique vous ait communiquée.

Nettoyer sur Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
  • A la fin de l’installation, décochez l’option qui propose de tester la version premium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32
NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Supprimer les fichiers HELP_YOUR_FILES / HELP_DECRYPT

L’infection va placer des fichiers HELP_DECRYPT ou HELP_YOUR_FILES dans chaque dossier.

Vous devez faire une recherche de fichiers afin de tous les supprimer les fichiers HELP_YOUR_FILES ou HELP_DECRYPT

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter mes ransomwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques liens pour sécuriser votre ordinateur.

Pour prévenir les sites malicieux, vous pouvez installer Blockulicious : Blockulicious

Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur.