Virus CryptoWall

Aussi connu comme: CryptoWall ransomware
Distribution: Bas
Niveau de dommage: Médium

Instructions de suppression du virus CryptoWall 

Quest-ce que CryptoWall?

CryptoWall est un virus rançongiciel qui infiltre le système d’exploitation de l’utilisateur à travers des emails infectés et de faux téléchargements, par exemple les lecteurs vidéo escrocs ou de fausses mises à jour de flash. Après une infiltration réussie ce programme malicieux encrypte les fichiers stockés sur l’ordinateur de l’utilisateur (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) et demande de payer une rançon de 500$ (en Bitcoins) pour décrypter les fichiers. Les cybers criminels qui sont responsables d’avoir lancé ce programme escroc se sont assuré qu’il s’exécute sur toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, et Windows 8). Le rançongiciel CryptoWall crée des fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url dans tous les dossiers qui contiennent des fichiers encryptés.

Ces fichiers contiennent des instructions sur comment les utilisateurs peuvent décrypter leurs fichiers, les instructions incluent des explications sur l’utilisation du navigateur Tor (navigateur web anonyme). Les cybers criminels utilisent Tor pour cacher leurs identités. Les utilisateurs de Pc devraient savoir bien que l’infection elle-même n’est pas compliqué à supprimer, la décryption des fichiers (encryptés en utilisant l’encryption RSA 2048) affectés par ce programme malicieux est impossible sans payer la rançon. Au moment de la recherche il n’y avait pas d’outils ou de solutions capables de décrypter les fichiers encryptés par CryptoWall. Notez que la clef privée qui est utilisée pour décrypter les fichiers stockés dans les serveurs de commande et de contrôle CryptoWall qui est géré par des cybers criminels. La solution idéale serait de supprimer ce rançongiciel et d’ensuite restaurer vos données à partir d’une sauvegarde.

Capture d'écran d'un message présenté dans les fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url:

Instructions de suppression de cryptowall

Les infections rançongiciels telles que CryptoWall (par exemple CryptoDefense, CryptorBit et Cryptolocker) devraient un fort argument pour toujours avoir des sauvegardes de vos données stockés. Notez que payer la rançon quand ce rançongiciel vous le demande équivaudrait à envoyer de l’argent à des cybers criminels, vous supporteriez leurs modèles d’affaires malicieux, de plus il n’y a aucune garantie que les fichiers seront jamais décryptés. Pour éviter que votre ordinateur soit infecté par de telles infections de rançongiciels les utilisateurs devraient être très prudents quand ils ouvrent leurs emails.

Résumé de la menace :
NomCryptoWall ransomware
Type de menaceRansomware, Crypto Virus, bloqueur de fichiers
SymptômesImpossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de DistributionPièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
DommageTous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer CryptoWall ransomware, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Les cybers criminels utilisent divers titres accrocheurs pour truquer les utilisateurs de PC afin qu’ils ouvrent les pièces jointes infectées, par exemple ‘’Notification d’exception d’UPS’’. De récentes recherches montrent que les cybers criminels utilisent aussi des réseaux P2P et de faux téléchargements qui contiennent des infections de rançongiciel combinées afin de propager CryptoWall.

Message présenté dans les fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url:

Quest-ce qui est arrivé à vos fichiers?

 

Tous vos fichiers sont protégés par une forte encryption avec RSA-2048 en utilisant CryptoWall. Plus d’information à propos de la clef d’encryption utilisant RSA-2048 peut être trouvée ici : en.wikipedia.org/wiki/RSA_(crypto system)

 

Quest-ce que cela signifie?

 

Cela signifie que la structure et les données dans vos fichiers ont été irrévocablement changées, vous ne serez pas capable de travailler avec celles-ci, de les lire ou de les voir, c’est la même chose que les perdre pour toujours, mais avec notre aide, vous pouvez les restaurer.

 

Comment est-ce arrivé?

 

Spécialement pour vous, une paire de clefs secrètes RSA-2048 a été générée sur notre serveur – public et privée. Tous vos fichiers ont été encryptés avec la clef publique, qui a été transférées à votre ordinateur via Internet. La décryption de vos fichiers est seulement possible avec l’aide de la clef privée et d’un programme de décryption, que vous trouverez sur notre serveur secret.

 

Quest-ce que je fais?

 

Hélas, si vous ne prenez pas les mesures nécessaires dans le délai spécifié les conditions pour l’obtention de la clef privée seront changées. Si vous tenez vraiment à vos données, nous vous suggérons de ne pas perdre de temps précieux à chercher des solutions parce qu’elles n’existent pas.

 

Pour plus d’instructions spécifiques, s’il vous plaît visiter votre page d’accueil personnelle, voici quelques adresses différentes pointant vers votre page:

 

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

 

Si pour certaines raisons les adresses ne sont pas disponibles, suivez ces étapes:

 

1. Télécharger et installer le navigateur Tor : hxxp://www.torproject.org/projects/torbrowser.html.en
2. Après une installation réussie, exécuter le navigateur et attendez l’initialisation.
3. Taper dans la barre d’adresse: kpai7ycr7jxqkilp.onion/3koe
4. Suivez les instructions sur ce site.

Capture d’écran de l’email infecté utilisé dans la distribution de CryptoWall:

Distribution de cryptowall à travers les emails de pourriel par ups

Texte présenté dans les emails infectés:

DE: UPS Quantum View [auto-notify (at) ups.com]
Sujet: Notification d'exception par , Numéro de suivi 1Z522A9A6892487822

Apprenez-en plus sur UPS: Visiter ups.com
À la demande de l'expéditeur, prenez en note que la livraison de l'envoi suivant a été reportée à une date ultérieure.

Information Importante sur la Livraison

Numéro de Suivi: 1Z522A9A6892487822
Date de la Nouvelle Livraison: 14-Avril-2014
Raison de l'Exception: LE CLIENT N'ÉTAIT PAS DISPONIBLE LORS DE LA PREMIÈRE TENTATIVE. UNE DEUXIÈME TENTATIVE SERA FAITE LE COLIS SERA LIVRÉ LE JOUR OUVRABLE SUIVANT.
Détail de l'expédition: 1Z522A9A6892487822

Capture d'écran de la page de paiement de la rançon de CryptoWall:

cryptowall website captcha protection

cryptowall decrypt page

 Message présenté sur la page de paiement de la rançon de CryptoWall:

Service de décryption
Vos fichiers sont encryptés.
Pour obtenir la clef afin de décrypter les fichiers vous devez payer 500 USD/EUR. Si le paiement n’est pas fait avant [date] le coût de la décryption des fichiers doublera et sera de 1000 USD/EUR avant d’augmenter le montant dû : [count down timer]

 

Nous vous présentons un logiciel spécial - CryptoWall Decrypter – qui permet de décrypter et de retrouver le contrôle de tous vos fichiers. Comment acheter CryptoWall decrypter?

 

1. Vous devez vous enregistrez avec Bitcoin waller
2. Acheter des Bitcoins – Bien que ne soit pas encore facile d’acheter des bit coins, cela devient plus simple à chaque jour.
3. Envoyer 1.22 BTC à l’adresse de Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Entrer l’identifiant de la transaction et sélectionnez le montant.
5. S’il vous plaît vérifier l’information de paiement et cliquez ‘’PAYER’’.

Notez qu’au moment d’écrire cet article il n’y avait pas d’outil connu qui peut décrypter les fichiers encryptés par CryptoWall sans payer la rançon. En suivant ce guide de suppression vous serez capable de supprimer ce rançongiciel de votre ordinateur cependant les fichiers affectés demeureront encryptés. Nous mettrons cet article à jour dès qu’il y aura plus d’information sur la décryption des fichiers compromis.

Suppression du virus CryptoWall:

Suppression instantanée automatique de CryptoWall ransomware: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer CryptoWall ransomware. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et Windows 7: Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Cryptodefense. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':

1. Démarrer votre ordinateur en Mode Sans Échec avec la Commande Invite. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Restaurer votre ordinateur en Mode sans échec avec la Commande Invite

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant la commande invite taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) CryptoWall ait infiltré votre PC).

sélectionner un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

exécuter la restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du ransomware (rançongiciel) CryptoWall.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de CryptoWall sont connus pour supprimer les fichiers de cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec commande prompte), vous devrez redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sûr rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Autres outils connus pour supprimer le rançongiciel (ransomware) CryptoWall:

Source: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
CryptoWall ransomware Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du CryptoWall ransomware sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de CryptoWall ransomware aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.