Table des matières
Une nouvelle variante de l’heureux ransomware semble être en rotation dès maintenant. Contrairement à son précurseur surnommé Thor, ce spin-off ajoute l’extension .zzzzz dans ses fichiers chiffrés. Par ailleurs, l’infection crée un ensemble actualisé de notes rançon nommées ([chiffres aléatoires])-INSTRUCTION.html et ([chiffres aléatoires])-INSTRUCTION.bmp pour apporter aux victimes une procédure de décryptage de données de pas à pas. La menace toujours de bâtons avec les mêmes normes cryptographiques et prolifère via une campagne de spam complexes.
Ce que c’est un .zzzzz fichier de virus ?
Ça fait un peu moins d’un mois depuis l’édition précédente que Thor de l’infâme heureux ransomware a vu le jour. La plus récente mise à jour de cette souche semble apporter quelques modifications notables. Tout d’abord, le nouveau heureux descendant utilise une extension différente pour colorer chaque fichier crypté. Plus précisément, il a commencé à ajouter la chaîne .zzzzz. Le nom de fichier est peaufiner, et le principe est exactement le même que précédemment : la rançon de Troie remplace toujours les valeurs d’origine avec 5 groupes de caractères hexadécimaux, le numéro de celle-ci s’élevant à 32. La sortie de ce brouillage est la suivante : un fichier de données régulière suppose un nouveau nom semblable à MU7DRNBA-GI3N-X1GY – 00D 4-57BB6F127B22.zzzzz.
Un changement de plus se réfère pour les rançons manuelles de paiements diminués par le virus de ZZZZZ. Ce qu’on appelle ([chiffres aléatoires])-INSTRUCTION.html et ([chiffres aléatoires])-INSTRUCTION.bmp. L’édition d’image (fichier .BMP) sera automatiquement définie comme le fond d’écran afin que la victime ne manque pas de trouver les étapes de la récupération basée sur le paiement. Le libellé de ces notes est invariable dans toutes les variantes de la supercherie. Ils disent,
Tous vos fichiers sont cryptés avec RSA-2048 et les chiffrements AES-128.
Le message reflète la situation réelle que les utilisateurs ciblés se trouvent. Cette itération de ce virus exécute un flux de travail composé de cryptage, s’appuyant sur les symétriques Cryptages Avancées Standard et puis le chiffrement de la clé AES avec un algorithme encore plus fort, c’est-à-dire le système RSA asymétrique. Parce que les acteurs de cette menace, en faisant cette partie professionnellement, il n’y a actuellement aucune méthode totalement fiable pour déchiffrer les fichiers, à moins qu’une personne infectée opte pour la voie de rétablissement axée sur la rançon.
Un sérieux obstacle à la détection, qui a été également observé dans la version précédente de ce fléau, est la routine de chiffrement de données hors connexion. Cela signifie que le ransomware ne contacte pas ses serveurs de commandement et de contrôle des clés de chiffrement. Au lieu de cela, il fonctionne de façon autonome en mode dit pilote automatique. Cela pose un gros problème parce que le pare-feu et antivirus suites sont incapables d’identifier l’activité du ransomware basée sur l’échange de trafic avec des sites de C2.
ZZZZZ fichier ransomware est entrain de se propager à travers l’une des campagnes de spam de plus grande échelle au cours des derniers mois. Les criminels utilisent des pièces jointes aux courriels en JS, formats VBS, de téléchargement de l’infection une fois cliqué. Un autre vecteur d’attaque intéressant est une campagne de spam qui fournit les fichiers .svg contagieux par messagerie instantanée de Facebook. Il est fortement recommandé de s’abstenir de télécharger ces fichiers douteux, sinon que vous devrez payer Bitcoin 0,5 pour la clé privée de déchiffrement. Il existe plusieurs méthodes qui peuvent aider à restaurer certains fichiers .zzzzz affectées par la dernière incarnation de ce virus. Lisez la partie ci-dessous et essayez les étapes avant d’envisager d’autres options de déchiffrement.
Suppression automatique de l’extension de virus ZZZZZ
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers ZZZZZ
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer les fichiers cryptés .zzzzz
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier ZZZZZ crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifier si les .zzzzz ransomwares ont été complètement supprimés
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.