Table des matières
Ce qui fait de ce logiciel de rançon un phénomène révolutionnaire dans le paysage de la cybercriminalité, c’est qu’il n’existe pas et ne peut pas exister de solution universelle, contrairement aux signatures de virus qui permettent aux solutions de sécurité de résoudre pratiquement tous les autres problèmes de logiciels malveillants. Une des souches à l’avant-garde de cet écosystème a donné naissance à une nouvelle variante appelée GandCrab 5.1 à la mi-janvier 2019. Voici le profil complet de cette méchante infection.
Qu’est-ce que le logiciel de rançon GandCrab 5.1?
L’expérience du monde réel montre que seules les familles de logiciels de rançon bien établies empruntent la voie du patrimoine. Ces lignées prolifiques produisent de temps en temps des cyber descendants malveillants, chaque itération comportant certaines améliorations fonctionnelles ainsi que des ajustements externes. GandCrab domine actuellement ce créneau, ayant été en rotation pendant près d’un an et ayant fait assez de bruit dans la communauté de la sécurité pour devenir un mot à la mode, vraiment. La dernière version de ce roi de l’extorsion cryptographique souterraine est GandCrab 5.1. Il remplace la version précédente 5.0.4. Comparé au précurseur, le nouveau venu n’est pas une grande avancée. Sa manifestation extérieure est presque identique, y compris le papier peint du bureau et le libellé de la demande de rançon. Alors que certains pourraient considérer cette absence de grands changements comme un signe de négligence de la part des escrocs, les analystes de logiciels malveillants ne sont pas si optimistes. Voici pourquoi.
Avec seulement des modifications mineures à l’extérieur, GandCrab 5.1 bénéficie d’un mécanisme de cryptage amélioré. Plus précisément, il applique le chiffrement d’une manière beaucoup plus rapide que ses précurseurs. Plus la routine de cryptage non autorisée est rapide, moins il est probable que la victime prenne connaissance de l’attaque et adopte une mesure d’urgence, telle que l’arrêt du processus malveillant via le gestionnaire de tâches ou l’arrêt de l’ordinateur. Dans l’ensemble, le mode actuel surpasse considérablement le précédent, sauf que la plupart des victimes ne sont pas assez futées sur le plan technique pour s’en rendre compte. Pour en revenir au point précédent, après que GandCrab 5.1 ait chiffré les données personnelles d’une cible, il étiquette tous les fichiers otages en y ajoutant une extension à l’aspect aléatoire. Cette extension est unique pour chaque utilisateur, étant une chaîne de 10 caractères maximum. Donc, disons qu’un fichier nommé Important.docx a été pris en otage – il sera modifié en un élément hors limite appelé par exemple : Important.docx.ibptmqlbgf.docx.ibptmqlbgf.
La distorsion des noms de fichiers ci-dessus n’est pas cependant l’étape finale de l’attaque. Le logiciel de rançon GandCrab 5.1 laisse une note pour que l’utilisateur infecté ait une idée de ce qui s’est passé exactement et ce qu’il faut faire pour récupérer les fichiers inaccessibles. Le nom de cette entité va varier d’un utilisateur à l’autre, car sa première partie correspond à l’extension de fichier spécifique à la victime, la seule différence étant que les caractères sont en majuscules. Dans l’attaque hypothétique ci-dessus, la demande de rançon sera IBPTMQLBGF-DECRYPT.txt. Sa partie introductive va être:
GandCrab v5.1
Ne supprimez en aucun cas ce fichier, jusqu’à ce que toutes vos données soient récupérées.
Si vous supprimez ce fichier, votre système sera corrompu s’il y a des erreurs de décryptage.
Attention !
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants sont cryptés et possèdent l’extension : [extension spécifique à la victime].
La seule méthode de récupération de fichiers consiste à acheter une clé privée unique. Nous seuls pouvons vous donner cette clé et nous seuls pouvons récupérer vos fichiers.
Cela nous amène aux options de rançon imposées par les méchants. L’utilisateur est invité à visiter une page Tor (.onion domaine) qui fournit la taille de la rançon ainsi que la date limite pour la payer. Il inclut également une section discussion en ligne. Le montant demandé par les distributeurs de GandCrab v5.1 est de 1 200 USD. Payable en bitcoin ou alternativement en Dash, une forme moins courante de cryptomonnaie. L’adresse du porte-monnaie pour l’un ou l’autre type est également indiquée sur la page de paiement. Il y a aussi un script de compte à rebours qui affiche le temps restant avant que le prix ne double. Il est fixé à 2 jours. La seule mise à jour apportée à cette page dans le cadre de la nouvelle version est l’image amusante d’un crabe qui ne correspond certainement pas à la situation déstabilisante.
Évidemment, l’incursion est un sérieux problème. Les chercheurs n’ont pas encore trouvé un moyen 100% efficace de décrypter les fichiers biaisés par GandCrab 5.1. En attendant, les personnes touchées par ce fléau sont confrontées à un dilemme : payer la rançon et espérer que les cybercriminels feront ce qu’ils prétendent, ou tenter autre chose. C’est ce dernier point que les sections ci-dessous mettent en évidence en détail. Il est important de garder à l’esprit que ce logiciel de rançon se propage par le spam – l’une des principales campagnes implique des emails sur le thème des « lettres d’amour ». Ainsi, assurez-vous de ne pas ouvrir de tels messages d’un étranger la prochaine fois qu’ils se retrouveront dans votre boîte de réception.
La suppression automatique du virus de rançon GandCrab 5.1
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers GandCrab 5.1
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer des fichiers cryptés par GandCrab 5.1
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier GandCrab 5.1 crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez si le virus de rançon GandCrab 5.1 a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.
Télécharger le suppresseur du logiciel de rançon GandCrab 5.1