Virus 'Vos fichiers personnels sont encryptés'
Écrit par Tomas Meskauskas le (mis à jour)
Instructions de suppression du virus 'Vos fichiers personnels sont encryptés'
Qu'est-ce que 'Vos fichiers personnels sont encryptés' (Rançongiciel Critroni)?
Le virus rançongiciel Critroni infiltre les systèmes d’exploitation de l’utilisateur via les emails infectés et de faux téléchargements (par exemple, de faux lecteurs vidéo ou de fausses mises à jour de Flash). Après une infiltration réussie, ce programme malicieux encrypte les fichiers sauvegardés sur les ordinateurs (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) et demande un paiement d’une rançon de 300$ (in Bitcoins) pour les décrypter (les documents encryptés reçoivent l’extension de fichier .ctbl). Les cybers criminels responsables d’avoir lancé ce programme trompeur se sont assuré qu’il pouvait être exécuté sur toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, et Windows 8). Le rançongiciel Critroni créé des fichiers AllFilesAreLocked.bmp DecryptAllFiles.txt and [seven random letters].html dans chaque dossier contenant des fichiers encryptés.
Ces fichiers contiennent des instructions détaillant comment les utilisateurs peuvent décrypter leurs fichiers, et sur comment utiliser le navigateur Tor (un navigateur web anonyme). Les utilisateurs de Pc devraient savoir que bien que l’infection en temps que telle n’est pas difficile à supprimer, la décryption des fichiers (encryptés en utilisant l’encryption RSA 2048) affectés par ce programme malicieux est impossible sans payer la rançon. Au moment de la recherche, il n’y avait pas d’outils ou de solutions capables de décrypter les fichiers encryptés par Critroni. Notez que la clef privée requise pour décrypter les fichiers est stocké dans les serveurs de commandes et de contrôle, qui sont gérés par des cybers criminels. Ainsi, la meilleure solution est de supprimer ce virus rançongiciel et ensuite de restaurer vos données à partir d’une sauvegarde.
Les infection de rançongiciel telles que Critroni (incluant CryptoWall, CryptoDefense, CryptorBit, et Cryptolocker) sont une très bonne raison de sauvegarder régulièrement vos données stockées. Notez que de payer la rançon comme demandée par ce rançongiciel équivaudrait à envoyer votre argent à des cybers criminels – vous supporteriez leurs modèle d’affaires malicieux et il n’y a aucune garantie que vos fichiers seront jamais décryptés. Pour éviter une infection de l’ordinateur avec des infections de rançongiciel telles que celle-ci, soyez prudents quand vous ouvrez des emails, car les cybers criminels utilisent des titres accrocheurs pour tromper les utilisateurs de PC afin qu’ils ouvrent des pièces-jointes dans des emails infectés (par exemple, Notification d’Exception UPS’’ ou ‘’Notification d’échec de livraison par Fedex’’.
Nom | Critroni ransomware ou Critroni.A |
Type de menace | Ransomware, Crypto Virus, bloqueur de fichiers |
Symptômes | Impossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers. |
Méthodes de Distribution | Pièces jointes infectées (macros), sites Web torrent, publicités malveillantes. |
Dommage | Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon. |
Suppression | Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
La recherche montre que les cybers criminels utilisent aussi des réseaux P2P et de faux téléchargements contenant des infections de rançongiciel combinés pour proliférer Critroni. Habituellement, la menace du rançongiciel ‘’Vos fichiers personnels sont encryptés’’ est livré en anglais et en russe, et ainsi, les pays parlant ces langues sont au haut de la liste des cybers criminels proliférant ce logiciel malveillant.
Message présenté dans les fichiers AllFilesAreLocked.bmp DecryptAllFiles.txt and [7 lettres aléatoires].html:
Vos documents, photos, banques de données et autres fichiers importants ont été encryptés avec une clef unique générée à partir de cet ordinateur. La clef privée de décryption est stockée dans un serveur Internet secret et personne ne peut décrypter vos fichiers jusqu’à ce que vous payez et obtenez la clef privée. Si vous voyez la fenêtre principale du casier, suivez les instructions sur le casier. Sinon, il semble que vous ou votre antivirus a supprimé le programme de casier. Maintenant vous avez une dernière chance de décrypter vos fichiers.
1. Tapez l’adresse hxxp://torproject.org dans votre navigateur Internet.
Cela ouvre le site Tor.2. Pressez ''Téléchargez Tor'', ensuite pressez 'DOWNLOAD Tor Browser Bundle', installez-le et exécutez le.
3. Maintenant vous avez le navigateur Tor. Dans le navigateur Tor ouvrez hxxp://zaxseiufetlkwpeu.onion
Notez que ce serveur est disponible via le navigateur Tor seulement.
Réessayer dans une heure si vous ne pouvez pas rejoindre le site.4. Copiez et collez la clef publique qui suit dans le formulaire d’entrée du serveur. Éviter les fautes.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Suivez les instructions sur le serveur.
Capture d’écran d’un email infecté utilisé dans la distribution du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:
Texte présenté dans les emails infectés:
Subject: UPS notification
De: United Parcel Service (0511notify (at) ups.com)Cher client,
Ceci est un suivi sur la livraison de votre colis (numéro de suivi 0p2uYq5RIho). Le colis contient l’envoi mentionné ci-dessus n’a pas été accepté à l’adresse de livraison. S’il vous plaît contactez votre bureau UPS local et produisez le collant de livraison imprimé incluant dans la pièce jointe de l’email. S’il vous plaît notez que dans le cas où vous ne réussissez pas à contacter votre bureau UPS local dans les 21 jours le colis sera retourné à l’expéditeur.
Heureux de vous servir,
UPS.comCeci est un email de statut de livraison généré automatiquement, s’il vous plaît ne pas y répondre.
Capture d'écran du fichier AllFilesAreLocked.bmp:
Capture d'écran du fichier DecryptAllFiles.txt:
Capture d'écran du fichier [sept lettres aléatoires].html:
Page de paiement du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:
Message présenté sur la page de paiement du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:
Paiement requis.
Le serveur accepte les paiements en Bitcoin (BTC) seulement.
1. Payez le montant de 0.2 BTC (environ 24$ américain) à l’adresse – adresse du portefeuille Bitcoin.
2. La transaction prendra de 15-30 minutes à confirmer.
La description commencera automatiquement. Ne pas : fermer l’ordinateur, exécuter un programme antivirus, désactiver la connexion Internet. Un échec durant la récupération de la clef et la décryption des fichiers peut causer des dommages accidentels aux fichiers. Si vous n'avez aucun Bitcoins pressez ''Échanger''.
Page du taux de change de la devise de Critroni:
Notez qu'au moment d'écrire ceci, il n'y a aucun outils capable de décrypter les fichiers encryptés par Critroni sans payez la rançon. En suivant ce guide de suppression, vous serez capable de supprimer ce rançongiciel de votre ordinateur, cependant, les fichiers affectés demeurent encryptés. Nous mettrons cet article à jour au fur à mesure qu'il y aura plus d'informations disponibles concernant la décryption des fichiers compromis.
Suppression du virus Critroni:
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que le rançongiciel ''Vos fichiers personnels sont encryptés'' (Critroni)?
- ÉTAPE 1. Suppression du virus Critroni en utilisant le mode sans échec en réseau.
- ÉTAPE 2. Suppression du rançongiciel Critroni en utilisant la restauration du système.
Étape 1
Utilisateurs de Windows XP et Windows 7: Démarrer votre ordinateur en mode sans échec en réseau. Cliquez Démarrer, Cliquez Éteindre, Cliquez Redémarrer, Cliquez OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.
Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau":
Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.
Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":
Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.
Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":
Étape 2
Connectez-vous au compte qui est infecté avec le virus Critroni. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.
Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':
1. Démarrer votre ordinateur en Mode Sans Échec avec la Commande Invite. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.
2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.
3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.
4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.
5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) Critroni ait infiltré votre PC).
6. Dans la fenêtre ouverte cliquez “Oui”.
7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du ransomware (rançongiciel) Critroni.
Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de Critroni sont connus pour supprimer les fichiers de cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.
Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec commande prompte), vous devrez redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sûr rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.
Other tools known to remove Critroni ransomware:Autres outils connus pour supprimer le rançongiciel (ransomware) Critroni:
Source: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus
▼ Montrer la discussion