Virus 'Vos fichiers personnels sont encryptés'

Aussi connu comme: Critroni ransomware ou Critroni.A
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du virus 'Vos fichiers personnels sont encryptés'

Qu'est-ce que 'Vos fichiers personnels sont encryptés' (Rançongiciel Critroni)?

Le virus rançongiciel Critroni infiltre les systèmes d’exploitation de l’utilisateur via les emails infectés et de faux téléchargements (par exemple, de faux lecteurs vidéo ou de fausses mises à jour de Flash). Après une infiltration réussie, ce programme malicieux encrypte les fichiers sauvegardés sur les ordinateurs (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) et demande un paiement d’une rançon de 300$ (in Bitcoins) pour les décrypter (les documents encryptés reçoivent l’extension de fichier .ctbl). Les cybers criminels responsables d’avoir lancé ce programme trompeur se sont assuré qu’il pouvait être exécuté sur toutes les versions de Windows (Windows XP, Windows Vista, Windows 7, et Windows 8).  Le rançongiciel Critroni créé des fichiers AllFilesAreLocked.bmp DecryptAllFiles.txt and [seven random letters].html dans chaque dossier contenant des fichiers encryptés.

Ces fichiers contiennent des instructions détaillant comment les utilisateurs peuvent décrypter leurs fichiers, et sur comment utiliser le navigateur Tor (un navigateur web anonyme). Les utilisateurs de Pc devraient savoir que bien que l’infection en temps que telle n’est pas difficile à supprimer, la décryption des fichiers (encryptés en utilisant l’encryption RSA 2048) affectés par ce programme malicieux est impossible sans payer la rançon. Au moment de la recherche, il n’y avait pas d’outils ou de solutions capables de décrypter les fichiers encryptés par Critroni. Notez que la clef privée requise pour décrypter les fichiers est stocké dans les serveurs de commandes et de contrôle, qui sont gérés par des cybers criminels. Ainsi, la meilleure solution est de supprimer ce virus rançongiciel et ensuite de restaurer vos données à partir d’une sauvegarde.

Rançongiciel (citroni) Vos fichiers personnels sont encryptés

Les infection de rançongiciel telles que Critroni (incluant CryptoWall, CryptoDefense, CryptorBit, et Cryptolocker) sont une très bonne raison de sauvegarder régulièrement vos données stockées. Notez que de payer la rançon comme demandée par ce rançongiciel équivaudrait à envoyer votre argent à des cybers criminels – vous supporteriez leurs modèle d’affaires malicieux et il n’y a aucune garantie que vos fichiers seront jamais décryptés. Pour éviter une infection de l’ordinateur avec des infections de rançongiciel telles que celle-ci, soyez prudents quand vous ouvrez des emails, car les cybers criminels utilisent des titres accrocheurs pour tromper les utilisateurs de PC afin qu’ils ouvrent des pièces-jointes dans des emails infectés (par exemple, Notification d’Exception UPS’’ ou ‘’Notification d’échec de livraison par Fedex’’.

La recherche montre que les cybers criminels utilisent aussi des réseaux P2P et de faux téléchargements contenant des infections de rançongiciel combinés pour proliférer Critroni. Habituellement, la menace du rançongiciel ‘’Vos fichiers personnels sont encryptés’’ est livré en anglais et en russe, et ainsi, les pays parlant ces langues sont au haut de la liste des cybers criminels proliférant ce logiciel malveillant.

Message présenté dans les fichiers AllFilesAreLocked.bmp DecryptAllFiles.txt and [7 lettres aléatoires].html:

Vos documents, photos, banques de données et autres fichiers importants ont été encryptés avec une clef unique générée à partir de cet ordinateur. La clef privée de décryption est stockée dans un serveur Internet secret et personne ne peut décrypter vos fichiers jusqu’à ce que vous payez et obtenez la clef privée. Si vous voyez la fenêtre principale du casier, suivez les instructions sur le casier. Sinon, il semble que vous ou votre antivirus a supprimé le programme de casier. Maintenant vous avez une dernière chance de décrypter vos fichiers.

1. Tapez l’adresse hxxp://torproject.org dans votre navigateur Internet.
   Cela ouvre le site Tor.

2. Pressez ''Téléchargez Tor'', ensuite pressez 'DOWNLOAD Tor Browser Bundle', installez-le et exécutez le.

3. Maintenant vous avez le navigateur Tor. Dans le navigateur Tor ouvrez hxxp://zaxseiufetlkwpeu.onion
   Notez que ce serveur est disponible via le navigateur Tor seulement.
   Réessayer dans une heure si vous ne pouvez pas rejoindre le site.

4. Copiez et collez la clef publique qui suit dans le formulaire d’entrée du serveur. Éviter les fautes.
436VPT-XI445Z-X4CFSL-MPOT6U-PQL2TK-74RNAQ-XYCCWO-ADYDL6
27UGA3-4YIAVP-IF3TTK-YGXGAI-3FATAX-SFK2XJ-VMELOS-YQNMI7
Q456FO-OVG476-FXKES2-TIAVXZ-ME2RLY-OWBKKV-L7EWNS-KYSWLB
5. Suivez les instructions sur le serveur.

Capture d’écran d’un email infecté utilisé dans la distribution du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:

Distribution du rançongiciel Vos fichiers sont encryptés (citroni) via des emails infectés

Texte présenté dans les emails infectés:

Subject: UPS notification
De: United Parcel Service (0511notify (at) ups.com)

 Cher client,

 

    Ceci est un suivi sur la livraison de votre colis (numéro de suivi 0p2uYq5RIho). Le colis contient l’envoi mentionné ci-dessus n’a pas été accepté à l’adresse de livraison. S’il vous plaît contactez votre bureau UPS local et produisez le collant de livraison imprimé incluant dans la pièce jointe de l’email. S’il vous plaît notez que dans le cas où vous ne réussissez pas à contacter votre bureau UPS local dans les 21 jours le colis sera retourné à l’expéditeur.

 

    Heureux de vous servir,
    UPS.com

    Ceci est un email de statut de livraison généré automatiquement, s’il vous plaît ne pas y répondre.

Capture d'écran du fichier AllFilesAreLocked.bmp:

citroni allfilesarelocked bmp

Capture d'écran du fichier DecryptAllFiles.txt:

citroni decryptallfiles txt

Capture d'écran du fichier [sept lettres aléatoires].html:

citroni decrypt html file

Page de paiement du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:

Page de paiement du rançongiciel citroni

 Message présenté  sur la page de paiement du rançongiciel ‘’Vos fichiers personnels sont encryptés’’:

Paiement requis.
Le serveur accepte les paiements en Bitcoin (BTC) seulement.
1. Payez le montant de 0.2 BTC (environ 24$ américain) à l’adresse – adresse du portefeuille Bitcoin.
2. La transaction prendra de 15-30 minutes à confirmer.
La description commencera automatiquement. Ne pas : fermer l’ordinateur, exécuter un programme antivirus, désactiver la connexion Internet. Un échec durant la récupération de la clef et la décryption des fichiers peut causer des dommages accidentels aux fichiers. Si vous n'avez aucun Bitcoins pressez ''Échanger''.

Page du taux de change de la devise de Critroni:

Page de conversion de la devise en bitcoins de citroni

Notez qu'au moment d'écrire ceci, il n'y a aucun outils capable de décrypter les fichiers encryptés par Critroni sans payez la rançon. En suivant ce guide de suppression, vous serez capable de supprimer ce rançongiciel de votre ordinateur, cependant, les fichiers affectés demeurent encryptés. Nous mettrons cet article à jour au fur à mesure qu'il y aura plus d'informations disponibles concernant la décryption des fichiers compromis.

Suppression du virus Critroni:

Menu rapide:

Étape 1

Utilisateurs de Windows XP et Windows 7: Démarrer votre ordinateur en mode sans échec en réseau. Cliquez Démarrer, Cliquez Éteindre, Cliquez Redémarrer, Cliquez OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.

Mode sans échec en réseau dans Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Critroni. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Télécharger suppresseur pour Critroni ransomware ou Critroni.A
1) Télécharger et installer   2) Exécuter le scan du système   3) Profitez du fait que votre ordinateur est propre!

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Reimage.


Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le ransomware (rançongiciel) en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':

1. Démarrer votre ordinateur en Mode Sans Échec avec la Commande Invite. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échech en réseau avec la commande invite

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite tapez cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

restaurations des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le ransomware (rançongiciel) Critroni ait infiltré votre PC).

sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du ransomware (rançongiciel)  Critroni.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de Critroni sont connus pour supprimer les fichiers de cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.

Restaurez les fichiers encryptés par Critroni

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec commande prompte), vous devrez redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sûr rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Other tools known to remove Critroni ransomware:Autres outils connus pour supprimer le rançongiciel (ransomware) Critroni:

Source: https://www.pcrisk.com/removal-guides/8120-your-personal-files-are-encrypted-virus