Conti Ranwomware

Conti Ranwomware est un ransomware très actif visant les entreprises et différentes autres entités (Etats, collectivités locales, hopitaux, …).

Qu’est-ce que Conti Ransomware ?

Conti Ransomware est un crypto-ransomware qui bloque l’accès à vos fichiers et documents.
Pour cela, il chiffre tous les fichiers avec des extensions spécifiques tels que .docx, .xls, .txt, .zip, .rar, etc.
Ensuite il dépose un fichier de note avec les instructions de paiement.
Le message explique que la victime doit payer une rançon en bitcoins, si la victime paye vite la rançon est moins élevée, sinon elle double dans le temps.
C’est donc de l’extorsion d’argent à travers un chantage pour récupérer l’accès à vos données.

Avec Ryuk, Revil/Sodinokibi, Conti est un ransomware parmi les plus actifs et les plus dévastateur.
Il est proposé en mode RaaS ce qui permet à plusieurs groupes différents de le diffuser.

En juillet, nous avons assisté à une campagne BazarLoader qui a déployé Cobalt Strike, Trickbot et s’est terminée par un cryptage à l’échelle du domaine à l’aide du ransomware Conti.
Après l’installation de Cobalt Strike, les attaquants utilisent des scripts PowerShell et Wmic afin d’obtenir des informations sur le serveur et l’environnement.
A partir de là, ils tentent de s’étendre latéralement dans le réseau en s’attaquant à d’autres serveurs notamment à travers des accès RDP.
Le but est d’identifier et obtenir la main sur le contrôle de domaine et le serveur de fichiers dans le réseau.
Une fois ces étapes achevées, les attaquants volent et extraient des données du serveur de fichiers en utilisant WinSCP.
Enfin il charge le ransomware Conti pour chiffrer les données et demander à payer une rançon en retour de l’accès aux données.

Les attaques du Conti Ranwomware sont très dévastatrices car les attaquants sont rôdés depuis des années.
Ainsi, elles sont de plus en plus précises et efficaces.
Par exemple, les attaquants s’efforcent de saboter les sauvegardes afin de s’assurer qu’une récupération des données n’est pas possible.

Type de menaceRansomware, Crypto-Ransomware
Exemple de famille de menaceAko
Conti
STOP/DJU Ransomware
Phobos Ransomware
Revil / Sodinokibi
LockBit
Détections de la menaceHEUR:Trojan-Ransom.Win32.Generic
Ransom:Win32/
Win32:RansomX-gen [Ransom]
Win32/Filecoder
Trojan.Win32.Filecoder
Generic.Ransom
Fonctionnalité supposéeChiffre les fichiers de la victime
SymptômesVous n’avez plus accès à vos fichiers.
Un fichier de note avec les instructions de paiements est présents à différents emplacement du système
Dommage sur le systèmeVous ne pouvez plus accéder à vos données
Fiche des crypto-ransomware

Comment supprimer Conti Ransomware ?

Supprimer Conti Ransomware avec MBAM

  • Téléchargez puis installez Malwarebytes Anti-Malware
  • Laissez vous guider pour effectuer les premières configurations
  • Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
  • A l’issu du scan, supprimez toutes les menaces détectées
  • Enfin redémarrez votre PC si MBAM le demande
Supprimer les virus avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware en vidéo :

https://youtu.be/7lp9iP9_yQA

Supprimer Conti Ransomware avec RogueKiller

  • Téléchargez puis installez RogueKiller
  • Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller
  • Laissez le scan s’effectuer, cela va prendre du temps
  • Enfin supprimer toutes les menaces détectées
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller

Supprimer Conti Ransomware avec NOD32

  • Téléchargez puis exécutez esetonelinescanner.exe
  • Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
Faire un scan en ligne NOD32 pour supprimer les virus
  • Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
  • Enfin placez tous les éléments détectés en quarantaine

Scan NOD32 en vidéo :

Comment récupérer les fichiers du Conti Ransomware

Vous pouvez tenter de récupérer les fichiers chiffrés par le crypto-ransomware avec les versions précédentes de Windows, pour cela, rendez-vous sur la page : Comment restaurer les versions précédentes de fichiers sur Windows.

Pour d’éventuelle solution pour récupérer vos documents chiffrés en suivant les pages suivantes :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Comment protéger son PC des virus

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.