Comment supprimer CrySome des appareils infectés

Quel type de malware est CrySome ?

CrySome est un cheval de Troie d'accès à distance (RAT) qui permet aux cybercriminels de prendre le contrôle d'un appareil infecté. Ce RAT peut voler des fichiers et des mots de passe, espionner l'activité et exécuter des commandes à distance. Ce qui rend CrySome encore plus dangereux, c'est qu'il peut se dissimuler, désactiver les logiciels antivirus et persister sur le système même après des réinitialisations ou des tentatives de suppression.

En savoir plus sur CrySome

Une fois que CrySome se connecte à son serveur, il envoie des informations sur l'appareil infecté. Les détails transmis incluent le nom d'utilisateur de l'ordinateur, la version du système d'exploitation, le temps écoulé depuis le démarrage et le pays/la région. Il envoie également le titre de la fenêtre que l'utilisateur utilise actuellement (sans activer de session à distance).

Ensuite, le RAT configure un système infecté pour recevoir des commandes. Certaines fonctionnalités de base sont toujours actives, tandis que d'autres peuvent être activées ou désactivées selon les paramètres. CrySome prend en charge un large éventail de commandes, permettant aux cybercriminels de mener diverses activités malveillantes.

Il peut exécuter des commandes shell/PowerShell, télécharger et exécuter des fichiers, envoyer et télécharger des fichiers, parcourir, lire et supprimer des fichiers, prendre des captures d'écran, forcer le redémarrage du système, lister ou arrêter les programmes en cours d'exécution, prendre des photos avec la webcam et accéder au microphone (et l'utiliser). CrySome peut également activer la messagerie directe entre les cybercriminels et les victimes.

De plus, le RAT peut créer des tunnels SOCKS/proxy inverse pour un accès réseau caché, visualiser les écrans, contrôler la souris et le clavier, gérer plusieurs moniteurs, contrôler secrètement une session utilisateur cachée et exécuter des applications de manière invisible, voler les mots de passe et cookies enregistrés dans le navigateur, et enregistrer tout ce qui est tapé au clavier.

Persistance et évasion des défenses

CrySome crée une tâche planifiée pour se relancer toutes les quelques minutes et s'installe en tant que service Windows qui démarre au démarrage et redémarre en cas de plantage. Il se copie dans des dossiers de sauvegarde cachés afin de pouvoir se récupérer s'il est supprimé et ajoute des entrées de registre pour qu'il s'exécute automatiquement au démarrage de Windows. Le RAT peut modifier certains fichiers système pour persister même après des réinitialisations d'usine.

De plus, CrySome cache ses fichiers et les verrouille pour qu'ils ne puissent pas être supprimés, et exécute un processus « surveillant » qui le redémarre s'il est arrêté. Il peut se marquer comme un processus système critique et empêcher les outils de sécurité d'y accéder ou de l'arrêter.

En outre, le RAT trouve et tue les processus antivirus, bloque les fichiers d'installation des antivirus, arrête les services antivirus et les empêche de redémarrer, et désactive les fonctionnalités de Microsoft Defender (telles que la protection en temps réel, la protection cloud, l'analyse, etc.). Il peut également empêcher complètement le lancement des programmes de sécurité.

Conclusion

CrySome donne aux attaquants le contrôle d'un appareil infecté et leur permet de voler des données, d'espionner les utilisateurs et d'effectuer de nombreuses actions malveillantes à distance. Il est conçu pour rester caché et continuer à fonctionner en utilisant des méthodes de persistance robustes qui le rendent difficile à supprimer, même après des redémarrages ou des réinitialisations du système. Ces capacités en font une menace dangereuse.

D'autres exemples de RAT sont GHOSTFORM, KarstoRAT et Moonrise.

Comment CrySome s'est-il infiltré dans mon ordinateur ?

Les logiciels malveillants tels que CrySome sont généralement distribués via des fichiers infectés, notamment des exécutables, des fichiers compressés, des scripts et des documents tels que des PDF et des fichiers Office. Le simple fait d'ouvrir ces fichiers ou d'effectuer des étapes supplémentaires peut déclencher une infection.

Les cybercriminels utilisent diverses méthodes de distribution pour propager les maliciels, notamment des pièces jointes ou des liens dans des courriels, de faux téléchargements de logiciels, des vulnérabilités de sécurité, des messages frauduleux de support technique, des sites web malveillants ou piratés, des logiciels piratés ou craqués, des publicités trompeuses, des lecteurs amovibles infectés, des plateformes de partage pair-à-pair et des téléchargeurs tiers.

Comment éviter l'installation de maliciels ?

N'ouvrez que les liens ou pièces jointes provenant de sources fiables et soyez prudent avec les courriels ou messages inattendus, surtout s'ils proviennent d'expéditeurs inconnus. Assurez-vous de télécharger des applications et des logiciels uniquement à partir de sites web officiels ou de boutiques d'applications vérifiées, et évitez d'utiliser des programmes craqués, des logiciels piratés ou des générateurs de clés.

Maintenez votre système d'exploitation et toutes vos applications à jour, et évitez d'interagir avec des publicités, des fenêtres contextuelles ou tout autre contenu sur des sites web non fiables. De plus, évitez d'accepter de recevoir des notifications de pages douteuses.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les maliciels infiltrés.

Site web faisant la promotion de CrySome (source : cyfirma.com) :

Panneau d'administration de CrySome (source : cyfirma.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que CrySome ?
• ÉTAPE 1. Suppression manuelle du maliciel CrySome.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement les maliciels ?

La suppression manuelle des maliciels est une tâche complexe - il est généralement préférable de laisser les programmes antivirus ou anti-maliciel le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer les maliciels manuellement, la première étape consiste à identifier le nom du maliciel que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple en utilisant le gestionnaire des tâches, et que vous avez identifié un programme suspect, vous devez continuer avec ces étapes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le Registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en Mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en Mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en Mode sans échec avec prise en charge réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu des options de démarrage avancées ». Cliquez sur le bouton « Résolution des problèmes », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « Choisir une option », cliquez sur « Résolution des problèmes », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains maliciels masquent leurs noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Supprimer ».

Après avoir supprimé le maliciel via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, confiez la suppression des maliciels aux programmes antivirus et anti-maliciel.

Ces étapes peuvent ne pas fonctionner avec les infections de maliciels avancés. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les maliciels ultérieurement. Pour garder votre ordinateur en sécurité, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des maliciels, nous vous recommandons de l'analyser avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le maliciel CrySome, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Bien qu'une réinitialisation complète puisse supprimer CrySome, elle effacera tous les fichiers du système. Dans la plupart des cas, il convient d'essayer d'abord d'utiliser un programme de sécurité réputé tel que Combo Cleaner.

Quels sont les plus gros problèmes que les maliciels peuvent causer ?

Les maliciels peuvent corrompre ou supprimer des fichiers, injecter des maliciels supplémentaires, espionner les victimes, et plus encore. Cela peut entraîner des conséquences graves telles que des dommages financiers, le vol de données et d'identité, l'accès non autorisé aux comptes, la perte de données et d'autres problèmes sérieux.

Quel est l'objectif du RAT CrySome ?

Le RAT CrySome est conçu pour espionner secrètement les utilisateurs en accédant à l'écran, à la webcam, au microphone et à l'activité du système. Il peut également voler des données sensibles telles que les mots de passe, les fichiers, les cookies et les informations système. En même temps, il donne aux attaquants un contrôle à distance complet de l'appareil tout en restant caché et en désactivant les outils de sécurité.

Comment un maliciel s'est-il infiltré dans mon ordinateur ?

Les maliciels sont généralement distribués via des exécutables malveillants, des archives, des scripts et des documents, qui peuvent infecter un appareil lorsqu'ils sont ouverts ou exécutés. Les cybercriminels utilisent des sites web malveillants, des courriels d'hameçonnage avec des pièces jointes ou des liens, de fausses escroqueries de support technique, des failles logicielles, des programmes craqués, des publicités en ligne nuisibles, des clés USB infectées, des réseaux de partage pair-à-pair et des sources de téléchargement tierces non fiables pour distribuer les maliciels.

Combo Cleaner me protégera-t-il contre les maliciels ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des infections de maliciels connues. Cependant, certaines menaces avancées peuvent être profondément cachées dans le système, il est donc important d'exécuter une analyse complète du système pour garantir une détection totale.