Rançongiciel .Odin

Aussi connu comme: virus .odin
Distribution: Bas
Niveau de dommage: <strong>Sévère</strong>

Le supprimer maintenant

Description Suppression Prévention

Instructions de suppression du rançongiciel Odin

Qu'est-ce qu'Odin?

Odin est une nouvelle version du rançongiciel Locky. Les cybers criminels propagent Odin via des fichiers scripts malicieux joints à des pourriels. Une fois que la victime exécute le script, un fichier malicieux encrypté sera téléchargé, décrypté et exécuté en utilisant le programme Windows (Rundll32.exe). Ce fichier malicieux encrypte et renomme ensuite divers types de fichiers (ex. .doc, .ppt, .php, .html, etc.) stockés sur l’ordinateur de la victime. Odin se comporte exactement de la même manière que sa version précédente (Locky). Cependant, plutôt que d’ajouter l'extension ".locky", ou ".zepto" , cette version ajoute l'extension version appends ".odin" . Les fichiers sont renommés en utilisant le modèle "[Victims ID]-[4 symbols]-[12 symbols].odin" (ex., "sample.jpg" encrypté sera renommé quelque chose comme "D56F3331-E80D-9E17-8D2A-1A11D40A6BD3.odin"). Après un cryptage réussi, Odin créé trois fichiers ("_5_HOWDO_text.html", "_HOWDO_text.bmp" (configuré comme fond d'écran du bureau de la victime) et "_HOWDO_text.html") et les placent sur le bureau de la victime.

Les victimes sont informées que les fichiers sont encryptés en utilisant une cryptographie asymétrique. Cela signifie que deux clefs (publique [cryptage] et privée [décryptage]) sont générées durant le cryptage. Le message énonce que la clef privée est stockée sur un serveur à distance contrôlé par les développeurs d’Odin. Donc, afin de recevoir cette clef les victimes doivent visiter un des liens fournis vers le Projet Tor. On fournira ensuite aux victimes des informations détaillées concernant le paiement. Sachez que le décryptage sans la clef privée est impossible. Pour cette raison, les cybers criminels tentent de vendre un outil de décryptage (avec une clef privée activée) pour 3 Bitcoins (valant actuellement ~$1811). Le montant de la rançon est plutôt large, car la plus part des développeurs de rançongiciels demandent .5-1.5 Bitcoins. Néanmoins, nous vous recommandons fortement d’ignorer tous les encouragements à payer la rançon et à contacter ces personnes. Les résultats de recherche montrent que les cybers criminels ignorent souvent les victimes, même si elles paient. Pour cette raison, il y a de fortes chances que vous serez arnaqué. Payer est équivalent à envoyer de l’argent à des cybers criminels – vous supporterez simplement leurs entreprises malicieuses. Malheureusement, il n’y a actuellement aucun outil capable de craquer le cryptage d’Odin, donc, la seule solution à ce problème est de restaurer les fichiers/le système à partir d’une sauvegarde.

Capture d’écran (fond d’écran) encourageant les utilisateurs à contacter les développeurs du rançongiciel Odin pour décrypter leurs données compromises :

Instructions de décryptage d'Odin

Odin a des caractéristiques très similaires à d'autres virus de types rançongiciels, tels que CrypMIC, Cry, Cerber, et Philadelphia. En fait, tous les virus sont virtuellement identiques. Ils sont conçus pour encrypter les fichiers des victimes et demander une rançon. Most use asymmetric encryption algorithms, thus, the only noticeable difference is size of ransom. La plus part utilisent un algorithme de cryptage asymétrique, donc, la seule différence notable c’est le montant de la rançon. Ces virus seront plus que probablement distribués via des pourriels (pièces-jointes malicieuses), des réseaux pairs-à-pairs (P2P), de faux outils de mise à jour de logiciels, et des trojans. Pour cette raison, les utilisateurs devraient être très prudents quand ils ouvrent des fichiers reçus d’adresse email non reconnues/suspectes, aussi bien que quand ils téléchargent des fichiers à partir de  sources de tierces parties (ex., sites web de téléchargement de logiciels gratuits). Gardez toutes vos applications installées à jour et utilisez une suite antivirus/anti logiciel espion est aussi très important. Un comportement imprudent et un manque de connaissance est souvent la raison principale de l’infection. Donc, la clef de la sécurité d’ordinateur c’est la prudence.

Texte dans les fichiers "_5_HOWDO_text.html", "_HOWDO_text.bmp" er "_HOWDO_text.html" d'Odin :

d=*-|==** __$$|$
.+.|.
|.=_=$-*$|-$|=|++-|+
!!! INFORMATION IMPORTANTE !!!!
Tous vos fichiers sont encryptés avec les chiffres RSA-2048 et AES-128.
Plus d'informations à propos de RSA et d'AES peuvent être trouvées ici:
hxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Le décryptage de vos fichiers est seulement possible avec la clef privée et le programme de décryptage, qui est sur notre serveur secret.
Pour recevoir votre clef privée suivez un des liens :
hxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80D9E17
hxxp://jhomitevd2abj3fk.onion.to/D56F3331E80D9E17
Si toutes ces adresses ne sont pas disponibles, suivez ces étapes :
1. Télécharger et installer le Navigateur Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécutez le navigateur et attendez l'initialisation.
3. Taper dans la barre d'adresse : jhomitevd2abj3fk.onion/D56F3331E80D9E17
4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnel : D56F3331E80D9E17 !!!
=+_$ =** +.+
+=*_$.*.=_
=__|+-$|+*.=*$
=-.$

Capture d'écran du fichier html du rançongiciel Odin (_HOWDO_text.html):

fichier html du rançongiciel Odin

Capture d'écran du fond d'écran du bureau du rançongiciel Odin :

Fond d'écran du bureau du rançongiciel Odin

Capture d'écran du site web Tor du rançongiciel Odin :

Site web du rançongiciel Odin

Texte présenté sur le site web d'Odin:

Locky Decryptor™

Nous présentons un logiciel spécial -  Locky Decryptor™ - qui permet de décrypter et de récupérer le contrôle de tous vos fichiers encryptés.
Comment acheter Locky Decryptor™
Vous pouvez faire un paiement avec des Bitcoins, il y a plusieurs méthodes pour en obtenir.
vous devrez enregistrer un portefeuille Bitcoin :
Portefeuille en ligne le plus simples ou autres méthodes pour créer un portefeuille.
Acheter des Bitcoins, bien que ne ce soit pas encore facile d’acheter des Bitcoins, cela devient de plus en plus simples chaque jour.
Voici nos recommandations :
localbitcoins.com (WU) Acheter des Bitcoins avec Western Union.
coincafe.com Recommandé, pour un service rapide et simple.
Méthodes de paiement : Western Union, Bank of America, Comptant par FedEx, Moneygram,Mandat Poste. À NYC: Bitcoin ATM, en personne.
localbitcoins.com le service vous perment de chercher des gens dans votre communauté prêts à vous vendre des Bitcoins directement.
cex.io Acheter des Bitcoins avec VISA/MASTERCARD ou transfert bancaire.
btcdirect.eu Le meilleur pour l’Europe.
bitquick.co Acheter des Bitcoins instantanément avec de l’argent.
howtobuybitcoins.info Un registre internationnal des échanges de bitcoin.
cashintocoins.com Bitcoin pour de l’argent.
coinjar.com CoinJar permet l’achat de bitcoins directement sur leur site.
anxpro.com
bittylicious.com
Envoyer 3.00 BTC à l'adresse Bitcoin : 1BkR8zL6jAn8zcF4t6FM85DYLFG1dZ12ip
Note: Paiement en attente pour 30 minutes ou plus pour une confirmation de la transaction, s'il vous plaît soyez patients ...
Actualiser la page et télécharger le décrypteur.
Quand les transactions Bitcoin recevront une confirmation, vous serez redirigé vers la page pour télécharger le décrypteur.

Capture d'écran des fichiers encryptés par le rançongiciel Odin (modèle "[Victims ID]-[4 symbols]-[12 symbols].odin"):

rançongiciel Odin encryptant les fichiers des victimes

Exemple d'un pourriel propageant le rançongiciel Odin :

De: "Melody"
À : ******
Sujet: Documents Demandés
Date: Mercredi, 28 Septembre 2016 14:04:22
Cher ******,
Veuillez trouver ci-joint les documents tels que demandé.
Meilleures salutations,
Melody
Pièce-jointe: doc(553).zip

Types de fichiers encryptés par le rançongiciel Odin :

.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .CSV, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .DOC, .docb, .docm, .docx, .dot, .DOT, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (Security copy), .msg, .myd, .MYD, .MYI, .ndd, .ndf, .nef, .NEF, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPT, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .RTF, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

Suppression du rançongiciel Odin :

Menu rapide: Solution rapide pour supprimer virus .odin

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Odin. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


TÉLÉCHARGER
Suppresseur pour virus .odin

Si vous avez besoin d'aide avec la suppression de rançongiciel .odin, appellez-nous 24/7:
+33 (0)5 82 84 04 12
En téléchargeant n’importe quel programme listé sur ce site web vous acceptez notre politique de vie privée et les conditions d’utilisation. Le scanneur SpyHunter’s est utilisé pour la détection de virus pour supprimer les infections détectées vous devrez acheter une version complète de ce produit. Plus d’informations sur SpyHunter. Si vous souhaitez désinstaller SpyHunter suivez ces instructions. Tous les produits que nous recommandons sont soigneusement testés et approuvé par nos techniciens comme étant une des solutions les plus efficaces pour supprimer cette menace.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Odin ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé tpour éliminer tous les fichiers restants du rançongiciel Odin.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes d'Odin sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Odin, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Odin.)

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Odin :

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous voulez nous encourager vous pouvez nous envoyer un don.