FacebookTwitterLinkedIn

Virus Crypt0L0cker

Aussi connu comme: Crypt0L0cker ransomware
Type: Ransomware
Niveau de dommage: Sévère

Tomas Meskauskas Écrit par le (mis à jour)

Instructions de suppression de Crypt0L0cker

Qu'est-ce que Crypt0L0cker?

Crypt0L0cker est une infection de rançongiciel qui infiltre les ordinateurs de l’utilisateur en utilisant des pièces-jointes infectés dans les emails (habituellement les sujets des emails incluent : ‘’suivi de colis’’, ‘’contravention pour vitesse’’, ‘’facture non payée’’, etc). Notez que les cybers criminels ont localisés ces arnaques par email afin qu’ils paraissent plus légitimes. Par exemples les utilisateurs d’ordinateurs qui résident au Royaume-Unis recevront de faux emails clamant qu’ils proviennent du service suivi de colis de la Royal Mail, les utilisateurs de PC de l’Australie recevront un message de l’Australia Post, etc. Après une infiltration réussie ce logiciel malveillant encrypte les fichiers dans l’ordinateur de la victime et demande de payer une rançon de 2.2 Bitcoin afin de les décrypter. Le rançongiciel Crypt0L0cker encrypte tous les fichiers trouvés sur l’ordinateur de la victime exception faite de .html, .inf, .manifest, .chm, .ini, .tmp, .log, .url, .lnk, .cmd, .bat, .scr, .msi, .sys, .dll, .exe,  .avi, .wav, .mp3, .gif, .ico, .png, .bmp et .txt (les fichiers qui sont nécessaires pour que Windows s’exécute normalement).

Les fichiers encryptés avec succès reçoivent un préfix .encrypté, dans chaque dossier contenant des fichiers encryptés Crypt0L0cker écrit des fichiers DECRYTP_INSTRUCTIONS.html et DECRYPT_INSTRUCTIONS.txt avec des instructions expliquant comme payer la rançon. Ce rançongiciel cible les utilisateurs d’ordinateur de l’Australie, de l’Autriche, du Canada, de la République Tchèque, de l’Italie, de l’Irlande, de la France, de l’Allemagne, des Pays-Bas, de la Corée, de la Thaïlande, de la Nouvelle-Zélande, de l’Espagne, de la Turquie et du Royaume-Uni. C’est une variante mise à jour d’un logiciel malveillant précédemment connu sous le nom de TorrentLocker. Les cybers criminels responsables de la création du rançongiciel Crypt0L0cker utilise le réseau TOR pour collecter le payement de la rançon par leurs victimes. Le réseau TOR assure que leurs identités et leurs emplacements demeurent anonymes.

Virsu Crypt0L0cker Les infections de rançongiciel telles que Crypt0L0cker (incluant CryptoWall, TeslaCrypt et CTB-Locker) représente une très bonne raison de maintenir des sauvegardes régulières de vos données stockées. Noter que payer la rançon telle que demandé par ce rançongiciel est équivalent à envoyer votre argent à des cybers criminels – vous supporterez leur modèle d’affaires malicieux et il n’y a aucune garantie que vos fichiers seront un jour décryptés. Pour éviter les infections d’ordinateur avec des rançongiciels tels que celui-ci, soyez prudent quand vous ouvrez des emails car les cybers criminels utilisent des titres accrocheurs pour tromper les utilisateurs de PC afin qu’ils ouvrent des pièces-jointes infectées.

Résumé de la menace :
Nom Crypt0L0cker ransomware
Type de menace Ransomware, Crypto Virus, bloqueur de fichiers
Symptômes Impossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de Distribution Pièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
Dommage Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner.
▼ Téléchargez Combo Cleaner
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite.

Noter qu’au moment d’écrire cet article aucun outil n’était disponible pour décrypter les fichiers affectés par le logiciel malveillant Crypt0L0cker sans payer la rançon.

Les cybers criminels ont traduit le rançongiciel Crypt0l0cker dans diverses langues afin de cibler différents pays, voici un exemple de ce rançongiciel ciblant les utilisateurs de PC de la Corée:

Virus Crypt0L0cker ciblant les utilisateurs de PC de la Corée

Capture d'écran du fichier DECRYTP_INSTRUCTIONS.html:

fichier Crypt0L0cker decrypt_instructions.html

Texte présenté dans le fichier DECRYTP_INSTRUCTIONS.html:

AVERTISSEMENT nous avons encryptés vos fichiers avec le virus Crypt0l0cker. Vos fichiers importants (incluant ceux sur les disques du réseau, USB, etc) : photos, vidéos, documents, etc. ont été encryptés avec notre virus Crypt0l0cker. La seule façon de récupérer vos fichiers est de nous payer. Autrement, vos fichiers seront perdus. Attention : La suppression de Crypt0l0cker ne restaurera pas l’accès à vos fichiers encryptés.

Capture d'écran du fichier  DECRYPT_INSTRUCTIONS.txt:

fichier Crypt0L0cker decrypt_instructions.txt

Texte présenté dans le fichier DECRYTP_INSTRUCTIONS.html:

!!! NOUS AVONS ENCRYPTÉ VOS FICHIERS AVEC LE VIRUS Crypt0l0cker !!!
Qu’est-ce qui est arrivé à mes fichiers? Vos fichiers importants: photos, vidéos, documents, etc. ont été encryptés avec notre virus Crypt0l0cker. Ce virus utilise un algorithme d’encryption très fort – RSA-2048. Briser l’algorithme d’encryption RSA-2048 est impossible sans la clef de décryption spéciale. Comment puis-je récupérer mes fichiers? Vos fichiers sont maintenant inutilisables et illisibles, vous pouvez vérifier en essayant de les ouvrir. La seule façon de les restaurer à leur condition normale est d’utiliser votre logiciel de décryption spécial. Vous pouvez acheter ce logiciel de décryption sur notre site web.

Site web (atteignable à travers le réseau Tor) utilisé par les cybers criminels pour collecter la rançon  (2.2 BTC):

site web de Crypt0L0cker pour achter la décryption

Échantillons d’emails infectés utilisés dans la distribution du rançongiciel Crypt0l0cker:

email infecté utilisé dans la distribution deCrypt0L0cker échantillon 1 email infecté utilisé dans la distribution deCrypt0L0cker échantillon 2 email infecté utilisé dans la distribution deCrypt0L0cker échantillon 3 email infecté utilisé dans la distribution deCrypt0L0cker échantillon 4

Échantillons de sites web escrocs utilisés dans la distribution du rançongiciel Crypt0l0cker:

Site web utilisé dans la distribution de Crypt0L0cker échantillon 1 Site web utilisé dans la distribution de Crypt0L0cker échantillon 2 Site web utilisé dans la distribution de Crypt0L0cker échantillon 3 Site web utilisé dans la distribution de Crypt0L0cker échantillon 4

Noter qu’au moment d’écrire ceci, il n’y avait aucun outil connu capable de décrypter les fichiers encryptés par Crypt0l0cker sans payer la rançon (essayer de restaurer vos fichiers à partir de Shadow copies). En suivant ce guide de suppression, vous serez capable de supprimer ce rançongiciel de votre ordinateur, cependant, les fichiers affectés demeureront encryptés. Nous mettrons cet article à jour aussitôt qu’il y aura plus d’information disponible concernant la décryption des fichiers compromis.

Suppression du rançongiciel Crypt0L0cker:

Suppression automatique et instantanée des maliciels : La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
 ▼ TÉLÉCHARGEZ Combo Cleaner Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateur de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau avec la commande invite.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec Crypt0L0cker. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le rançongiciel en utilisant le ''Mode sans échec en réseau avec la commande Invite'' et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans Échec avec la commande Invite

2. Lorsque le mode de commande invite se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

restauration du stystème en utilisant la commande invite taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

restauration des paramètres des fichiers et du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le rançongiciel Crypt0L0cker ait infiltré votre PC).

Sélectionner un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les restants du rançongiciel Crypt0L0cker.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Crypt0L0cker sont connues pour supprimer les Copies Fantômes des fichiers, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec la commande invite), vous devrez le démarrer un utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Crypt0L0cker vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

capture d'écran de shadow explorer

 Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, utiliser un programme appelé CryptoPrevent. (CryptoPrevent implante artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que Crypt0L0cker.)

capture d'écran de cryptoprevent

Autres outils connus pour supprimer Crypt0L0cker:

Source: https://www.pcrisk.com/removal-guides/8930-crypt0l0cker-virus

▼ Montrer la discussion

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

À propos de nous

PCrisk est un portail de cybersécurité, informant les internautes sur les dernières menaces numériques. Notre contenu est fourni par des experts en sécurité et des chercheurs professionnels en logiciels malveillants (maliciels). En savoir plus sur nous.

Instructions de suppression en d'autres langues
Comment se protéger contre les infections
Guides de suppression des nouveaux virus
Guides de suppression des virus les plus connus
Code QR
Crypt0L0cker ransomware Code QR
Scannez ce code QR pour avoir un accès rapide au guide de suppression du Crypt0L0cker ransomware sur votre diapositif mobile.
Nous vous recommandons :

Débarrassez-vous des infections de maliciels Windows dès aujourd'hui :

▼ SUPPRIMEZ-LES MAINTENANT Téléchargez Combo Cleaner

Plateforme: Windows

Note de l’éditeur pour Combo Cleaner :
Note!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite.