La menace ransomware appelée TeslaCrypt a récemment commencé à ajouter une nouvelle extension aux fichiers qu’elle a codés sur l’ordinateur d’une de ses victimes. Chaque archive, image, vidéo et document sauvegardé sur le disque dur du PC infecté est à présent pourvu de l’extension de fichier “.vvv”, qui remplace le suffixe précédent “.ccc”. Cette modification d’extension est l’un des effets causés par le fonctionnement du trojan après la mise à jour du code. Parmi les autres éléments modifiés, on peut également citer les noms des documents qui contiennent les informations concernant la rançon, ils ont été modifiés pour passer de howto_recover_file_{random}.html / txt – à how_recover+{random}.html / txt; ainsi que les passerelles Tor qui permettent d’orienter la victime sur leur page personnelle de paiement de rançon.
Ces dossiers .vvv ne peuvent pas être ouverts avec l’un des programmes par défaut ou l’une des applications tierces pour une raison évidente: Ils ont été codés sous AES (Advanced Encryption Standard) cette opération qui s’effectue grâce à un algorithme de chiffrement symétrique par bloc. Le virus peut décoder les fichiers si la victime accepte de payer une rançon en Bitcoins (jetons virtuels). La somme demandée varie, mais elle s’élève généralement à 1.5-2 BTC. Toutes les passerelles sécurisées permettant d’obtenir le service de décodage, ainsi que les instructions à suivre sont fournies dans les documents mentionnés ci-dessus intitulés howto_recover_file. Ces derniers permettent de savoir comment-récupérer des fichiers ajoutés sur le Bureau ou dans des dossiers tant que ces derniers contiennent des informations appartenant à l’utilisateur qui ont été récupérées au cours du processus.
Dans un sens, TeslaCrypt n’est pas un crypto malware banal. Pour certaines raisons, ses variantes se dissimulent sous l’apparence d’un Trojan assez commun appelé CryptoWall. Nous ignorons pourquoi les hackers choisissent de modifier son nom. Cela a sans doute un rapport avec une sorte de processus de partitionnement des données de facturation, selon le modèle affilié responsable de la rotation de ces infections. Dans tous les cas, l’extension .vvv qui a été ajoutée aux fichiers codés prouve que TeslaCrypt est bien responsable du problème. En fait, la différence opérationnelle/ de code entre les copies authentiques de ces deux virus est vraiment flagrante: le crypto standard (AES vs. RSA-2048), aspects de communication de Commande et de Contrôle, modes de distribution, etc.
Si malheureusement les fichiers sauvegardés sur le disque dur, sur les lecteurs mappés ou sur les périphériques de stockage ont été encodés et contiennent à présent l’extension .vvv, la victime peut choisir parmi différentes options: payer la rançon ou tenter d’annuler les effets causés par ce crypto malware.
Il s’agit d’une méthode très efficace pour se débarrasser des malware en général et plus particulièrement des ransomwares. Nous vous recommandons d’utiliser un logiciel antivirus efficace afin de détecter l’ensemble des composants des virus et de les supprimer en un clic. Il est important de préciser que la désinstallation des menaces et la récupération de vos fichiers sont deux opérations distinctes, mais il est évidemment nécessaire de supprimer le virus car sa présence sur votre appareil peut provoquer l’apparition d’autres Trojans.
1. Téléchargez et installez l’outil de suppression du virus extension de fichier .vvv. Après l’avoir démarré, cliquez sur le bouton Analyser l’ordinateur maintenant
Télécharger l’outil de suppression
du virus extension de fichier .vvv2. L’outil affichera ensuite les résultats du scan, en indiquant les malwares détectés. Sélectionnez l’option Réparer les menaces afin de supprimer toutes les infections existantes. Cela vous permettra de supprimer complètement le virus concerné.
Nous avons précisé que TeslaCrypt (CryptoWall) utilise un code complexe afin de rendre les fichiers inaccessibles, il n’existe donc aucune solution miracle qui permet de restaurer toutes les données codées en un clin d’œil, à part payer la rançon, ce qui reste impensable. Il existe toutefois des méthodes qui peuvent vous aider à récupérer des données importantes, nous allons vous les expliquer.
Logiciel de Récupération Automatique des Fichier
Il est important de préciser que le virus extension de fichier .vvv supprime les fichiers originaux dans une version non-chiffrée. C sont les copies qui subissent le processus d’encodage du ransomware. Des outils comme Data Recovery Pro peuvent donc permettre de restaurer les éléments supprimés, même s’ils ont été correctement effacés. Cette solution vaut la peine d’être essayée car elle s’avère particulièrement efficace.
Copies d’Ombre en Volume
Cette méthode nécessite l’utilisation de la sauvegarde Windows native des fichiers sur l’ordinateur, cette dernière est effectuée à chaque création d’un point de restauration. Condition majeure : cette méthode fonctionne si la fonctionnalité Restauration Système a été activée avant l’infection. Si des modifications ont été apportées à un fichier après la création du dernier point de restauration, elles n’apparaîtront donc pas dans la version restaurée de ce dernier.
• Utiliser les fonctionnalités des Versions Précédentes
La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
• Utiliser ShadowExplorer
Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Sauvegardes
Parmi toutes les options sans rapport avec les ransomware, cette dernière est la meilleure. Si vous avez eu l’occasion de sauvegarder vos données sur un serveur externe avant que votre PC n’ait été infecté par le ransomware, vous pourrez très facilement restaurer les fichiers qui ont été encodés par le virus extension de fichier .vvv. Il vous suffit pour cela de vous connecter sur l’interface adéquate, de sélectionner les fichiers concernés et de lancer correctement le processus de restauration. Avant d’effectuer cette opération, nous vous recommandons de supprimer complètement le ransomware de votre ordinateur.
Si vous avez décidé d’effectuer un nettoyage manuel, il est possible que certains fragments du ransomware soient toujours dissimulés dans des fichiers du système d’exploitation ou dans les entrées du registre. Nous vous recommandons d’effectuer un scan en utilisant un logiciel anti-malware fiable afin de vous assurer que tous les éléments du virus ont bien été supprimés.
Télécharger l’outil de suppression
du virus extension de fichier .vvv
