Table des matières
Un nombre croissant d’utilisateurs de Windows ont découvert que les extensions de leurs fichiers personnels ont été changés en .micro. C’est l’un des symptômes principaux d’une attaque ransomware de la nouvelle édition de TeslaCrypt 3.0, un crypto virus qui bloque les données et extorque de l’argent en échange du décryptage. La 3ème génération la plus récente de cette menace met ses victimes dans une situation perplexe où la seule manière efficace de retrouver ses fichiers est de payer.
TeslaCrypt a été connu pendant presque un an. Il a commandé comme un cheval de Troie ransom peu ordinaire qui visait les données liées aux jeux d’ordinateur avec des fichiers personnels. Suivit par l’imitateur Alpha Crypt sorti peu après, l’infection a éventuellement continué sa croisade sous le nom initial et a obtenu quelques améliorations depuis. Chaque nouvelle itération inclura un nombre de corrections de bugs qui se trouvent dans la communauté sécuritaire, mais la dernière version est sans doute la plus avancée. Les chercheurs ont mis au point un utilitaire de récupération appelé TeslaDecoder, qui était capable de décrypter les éléments qui ont eu les extensions suivantes qui leur ont été annexés sur les PCs infectés : .ecc, .exx, .ezz, .xyz, .zzz, .aaa, .abc, .ccc et .vvv. La construction fraîche du cheval de Troie ajoutant des chaînes .micro aux fichiers, malheureusement, ne peuvent pas être combattus de cette manière.
La spécialité qui permettait auparavant la restauration était un défaut de gestion des clés manqué par les fraudeurs. Depuis que le ransomeware utilise la norme AES pour conduire le cryptage, la clé privée et publique sont les mêmes. Un des fichiers stockant la clé (key.dat ou storage.bin) est gardée dans l’ordinateur contaminé, ce qui permet à l’outil de trouver les détails demandés pour décrypter l’information. Dans le cas du variant des extensions .micro, .ttt ou .xx, le flux d’échange de clé a été changé pour que cette technique devienne inefficace. La clé n’est plus laissée sur la machine – elle est envoyée à un serveur de sécurité contrôlé par les mauvais gars.
Ce cheval de Troie ransom communique avec la victime en affichant son panneau d’application principal, changeant le fond d’écran et déposant plusieurs fichiers d’instruction sur le bureau. En particulier, l’utilisateur peut ouvrir un de ses trois documents pour obtenir plus d’informations : Howto_Restore_FILES.TXT, Howto_Restore_FILES.BMP ou Howto_Restore_FILES.HTM. D’après ces remarques, l’utilisateur devrait parcourir sa « page d’accueil personnelle » en cliquant sur l’un des liens disponibles, notamment un portail Tor.
La page nommée « Service de décryptage » fournit des informations sur la quantité de la rançon qui est soumise, qui est actuellement fixé à environ 500 USD, et lister le reste de ces étapes pour envoyer l’argent en Bitcoins, récupérer la clé privée et réanimer les données. Il faut admettre que les criminels font du bon boulot pour couvrir leurs traces. Ils ont recours au service Onion Router pour l’anonymat des interactions avec les personnes infectées, et ils reçoivent uniquement les paiements en crypto-monnaie pour éviter la traque et ainsi contourner des problèmes avec l’application de la loi.
A première vue, il semblerait que suite aux demandes des escrocs, se fait le processus de retrouver l’accès aux fichiers .micro. Le décodeur n’aide pas et le rachat peut être inabordable. Et pourtant, retrouver les informations dans ce cas n’est pas quelque chose que vous désirez – les utilisateurs peuvent essayer quelques méthodes reposant sur un logiciel spécial et des fonctionnalités natives du système d’exploitation.
Le suppresseur automatique du virus de fichier .micro
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers TeslaCrypt
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Les méthodes pour restaurer les fichiers .micro
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier TeslaCrypt crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez que le virus de fichier .micro a été complètement retiré
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.