Table des matières
Toutes les attaques de logiciels de rançon sont accompagnées par un certains nombres d’indicateurs de compromis distincts, qui sont uniques aux différentes souches de menaces de cryptage des fichiers. Tout d’abord, ils incluent le flux d’échange des clés de cryptage, les extensions ajoutées aux fichiers des victimes et des choses telles que des notes de rançon qui donnent des instructions aux utilisateurs pour récupérer leurs données. Si le dernier IdC inclut un ensemble de documents renommés “Decrypt My Files” sous les formats TXT, HTML et VBS, alors le logiciel de rançon et cheval de Troie Cerber est le coupable.
L’arrêt du progrès d’un logiciel de rançon est plus une utopie que quelque chose susceptible de se produire dans un avenir proche, étant donné que la rentabilité impensable de ces menaces de cyber-acteurs malveillants. Dernièrement, nous avons observé des virus de cryptage passer rapidement au modèle d’affiliation, qui était une mesure que de nombreux experts auraient trouvé irréaliste quelques mois plus tôt. Et désormais, la nouvelle tendance sont les logiciels de rançon qui parlent. Cette caractéristique est intégrée au code de Cerber, un nouveau venu dans le domaine de l’extorsion numérique. Le cheval de Troie crypte les fichiers de ses proies en plus de la récupération habituelle et leur offre la possibilité de récupérer leurs données contre l’envoi de 1,24 Bitcoins vers le portefeuille sécurisé des criminels. Aussi amer que ceci puisse paraître, payer une rançon de plus de 500$ est malheureusement la façon la plus fiable de récupérer l’accès aux fichiers personnels affectés.
La façon dont Cerber est alimenté dépend en fait de ceux qui s’engagent à le distribuer. Seulement voilà : c’est l’un des logiciels de rançon promu en tant que campagne de Service ou RaaS. Ce qui signifie que des personnes avec de mauvaises intentions peuvent obtenir les codes de ce logiciel malveillant auprès de certaines ressources de réseaux anonymes et partager par la suite les rançons obtenues avec le développeur. La méthode la plus répandue de ces virus est à travers les emails de phishing avec des archives auto-extractibles en pièces jointes. Une fois ouvertes, l’infection est établie en quelques seconds. Elle est en mesure de trouver tous les fichiers sur le HDD et le réseau interne qui répond à une gamme prédéfinie de formats. Toutes ces correspondances sont ensuite cryptées avec un algorithme AES puissant.
Les fichiers cryptés sont facilement trouvables : ils obtiennent tous l’extension .cerber et les noms des fichiers sont modifiés afin de ne plus être reconnus. En observant l’un de ces dossiers, l’utilisateur devrait également remarquer les instructions de la rançon. Il y en a trois dans chaque répertoire : # Decrypt My Files #.txt, # Decrypt My Files #.html et # Decrypt My Files #.vbs. Le VBS produit un message audio avec des instructions lorsqu’il est ouvert, ce qui ressemble à une intelligence artificielle en action, mais ce ne sont que quelques lignes d’un code.
Le lien du portail Tor indiqué dans les instructions de récupération vers un site intitulé “Cerber Decryptor”. Les victimes peuvent sélectionner leur langue et effectuer le paiement de cette supercherie. La page affiche également une horloge qui offre un délai de 7 jours avant que la rançon augmente. Des professionnels de la sécurité n’ont pas encore trouvé un mécanisme de restauration des fichiers efficace. Cependant, quelques techniques valent le coup en termes de récupération de certaines données.
Suppression automatique du virus Decrypt My Files (Cerber)
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Cerber
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes de récupération des fichiers cryptés par le logiciel de rançon Cerber
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Cerber crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez que le virus Decrypt My Files a été entièrement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.