Virus CryptoDefense

Aussi connu comme: How_Decrypt ransomware
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du virus CryptoDefense

CryptoDefense est un virus rançongiciel qui infiltre les systèmes d’opération de l’utilisateur à travers des courriels infectés et de faux téléchargements, par exemple de faux lecteurs vidéo ou de fausses mises à jour de flash. Après une infiltration réussie ce programme malicieux encrypte les fichiers stockés dans l’ordinateur de l’utilisateur (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) et demande de payer une rançon de 500$ (en Bitcoins) pour décrypter les fichiers. Les cybers criminels qui sont responsables de lancer ce faux programme se sont assuré qu’il exécute sur toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, and Windows 8). Le rançongiciel CryptoDefense crée des fichiers How_Decrypt.txt, How_Decrypt.html et How_Decrypt.url dans chaque dossier qui contient les fichiers encryptés.

Ces fichiers contiennent des instructions sur comment les utilisateurs pourraient décrypter leurs fichiers, les instructions incluent l’utilisation du navigateur Tor (navigateur web Tor). Les cybers criminels utilisent Tor pour cacher leurs identités. Les utilisateurs de Pc devraient savoir que bien que l’infection par elle-même n’est pas si compliquée à supprimer la décryption des fichiers (encryptés en utilisant l’encryption RSA 2048) affectés par ce programme malicieux est impossible sans payer la rançon. Au moment de la recherche il n’y avait pas d’outils ou de solutions capables de décrypter les fichiers encryptés par CryptoDefense. Notez que la clef privée qui peut être utilisé pour décrypter les fichiers est stockée dans les serveurs de commande et de contrôle de CryptoDefense qui sont gérés par les cybers criminels. La solution idéal serait de supprimer ce virus rançongiciel et ensuite restaurer vos données à partir d’une sauvegarde.

Capture d'écran du message qui est présenté dans les fichiers How_Decrypt.txt, How_Decrypt.html et How_Decrypt.url:

Virus rançongiciel cryptodefense

Les infections de rançongiciel telles que CryptoDefense (par exemple CryptorBit et Cryptolocker) devraient être un argument très fort d’avoir toujours des sauvegardes de vos données stockées. Notez que de payer la rançon quand ce rançongiciel le demande équivaudrait à envoyer son argent à des cybers criminels, vous supporteriez leur modèle d’affaire malicieux, de plus il n’y a pas de garanties que les fichiers seraient jamais décryptés. Pour éviter que votre ordinateur sont infectés par de telles infections les utilisateurs devraient être très prudents quand ils ouvrent leurs courriels. Les cybers criminels utilisent des titres accrocheurs pour truquer les utilisateurs de PC avant qu’ils ouvrent des pièces jointes dans leur courriel, par exemple "Scanned Image from a Xerox WorkCentre". De récentes recherches montrent que les cybers criminels utilisent aussi des réseaux P2P et de faux téléchargements qui contiennent des infections de rançongiciel combinés pour répandre CryptoDefense.

Message présenté dans les fichiers How_Decrypt.txt, How_Decrypt.html and How_Decrypt.url:

Tous les fichiers incluant les vidéos, les photos et les documents sur votre ordinateur sont encryptés par le logiciel CryptoDefense. L’encryption a été faite en utilisant une clef publique unique RSA-2048 généré par cet ordinateur. Pour décrypter les fichiers vous devez obtenir une clef privée. Cette clef privée, qui vous permettra de décrypter les fichiers, est situés dans un serveur secret sur Internet; Le serveur détruira la clef après un mois. Après cela, personne ne sera jamais capable de restaurer les fichiers. Afin de décrypter les fichiers, ouvrez votre page personnelle sur le site hxxps://rj2bocejarqnpuhm.browsetor.com/UOs et suivez les instructions.

Si hxxps://rj2bocejarqnpuhm.browsetor.com/UOs n’est pas ouvert, s’il vous plaît suivez les étapes ci-dessous:
1. Vous devez télécharger et installer ce navigateur hxxp://www.torproject.org/projects/torbrowser.html.en
2. Après l’installation, exécuter le navigateur et entrer l’adresse: rj2bocejarqnpuhm.onion/UOs
3. Suivez les instructions sur le site web. Nous vous rappelons que plus vite vous le faites, plus vous avez de chances de retrouvera vos fichiers.

Capture d'écran d'un courriel infecté utilisé dans la distribution de CryptoDefense:

courriels infectés utilisés dans la distribution du rançongiciel cryptodefense

Texte présenté dans les courriels infectés:

De : Fax Entrant
Sujet : Image scannée d’un Xerox WorkCentre

S’il vous plaît ouvrir le document ci-joint. Il a été scanné et envoyé en utilisant Xerox WorkCentre Pro.
Nombre d’images:3
Attachment File Type: ZIP [PDF]

Emplacement de Xerox WorkCentre Pro : Emplacement de la machine non-défini
Nom du diapositif : IZ38F56PS2

Les fichiers ci-joints sont des images scannées en format PDF.

Capture d'écran d'une page de paiement de la rançon:

cryptodefense how_decrypt message

 Message présenté dans la page de paiement de la rançon:

Vos fichiers sont encryptés. Pour obtenir la clef pour décrypter les fichiers vous devez payer 500 USD/EUR. Si le paiement n’est pas fait avant [date - heure] le coût pour décrypter les fichiers doublera et sera de 1000 USD/EUR. Nous vous présentons un logiciel spécial - CryptoDefense Decrypter – qui est requit pour décrypter et reprendre le contrôle de tous vos fichiers encryptés. Comment acheter CryptoDefense decrypter?
1. Vous devriez vous inscrire avec Bitcoin waller
2. Acheter des Bitcoins – Bien que ce ne soit pas encore facile d’acheter des bit coins, cela devient plus simple chaque jour.
3. Envoyer 1.09 BTC à l’adresse Bitcoin : 1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1
4. Entrer le numéro de transaction et sélectionner le montant.
5. S’il vous plaît vérifier l’information du paiement et cliquer ‘’PAYER’’.

Notez qu’au moment d’écrire cet article il n’y avait pas d’outils connus qui pouvaient décrypter les fichiers encryptés par CryptoDefense sans payer la rançon. En suivant ce guide se suppression vous serez capable de supprimer ce rançongiciel de votre ordinateur cependant les fichiers affectés demeurent encryptés. Nous mettrons bientôt à jour cet article quand il y aura plus d’information concernant la décryption des fichiers compromis.

Suppression du virus CryptoDefense:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateur de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus CryptoDefense. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau'' et la ''Restauration du système'':

1. Démarrer votre ordinateur en Mode Sans Échec avec la Commande Invite. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en mode sans échec avec la commande invite

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

restauration des fichiers et des paramètres

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) ait infiltré votre PC).

sélectionner un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les restants du ransomware (rançongiciel) CryptoDefense.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de CryptoDefense sont connus pour supprimer les fichiers de cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec commande prompte), vous devrez redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sûr rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Autres outils connus pour supprimer le rançongiciel (ransomware) CryptoDefense:

Source: https://www.pcrisk.com/removal-guides/7733-cryptodefense-virus

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
How_Decrypt ransomware Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du How_Decrypt ransomware sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de How_Decrypt ransomware aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.