Rançongiciel Samsam

Aussi connu comme: Samsam virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Samsam

Qu'est-ce que Samsam?

Samsam est un rançongiciel à haut risque conçu pour protéger les serveurs non protégés et les fichiers encryptés stockés sur les ordinateurs qui sont en réseau avec le serveur infecté. Ce rançongiciel est distribué manuellement. Samsam ajoute au nom de chaque fichier encrypté une des extensions suivantes : .encryptedAES, .encryptedRSA, .encedRSA, .justbtcwillhelpyou, .btcbtcbtc, ou .btc-help-you – cela dépend de la version du rançongiciel. Samsam emploi l’algorithme de cryptage asymétrique RSA-2048 et, donc, deux clefs (publique et privée) sont générées durant le cryptage – publique pour le cryptage, privée pour le décryptage. Les cybers criminels demandent le paiement d’une rançon en échange d’une clef privée. Restaurer les fichiers sans cette clef est impossible. Après le cryptage des fichiers, Samsam se désinstalle automatiquement du PC de la victime.

Les cybers criminels emploient divers outils (par exemple, Jaxboss) pour identifier les serveurs qui utilisent les produits de l’entreprise Red Hat's JBoss. En plus de crypter les fichiers, Samsam rassemble des informations détaillées à propos des PC en réseaux. Durant le cryptage, Samsam créé un fichier HTML demandant une rançon nommé 'HELP_DECRYPT_YOUR_FILES.HTML', et le place sur le bureau. Ce fichier contient un message énonçant que les fichiers sur les ordinateurs en réseaux ont été encryptés et que les victimes doivent payer une rançon de 1 Bitcoin par PC infecté. Le fichier fournit des instructions de paiement étape par étape. Donc, nous vous recommandons fortement de déconnecter le serveur infecté du réseau dès la découverte du rançongiciel. De cette façon, vous serez capable de prévenir de plus amples infections. Actuellement, un Bitcoin est équivalent à 446,90$ et, donc, payer la rançon pour un grand réseau d’ordinateur pourrait coûter des milliers de dollars. Malheureusement, il n’y a aucun outil présentement capable de restaurer les fichiers encryptés par Samsam – la clef privée est stockée sur des serveurs à distance contrôlés par des cybers criminels et sans celle-ci le décryptage est impossible. Donc, la seule solution à ce problème est de restaurer vos fichiers à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à contacter les développeurs du rançongiciel Samsam pour décrypter leurs données compromises :

Instructions de décryptage de Samsam

Bien que la plus part des rançongiciels ne soient pas distribués manuellement (il infiltre habituellement les systèmes via de fausses mises à jour de logiciels, des pièces jointes infectieuses, des fichiers malicieux distribués via des réseaux P2P (pair à pair) (tels que des Torrents), et/ou des trojans), Samsam partage plusieurs similarités avec CryptoWall, CTB-Locker, Locker, et des douzaines d’autres virus de types rançongiciels. Tous encryptent les fichiers des victimes et demandent une rançon. La seule différence est la taille de la rançon et le type d’algorithme de cryptage utilisé. Noter que les fichiers demeureront très probablement encryptés même après avoir payé la rançon. Pour prévenir cette situation, vous devriez garder vos logiciels installés à jour. En plus, soyez prudents quand vous ouvrez des pièces-jointes envoyées à partir d’adresses email non reconnues et quand vous téléchargez des fichiers/logiciels à partir de sources de tierces parties. Utilisez une suite antivirus ou anti logiciel espion est aussi essentiel.

Message de Samsam demandant une rançon (HELP_DECRYPT_YOUR_FILES.HTML):

Message de Samsam demandant une rançon

Message demandant une rançon présenté dans le fichier HELP_DECRYPT_YOUR_FILES.HTML :

#Qu’est-il arrivé à vos fichiers?
Tous vos fichiers importants ont été encryptés avec RSA-2048, RSA-2048 est un algorithme de cryptographie puissant. Pour plus d’informations vous pouvez utiliser Wikipédia.
*attention. Ne renommez ou n’éditez pas les fichiers encryptés parce que cela fera en sorte qu’il sera impossible de décrypter vos fichiers.

#Comment récupérer vos fichiers?
Le RSA est un algorithme de cryptographie asymétrique, vous aurez besoin de deux clefs
1- Clef publique : vous en avez besoin pour le cryptage
2- Clef privée : vous en avez de besoin pour le décryptage

Alors vous avez besoin de la clef privée pour récupérer vos fichiers. C’est impossible de récupérer vos fichiers sans la clef privée.

#Comment obtenir la clef privée?
Vous pouvez recevoir votre clef privée en 3 étapes faciles :

Étape 1 : Vous devez nous envoyer un Bitcoin pour chaque ordinateur infecté afin de recevoir la Clef Privée.
Étape 2 : Après que vous nous ayez envoyé un Bitcoin, Laissez un commentaire sur notre blog avec ces détails : Votre référence de la transaction Bitcoin + Votre nom d’ordinateur.

#Qu’est-ce que les Bitcoins?
Bitcoin est un réseau de paiement innovateur et une nouvelle sorte d’argent. Vous pouvez créer un compte Bitcoin au hxxp://blockchain.info et déposez de l’argent dans votre compte et ensuite nous l’envoyer.

#Comment acheter des Bitcoins?
Il y a plusieurs façons d’acheter des Bitcoins et de les déposer dans votre compte, vous pouvez les acheter avec WesternUnion, Bank Wire, par Transfert Bancaire International, dépôt d’argent et etc. si vous voulez payer avec votre compte bancaire d’affaires vous devriez créer un compte d’affaires dans exchangers ils n’acceptent pas le paiement de tierces parties.

#Comment trouver la référence de transaction Bitcoin?
Connectez-vous à votre compte blockchain -> aller à l’onglet ‘’Mes transaction’’ ->Cliquer sur votre transaction -> dans la page ‘’Sommaire des Transactions’’, vous trouverez un ‘’dièse’’ de 64 caractères. Envoyez-nous ce dièses avec votre commentaire sur notre blog + votre nom d’ordinateur.

Types de données ciblées par le rançongiciel Samsam :

.jin, .xls, .xlsx, .pdf, .doc, .docx, .ppt, .pptx, .txt, .dwg, .bak, .bkf, .pst, .dbx, .zip, .rar, .mdb, .asp, .aspx, .html, .htm, .dbf, .3dm, .3ds, .3fr, .jar, .3g2, .xml, .png, .tif, .3gp, .java, .jpe, .jpeg, .jpg, .jsp, .php, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .kbx, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asx, .avi, .awg, .back, .backup, .backupdb, .pbl, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .phtml, .php5, .cs, .csh, .csl, .tib, .csv, .dac, .db, .db3, .db .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .dot, .docm, .dotm, .dotx, .drf, .drw, .dtd, .dxb, .dx f, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fmb, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .or f, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pef, .pem, .pfx, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .pptm, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .vob, .war, .wallet, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv

Suppression du rançongiciel Samsam :

Suppression instantanée automatique de Samsam virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Samsam virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et Windows 7: Démarrer votre ordinateur en Mode Sans Échec. Cliquer Démarrer, cliquer Éteindre, Cliquer Redémarrer, cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Samsam. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le virus de rançongiciel en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus de rançongiciel Samsam ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants de Samsam.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de Locker sont connus pour supprimer les Shadow Volume Copies des fichiers, alors cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec la commande invite), redémarrer votre ordinateur en un utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Samsam vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

capture d'écran de shadow explorer

 Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, utiliser un programme appelé HitmanPro.Alert et Malwarebytes Anti-Ransomware qui implante artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Samsam.)

HitmanPro.Alert CryptoGuard - détecte le cryptage de fichiers et neutralise de telles tentatives sans avoir besoin que l'utilisateur intervienne:

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Samsam :

Source: https://www.pcrisk.com/removal-guides/9992-samsam-ransomware