Table des matières
Cr1ptT0r exploite les vulnérabilités d’un firmware obsolète pour se faire installer sur les systèmes informatiques. Plus précisément, il cible le DNS-320 de D-Link. Ce dernier est un système embarqué destiné à stocker des données sous la forme d’un NAS (Network Attached Storage). Le NAS permet de stocker et de partager des données dans son propre système de fichiers. Les données ne sont généralement pas mises en ligne. Lorsqu’il le fait, comme dans le cas du DNS-320, il y a un risque énorme de rançon et d’autres invasions virales.
Cr1ptT0r n’est pas une menace très connue. Son taux de détection par les principaux éditeurs de logiciels de sécurité reste très faible. Cela augmente encore l’exposition des dispositifs cibles à ses attaques. Une fois que le logiciel rançon a terminé son installation, il procède à l’analyse de la mémoire disponible. Les dommages les plus importants signalés jusqu’à présent sont dus au cryptage des données sur le NAS affecté. Cela pourrait être une préoccupation pour les utilisateurs multiples partageant le NAS. L’information stockée sur un tel système embarqué a généralement une certaine valeur commerciale. L’enjeu est de taille.
Le prix exigé par le logiciel de rançon est disponible sur la demande de rançon qu’il délivre à l’atterrissage. Le fichier _FILES_ENCRYPTED_README.txt fournit une introduction standard qui prétend que le cryptage a été appliqué aux fichiers du périphérique en question. D’autres détails, selon son message, sont disponibles sur le site openbazaar.com. Il s’agit en fait d’un point de contact pour le décryptage contre rançon qui vend le décryptage aux victimes. Le prix se situe actuellement autour de 0,3 BTC (environ USD 1200). Les victimes peuvent également décrypter un fichier particulier pour 20 USD.
En ce qui concerne le virus lui-même et son comportement, il s’agit d’un binaire ELF ARM qui utilise un cryptage asymétrique avec une clé publique 256 bits. La clé elle-même est disponible dans le fichier « cr1ptt0r_logs.txt » déposée dans le cadre du rançongiciel. La clé ne correspond pas à la clé privée, donc inutile à des fins de décryptage. Cependant, le fichier peut être utile pour le décryptage car il contient la liste des fichiers brouillés par le logiciel de rançon. La conclusion importante à en tirer est que les victimes ne devraient pas retirer le Cr1ptT0r avant d’avoir procédé à l’examen en bonne et due forme de ses composants. Une fois l’examen terminé, l’élimination du Cr1ptT0r est indispensable.
Le logiciel de rançon n’ajoute pas d’extension visible aux fichiers qu’il chiffre. Les chercheurs en informatique ont reconnu son nom à partir de la signature de fin de fichier, qui ne fait pas partie du nom du fichier tel qu’il est vu par les utilisateurs.
Suppression automatique du rançongiciel Cr1ptT0r
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Cr1ptT0r
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer des fichiers cryptés par Cr1ptT0r ransomware
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Cr1ptT0r crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifier si Cr1ptT0r a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.