Rançongiciel HELP_YOUR_FILES

Aussi connu comme: HELP_YOUR_FILES virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du virus HELP_YOUR_FILES

Qu'est-ce que HELP_YOUR_FILES?

Récemment, une nouvelle version du rançongiciel CryptoWall a été lancée. Il vaut la peine de mentionner que c’est n’est pas la première mise à jour de ce rançongiciel, les cybers criminels ont lancé sa quatrième version, aussi conne comme le rançongiciel HELP_YOUR_FILES. This new file encrypting malware not only changes the extensions of files stored on the computer, but also changes their names with an intention of preventing the victim to recognize them (example of an encrypted file name - '8354no9f.7gt8'). Après que HELP_YOUR_FILE est terminé d’encrypter les données de la victime, il demande de payer une rançon de 700$ (1.79 Bitcoins). Si l’utilisateur de payer pas dans le délai accordé, la rançon double à soit 1400$ ou 1400 € (3.58 BTC). Toutes les informations à propos du paiement (délai, conséquences de ne pas payer la rançon et tentatives de décryption en utilisant des logiciels de tierces parties, instructions de paiement étape par étape, etc.) sont stockées dans des fichiers HELP_YOUR_FILES.PNG, HELP_YOUR_FILES.TXT et HELP_YOUR_FILES.HTML qui sont générés dans chaque registre contenant des données encryptées.

HELP_YOUR_FILES utilise la méthode d’encryption RC4. Tout comme les versions précédentes de CryptoWall, ce rançongiciel s’injecte lui-même dans Explorer.exe. Après cela, HELP_YOUR_FILES efface les clichés instantanés des volumes, désactive la Restauration du Système, éteint également Réparation des Problèmes au Démarrage de Windows en utilisant bcdedit. Même si le rançongiciel par lui-même est assez facile à supprimer, décrypter les fichiers affectés sans payer la rançon est impossible – la clef requise pour la décryption est stockées dans les serveurs de commande et contrôle, qui sont gérés par des cybers criminels. Donc, la seule façon de résoudre ce problème est de restaurer vos données à partir d’une sauvegarde.

Instructions de décryption de HELP_YOUR_FILES

Les virus d’ordinateur tels que HELP_YOUR_FILES, CTB Locker, CryptoLocker, TeslaCrypt, et CryptorBit sont une des raisons principales pourquoi vous devriez maintenir des sauvegardes régulières de vos fichiers. Les utilisateurs doivent réaliser qu’en payant la rançon ils supportent les affaires malicieuses des cybers criminels. De plus, il n’y aucune garantie que les fichiers seront jamais décryptés. Sachez que HELP_YOUR_FILES est distribué en utilisant des emails malicieux avec de fausses pièces-jointes – des fichiers zippés qui contiennent supposément certains résumés, des informations d’expédition, etc. cependant, ces pièces-jointes d’email sont en fait des fichiers JavaScript qui, quand ils sont exécutés, téléchargent d’autres fichiers infectieux exécutables, stockés dans le dossier Windows %Temp%, et il l’exécute ensuite. En fait presque chaque virus rançongiciel est distribué en utilisant de faux téléchargements (ex. torrents, fausses mises à jour de logiciels, etc.). Pour cette raison, les utilisateurs doivent être très prudents quand ils téléchargent des fiches de sources qui ne sont pas dignes de confiance. De plus, il est très important d’utiliser un antivirus ou une suite anti logiciel espion légitime, et d’également garder chaque application installée à jour.

Informations additionnelles de HELP_YOUR_FILES concernant l’encryption de données :

Information additionnelle à propos des fichiers encryptés par le rançongiciel HELP_YOUR_FILES

Texte présenté dans les fichiers HELP_YOUR_FILES.PNG, HELP_YOUR_FILES.TXT et HELP_YOUR_FILES.HTML :

Vous ne pouvez pas trouver les fichiers dont vous avez de besoin? Est-ce que le contenu des fichiers que vous avez regardés n’est pas lisible? C’est normal parce que les noms des fichiers, aussi bien que les données dans vos fichiers ont été encryptés. Félicitations! Vous faites maintenant parti de la grande communauté de CryptoWall. Si vous lisez ce texte cela signifie que CryptoWall a été installé sur votre ordinateur.
Qu’est-ce que l’encryption? L’encryption est une transformation réversible de l’information afin de la collecter de personnes non autorisées mais d’en maintenant la fournir aux personnes autorisées. Pour devenir un utilisateur autorisé et rendre le processus vraiment réversible ex. être capable de décrypter vous fichiers vous avez besoin d’avoir une clef privée spéciale. En plus de la clef privée vous avez besoin d’un logiciel de décryption avec lequel vous pouvez décrypter vos fichiers and tout remettre en place. J’ai presque compris mais qu’est-ce que je dois faire? La première chose que vous devez faire c’est lire les instructions jusqu’à la fin. Vos fichiers ont été encryptés avec le logiciel CryptoWall; les instructions que vous trouverez dans les dossiers avec les fichiers encryptés ne sont pas des virus; ils sont là pour vous aidez. Après avoir lu ce texte 100% des gens se tourne vers un moteur de recherche avec le mot CryptoWall où ils trouveront beaucoup d’idées, d’avis et d’instructions. Penser logiquement – nous sommes qui avons mis le verrou sur vos fichiers et nos sommes les seuls qui ont cette clef mystérieuse qui permet de les ouvrir. N’importe quelle de vos tentatives pour restaurer vos fichiers avec des outils de tierces parties peut être fatal pour les fichiers encryptés. Le fait est qu’en changeant les données dans les fichiers encryptés (100% des logiciels de restaurations des fichiers font ceci, à part le logiciel de décryption spécial) vous causer des dommages aux fichiers et il sera impossible de décrypter les fichiers. C’est la même chose que de collecter une mosaïque quand certains items de la mosaïque étaient perdus, brisés ou pas à leur place – l’image n’émergera pas, le logiciel de restauration de fichiers ne sera pas capable d’afficher l’image, et la ruinera complètement et de façon irréversible. Utilisez le logiciel de restauration de fichiers peut ruiner vos fichiers pour toujours, et cela sera seulement de votre faute. Rappelez-vous que toute intervention du logiciel étranger pour restaurer les fichiers encryptés avec le logiciel CryptoWall pourrait être le point de non retour. Dans le cas où ces règles simples sont violées nous serons incapables de vous aidez, et nous n’essayerons parce que nous vous avons averti. Pour votre information le logiciel pour décrypter les fichiers (aussi que la clef privée qui vient avec) sont des produits payés. Après avoir acheté le paquet logiciel vous pouvez 1. Décrypter tous vos fichiers 2. Travailler avec vos documents. 3. Visionner vos photos et d’autre contenu média. 4. Continuer votre travail habituel confortablement à votre ordinateur. Si vous êtes conscient de toute l’importance et de la gravité de la situation, nous vous suggérons d’aller directement à votre page personnelle où on vous donnera les instructions finales, aussi bien que des garanties pour restaurer vos fichiers.
Qu’est-ce que j’ai à voir avec ces préoccupations? Si vous parcourez les instructions en format TXT (le fichier qui a un icône sur votre navigateur Internet) (si vous avez les instructions en HTML, alors vous êtes mieux de l’exécuter). Informations additionnelles : Pour votre commodité les instructions sont faites en trois formats de fichiers – html, txt et png. Malheureusement, les compagnies d’antivirus ne peuvent pas protéger et ils ne peuvent pas non plus les restaurer mais en plus ils rendent les choses pires en supprimant les instructions pour restaurer les fichiers encryptés. Les instructions ne sont pas des logiciels malveillants, ils sont de nature informative seulement, alors toute plainte concernant l’absence de fichiers d’instructions, vous pouvez envoyer à votre compagnie d’antivirus. CryptoWall Project n’est pas malicieux et ne vise pas à blesser une personne ni endommager ses données. Ce projet est menée avec la seule intention de fournir des instructions dans le domaine de la sécurité d’informations, aussi bien que pour certifier la pertinence des produits antivirus pour protéger les données. Ensemble nous rendons faisons de l’Internet un endroit meilleur et plus sécuritaire. Si vous apercevez ce texte sur Internet et comprenez que quelque chose ne va pas avec vos fichiers et vous n’avez aucune instructions pour restaurer vos fichiers, contacter le soutien de votre antivirus. Rappelez-vous que le pire est déjà arrivé et la vie de vos fichiers dépend directement de votre détermination et de la vitesse de vos actions.

Instructions de paiement du rançongiciel HELP_YOUR_FILES :

Instructions de paiement fournies par le rançongiciel HELP_YOUR_FILESÉchantillons des emails infectés répandant le rançongiciel HELP_YOUR_FILES :

Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 1) Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 2) Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 3) Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 4) Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 5) Pourriels générés par le rançongiciel HELP_YOUR_FILES (échantillon 6)

Instructions de suppression du rançongiciel HELP_YOUR_FILES

Suppression instantanée automatique de HELP_YOUR_FILES virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer HELP_YOUR_FILES virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus HELP_YOUR_FILES. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec la commande Invite'' et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l.invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel HELP_YOUR_FILES ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants du rançongiciel HELP_YOUR_FILES..

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de HELP_YOUR_FILES sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançon désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par HELP_YOUR_FILES vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

  Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que HELP_YOUR_FILES.)

HitmanPro.Alert CryptoGuard - détecte l'encryption des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application prévenant le rançongiciel hitmanproalert

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel HELP_YOUR_FILES :

Source: https://www.pcrisk.com/removal-guides/9536-help-your-files-ransomware

Jean-Louis Simon

bonjour,;

en sept.2016 j'ai perdu toutes mes images,
documents tout ce qui était sur mon PC à cause du virus Zepto qui m'a
tout crypté et demandant une rançon

suite à ça, je me suis abonné à Kaspersky que je paie depuis car on m'a dit que c'était un des meilleurs

antivirus

j'ai
conservé mon disc dur externe que j'avais malheureusement laissé
branché ce jour là quand le virus m'avait tout crypté au cas où un clé
de décryptage soit trouvée un jour

plus de 3ans après, je voudrais savoir si une clé a été trouvée ?.

Marie R.

Bonjour, j'ai suivi toutes vos instructions. Il semble qu'il n'y ait plus de traces de Pitchofcase dans mon ordinateur (Mac), j'ai effectué un scan complet avec l'antivirus, il a détecté et supprimé 3 fichiers à risque. Cependant, les préférences systèmes et les applications d'origine Mac (safari, notes, itunes, notes, etc) sont en anglais. L'ordinateur n'enregistre pas les modifications via préférences systèmes > langage, même après avoir redémarré.. Que puis-je faire svp ? Merci de votre aide.

ggh

qui peut me donner sa clé de licence svp

Toïlev

Merci ! 24h que je me baladais sur internet pour trouver une solution et éradiquer cette saloperie. Là avec votre tuto, j'ai enfin réussi !

felamihaja RAZAFIMANDIMBY

Bonjour je pense que je me suis fait arnaqué par lucky visitor mais le lien c'est pas le même es ce que c'est la même chose ou quoi? Le lien c'est hxxp://google.com-fr1-wow1-lucky-visitor-giveaways
Merci de m'avoir répondu

Tomas Meskauskas

Hi gycouture, try using the tip of removing a rogue profile in "System Preferences", you can see it here - https://www.pcrisk.com/remo...

gycouture

bonjour

j'ai tout essayé ce qui est mentionné ici, sans succès. à chaque redémarrage, il est là. je suis sur mac avec sierra. j'ai jeté firefox, je l'ai réinstallé, même problème, search.chill-tab se réinstalle dans ma page d'accueil et dans les préférences de moteurs de recherche. j'ai jeté tous les fichiers que j'ai trouvé qui s'étaient installés dans les derniers jours, mais ça non plus, ça ne fonctionne pas.

des idées de ce que je pourrais faire ?

merci, merci!

RelicZexide

can you do opera ?

Eole#89

Je viens de recevoir dans firefox cette page du type sparadrap du capitaine Haddock.
Le numéro qui était à appeler était celui-ci : 09-70-73-63-21.

Comme je suis sous linux, sortir de firefox ('killall firefox' dans un terminal) me permit de m'en défaire.
Je pense que installer Linux dans ses différentes variantes serait une bonne solution pour ne pas prêter le flanc à ce type de saloperies.

Kamille Bdr

Bonjour ;
J'ai eu ce fameux message me demandant d'appeler un numéro. Pensant qu'il s'agissait d'une arnaque j'ai voulu fermer et là surprise ... mon ordinateur s'est éteint et depuis impossible de le rallumer ??
Y'a t il une solution pour que je ne sois pas obligée de l'emmener chez un réparateur ?

-_*78500*_-

Rien ne m'a aidé le logiciel est trop bien caché je pense que je vais devoir changer de navigateur

Pierre

Perso rien n'a marché. 14-08-2016
Dans répertoire firefox 2 fichiers nouveaux ou mis à jour récemment :
- wtapi32.dll
- vasidfnskf.cfg
suppression -> tout est OK.

Madeleine NYEMB

Merci infiniment pour cet article. Je n'arrivais plus à naviguer correctement à cause de Trotux. Moi qui fait toujours attention, je ne sais vraiment pas comment il a pu s'installer. Sans doute un nouveau programme téléchargé. Dans le doute, j'ai dû désinstallé toutes les nouveautés.
Heureusement grâce à vos conseils, c'est de l'histoire ancienne. Merci!!!

Yassine Chaouche

A quel moment se fait le décryptage ?

swapof

ouahou !!
16 : une fois tous terminé,effacer la partition Windows et agrandissez celle de Linux ...

Manub1

Bonjour

Il est possible de récupérer les fichiers mais cela demande un peu de connaissances et de patience.

1) démonter le DD infecté sans faire d'opérations d'écriture sur ce DD et le mettre de côté
2 ) acheter un nouveau DD ou prendre une autre machine
3) installer Linux Mint 17.3 ou autre (Ubuntu, Debian, ...) sur le nouveau DD ou autre machine.
4) installer sophos AV pour linux (voir docs en ligne à ce sujet)
5) installer R-Studio (acheter licence à 80 $)
6) installer DD infecté sur Machine Linux
7) passer Sophos AV par sécurité avec la commande sudo savscan / (de qqs mn à 1 h)
8) lancer R-Studio et lui demander de scanner les partitions NTFS (de 1 h à qqs heures voire plus selon le volume de données)
9) vos fichiers sont présents MAIS ils ont pris le libellé $XXXXXX.doc, .xls. etc .
10) recopier l'arborescence de vos répertoires de l'ancien DD sur le nouveau DD (ou ailleurs)
11) supprimer les .locky et les .txt (recovery)
12) restaurer les fichiers $XXXXXX (recup des doc, xls, eml, pts, etc ) vers un répertoire ZZZZ que vous créer dans le / Home (au même niveau que Documents)
En réalité, il semblerait que l'auteur du rançonware crypte les fichiers puis supprime les originaux (d'après mon analyse et qqs lectures du WEB)
13) installer une virtualbox XP ou Win 7 + logiciels MS
14) partager le répertoire ZZZZ et répertoire /home dans virtualbox pour permettre l'accès de la VM Win sur les dossiers Linux.
13) ouvrez vos fichiers dans la VM avec Ms Office ou autre et sauvegarder les dans votre arborescence restaurée ou ailleurs
14) réimporter dans Outlook vos mails ou carnets d'adresses
15) etc pour autres logiciels

Le boulot est fastidieux mais c'est la meilleure solution à ce jour

Autre piste sans passer par Linux mais même méthode en utilisant Recuva (Piriform) ou similaire en utilisant la même procédure avec une machine Windows.

Je viens de mettre en œuvre cette procédure et on vient de récupérer qqs années de données pour un client.

Bien entendu cette procédure est ouverte et d'autres variantes sont possibles. Celle-ci a le mérite d'être fiable et souple.

A vos claviers

Cdlt

Emmanuel

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
HELP_YOUR_FILES virus Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du HELP_YOUR_FILES virus sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de HELP_YOUR_FILES virus aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.