Virus CryptoWall
Écrit par Tomas Meskauskas le (mis à jour)
Instructions de suppression du virus CryptoWall
Quest-ce que CryptoWall?
CryptoWall est un virus rançongiciel qui infiltre le système d’exploitation de l’utilisateur à travers des emails infectés et de faux téléchargements, par exemple les lecteurs vidéo escrocs ou de fausses mises à jour de flash. Après une infiltration réussie ce programme malicieux encrypte les fichiers stockés sur l’ordinateur de l’utilisateur (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) et demande de payer une rançon de 500$ (en Bitcoins) pour décrypter les fichiers. Les cybers criminels qui sont responsables d’avoir lancé ce programme escroc se sont assuré qu’il s’exécute sur toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, et Windows 8). Le rançongiciel CryptoWall crée des fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url dans tous les dossiers qui contiennent des fichiers encryptés.
Ces fichiers contiennent des instructions sur comment les utilisateurs peuvent décrypter leurs fichiers, les instructions incluent des explications sur l’utilisation du navigateur Tor (navigateur web anonyme). Les cybers criminels utilisent Tor pour cacher leurs identités. Les utilisateurs de Pc devraient savoir bien que l’infection elle-même n’est pas compliqué à supprimer, la décryption des fichiers (encryptés en utilisant l’encryption RSA 2048) affectés par ce programme malicieux est impossible sans payer la rançon. Au moment de la recherche il n’y avait pas d’outils ou de solutions capables de décrypter les fichiers encryptés par CryptoWall. Notez que la clef privée qui est utilisée pour décrypter les fichiers stockés dans les serveurs de commande et de contrôle CryptoWall qui est géré par des cybers criminels. La solution idéale serait de supprimer ce rançongiciel et d’ensuite restaurer vos données à partir d’une sauvegarde.
Capture d'écran d'un message présenté dans les fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url:
Les infections rançongiciels telles que CryptoWall (par exemple CryptoDefense, CryptorBit et Cryptolocker) devraient un fort argument pour toujours avoir des sauvegardes de vos données stockés. Notez que payer la rançon quand ce rançongiciel vous le demande équivaudrait à envoyer de l’argent à des cybers criminels, vous supporteriez leurs modèles d’affaires malicieux, de plus il n’y a aucune garantie que les fichiers seront jamais décryptés. Pour éviter que votre ordinateur soit infecté par de telles infections de rançongiciels les utilisateurs devraient être très prudents quand ils ouvrent leurs emails.
| Nom | CryptoWall ransomware |
| Type de menace | Ransomware, Crypto Virus, bloqueur de fichiers |
| Symptômes | Impossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers. |
| Méthodes de Distribution | Pièces jointes infectées (macros), sites Web torrent, publicités malveillantes. |
| Dommage | Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon. |
| Suppression | Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Les cybers criminels utilisent divers titres accrocheurs pour truquer les utilisateurs de PC afin qu’ils ouvrent les pièces jointes infectées, par exemple ‘’Notification d’exception d’UPS’’. De récentes recherches montrent que les cybers criminels utilisent aussi des réseaux P2P et de faux téléchargements qui contiennent des infections de rançongiciel combinées afin de propager CryptoWall.
Message présenté dans les fichiers DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url:
Quest-ce qui est arrivé à vos fichiers?
Tous vos fichiers sont protégés par une forte encryption avec RSA-2048 en utilisant CryptoWall. Plus d’information à propos de la clef d’encryption utilisant RSA-2048 peut être trouvée ici : en.wikipedia.org/wiki/RSA_(crypto system)
Quest-ce que cela signifie?
Cela signifie que la structure et les données dans vos fichiers ont été irrévocablement changées, vous ne serez pas capable de travailler avec celles-ci, de les lire ou de les voir, c’est la même chose que les perdre pour toujours, mais avec notre aide, vous pouvez les restaurer.
Comment est-ce arrivé?
Spécialement pour vous, une paire de clefs secrètes RSA-2048 a été générée sur notre serveur – public et privée. Tous vos fichiers ont été encryptés avec la clef publique, qui a été transférées à votre ordinateur via Internet. La décryption de vos fichiers est seulement possible avec l’aide de la clef privée et d’un programme de décryption, que vous trouverez sur notre serveur secret.
Quest-ce que je fais?
Hélas, si vous ne prenez pas les mesures nécessaires dans le délai spécifié les conditions pour l’obtention de la clef privée seront changées. Si vous tenez vraiment à vos données, nous vous suggérons de ne pas perdre de temps précieux à chercher des solutions parce qu’elles n’existent pas.
Pour plus d’instructions spécifiques, s’il vous plaît visiter votre page d’accueil personnelle, voici quelques adresses différentes pointant vers votre page:
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
Si pour certaines raisons les adresses ne sont pas disponibles, suivez ces étapes:
1. Télécharger et installer le navigateur Tor : hxxp://www.torproject.org/projects/torbrowser.html.en
2. Après une installation réussie, exécuter le navigateur et attendez l’initialisation.
3. Taper dans la barre d’adresse: kpai7ycr7jxqkilp.onion/3koe
4. Suivez les instructions sur ce site.
Capture d’écran de l’email infecté utilisé dans la distribution de CryptoWall:
Texte présenté dans les emails infectés:
DE: UPS Quantum View [auto-notify (at) ups.com]
Sujet: Notification d'exception par , Numéro de suivi 1Z522A9A6892487822Apprenez-en plus sur UPS: Visiter ups.com
À la demande de l'expéditeur, prenez en note que la livraison de l'envoi suivant a été reportée à une date ultérieure.Information Importante sur la Livraison
Numéro de Suivi: 1Z522A9A6892487822
Date de la Nouvelle Livraison: 14-Avril-2014
Raison de l'Exception: LE CLIENT N'ÉTAIT PAS DISPONIBLE LORS DE LA PREMIÈRE TENTATIVE. UNE DEUXIÈME TENTATIVE SERA FAITE LE COLIS SERA LIVRÉ LE JOUR OUVRABLE SUIVANT.
Détail de l'expédition: 1Z522A9A6892487822
Capture d'écran de la page de paiement de la rançon de CryptoWall:
Message présenté sur la page de paiement de la rançon de CryptoWall:
Service de décryption
Vos fichiers sont encryptés.
Pour obtenir la clef afin de décrypter les fichiers vous devez payer 500 USD/EUR. Si le paiement n’est pas fait avant [date] le coût de la décryption des fichiers doublera et sera de 1000 USD/EUR avant d’augmenter le montant dû : [count down timer]
Nous vous présentons un logiciel spécial - CryptoWall Decrypter – qui permet de décrypter et de retrouver le contrôle de tous vos fichiers. Comment acheter CryptoWall decrypter?
1. Vous devez vous enregistrez avec Bitcoin waller
2. Acheter des Bitcoins – Bien que ne soit pas encore facile d’acheter des bit coins, cela devient plus simple à chaque jour.
3. Envoyer 1.22 BTC à l’adresse de Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Entrer l’identifiant de la transaction et sélectionnez le montant.
5. S’il vous plaît vérifier l’information de paiement et cliquez ‘’PAYER’’.
Notez qu’au moment d’écrire cet article il n’y avait pas d’outil connu qui peut décrypter les fichiers encryptés par CryptoWall sans payer la rançon. En suivant ce guide de suppression vous serez capable de supprimer ce rançongiciel de votre ordinateur cependant les fichiers affectés demeureront encryptés. Nous mettrons cet article à jour dès qu’il y aura plus d’information sur la décryption des fichiers compromis.
Suppression du virus CryptoWall:
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Quest-ce que CryptoWall?
- ÉTAPE 1. Suppression du virus CryptoWall en utilisant le mode sans échec en réseau.
- ÉTAPE 2. Suppression du rançongiciel CryptoWall en utilisant la restauration du système.
Étape 1
Utilisateurs de Windows XP et Windows 7: Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.
Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau":
Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.
Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":
Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.
Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":
Étape 2
Connectez-vous au compte qui est infecté avec le virus Cryptodefense. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.
Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':
1. Démarrer votre ordinateur en Mode Sans Échec avec la Commande Invite. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.
2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.
3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.
4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.
5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) CryptoWall ait infiltré votre PC).
6. Dans la fenêtre ouverte cliquez “Oui”.
7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du ransomware (rançongiciel) CryptoWall.
Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de CryptoWall sont connus pour supprimer les fichiers de cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.
Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec commande prompte), vous devrez redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sûr rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.
Autres outils connus pour supprimer le rançongiciel (ransomware) CryptoWall:
Source: https://www.pcrisk.com/removal-guides/7844-cryptowall-virus
!Remarquable!
▼ Montrer la discussion