Table des matières
La communauté de sécurité informatique semble être témoin d’une épidémie de nouveaux logiciels de rançon dangereux qui cryptent des fichiers. Il a été actif depuis début avril, et la surface d’attaque s’est étendue sur des milliers d’engins dans le monde entier en moins de deux semaines. L’analyse de son code Delphi et les motifs d’activité est encore à vif, mais il est déjà juste d’affirmer que l’infection est un échantillon distinct qui a probablement été conçu de manière indépendante. Cependant, au début, il y avait une certaine controverse quant à sa possible affiliation avec des races plus connues, telles que TeslaCrypt et CryptoWall, mais ceci s’est avéré être des spéculations. En se basant sur les chaînes binaires extraites par des chercheurs, le nouvel arrivant est nommé CryptXXX ou CryptProjectXXX.
Voici un aperçu rapide des traits de cet exemple : il utilise un code indéchiffrable pour crypter des données, ajoute une extension “.crypt” aux noms des fichiers de tous les objets cryptés et crée des documents avec les instructions de rançon sous trois formats : de_crypt_readme.txt, de_crypt_readme.bmp et de_crypt_readme.html.
L’un des détails intéressant au sujet du logiciel de rançon .crypt est la façon dont les personnes deviennent victimes n’implique par l’astuce de la pièce jointe envoyée par email habituelle. Au lieu de ça, la plupart des gens font face à ce problème en regardant des vidéos en streaming. Le rendement de la vidéo en temps réel est peu susceptible de provoquer des problèmes en soi, par conséquent les publicités sponsorisées sont une source de contagion plus probable. Les utilisateurs ont tendance à cliquer sur tout ce qui interrompt leur évènement sportif ou émission de TV pour éliminer les pop-ups. Ce clic inoffensif peut déclencher l’exécution du logiciel de rançon en redirigeant la personne vers une page hébergeant un kit d’exploitation, tel qu’Angler ou démarrant un processus de téléchargement brouillé. Les extorqueurs s’orientent visiblement vers un tout nouveau concept en termes de propagation de logiciel malveillant.
Une autre chose peu habituelle concernant ce cheval de Troie, c’est le chemin qu’il emprunte sur un ordinateur infecté. Contrairement aux pressions d’autres logiciels de rançon qui s’exécute principalement à partir d’AppData, LocalAppData ou Temp, le processus de la nouvelle menace .crypt est lâchée sur ProgramData. C’est un fichier .dat dont le nom coïncide avec l’identifiant personnel de la victime dans les instructions de récupération de de_crypt_readme. Pendant ce temps, CryptXXX crée également un nouveau DLL dans le répertoire Temp qui exécute un délai d’environ une heure.
Une fois démarré, le virus cible largement des types de fichiers sur des disques locaux, des disques jetables et des partages sur les réseaux. Il collecte également des données liées à des messageries instantanées et emails des clients. De toute façon, les messages d’avertissement mentionnent la norme de cryptage RSA-4096, mais la longueur des clés publiques et privées est en effet plus petite. C’est une sorte d’intimidation supplémentaire qui ne change pas grand-chose, le cryptage est extrêmement fort de toute façon.
Certains faits réels : l’utilisateur affecté a besoin de payer 1,2 Bitcoins, soit 500 USD, sous un délai de 96 heures suite à l’infection. Si le paiement n’est pas effectué, la rançon double et équivaut à 1000 USD. Si l’utilisateur envoie l’argent via la page du “Service de Décryptage” polyglotte de Tor (.onion), il/elle peut télécharger une application de décryptage, la lancer, scanner l’ordinateur pour retrouver les fichiers codés et les récupérer. Selon certains rapports d’utilisateurs, les criminels ne respectent pas leur promesse. Aux vues des circonstances, il est recommandé d’essayer l’astuce de Volume Shadow Copy, des outils de récupération ou des fichiers restaurer à partir de sauvegardes.
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers .crypt
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier .crypt crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.