Rançongiciel *.zzzzz

Aussi connu comme: zzzz virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel *.zzzzz

Qu'est-ce que *.zzzzz?

*.zzzzz est une nouvelle variante du rançongiciel Locky. À part pour quels petits changements, il est aussi identique à *.thor, *.odin, et *.aesir. Une fois infiltré, *.zzzzz encrypte divers fichiers en utilisant un algorithme de cryptage asymétrique. Il renomme aussi les fichiers en utilisant le modèle "[8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].zzzzz". Après un cryptage réussi, *.zzzzz créé 3 fichiers ("-INSTRUCTION.html", "_6-INSTRUCTION.html", "-INSTRUCTION.bmp"), les placent sur le bureau des victimes et changent le fond d'écran du bureau.

Les trois fichiers contiennent exactement le même message demandant une rançon. Il est énoncé que les fichiers des victimes sont encryptés en utilisant la cryptographie RSA 2048 et AES-128. Il est aussi noté que les fichiers peuvent seulement être restaurés en utilisant une clef privée qui est stockée sur un serveur à distance contrôlé par les développeurs de *.zzzzz. Donc, afin de recevoir la clef, les victimes doivent payer une rançon. Malheureusement, c’est vrai. Des clefs publiques (cryptage) et privées (décryptage) sont générées lors du cryptage avec un algorithme asymétrique. Donc, le décryptage sans la clef privée est en fait impossible. Les cybers criminels ont pour but de faire chanter les victimes et de les tromper afin qu’ils paient. Le montant de la rançon est actuellement non confirmé. Cependant, le prix des variantes précédentes était de 3 Bitcoins (actuellement, 1 Bitcoin coûte ~$740). De toute façon, vous ne devriez jamais tenter de contacter ces personnes, ni payer une rançon. Les résultats de recherche montrent que les escrocs ignorent souvent les victimes, malgré que le paiement soit soumis. Pour cette raison, il y a une chance que payer ne donne aucun résultat positif – vous serez simplement arnaqué. Il n’y a aucun outil capable de restaurer les fichiers encryptés par *.zzzzz. Ainsi, la seule solution à ce problème est de restaurer les fichiers/le système à partir d’une sauvegarde.

Capture d’écran d’un message (fond d’écran) encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de *.zzzzz

Non seulement *.zzzzz est identique aux logiciels malveillants susmentionnés, mais il partage aussi plusieurs similarités avec des centaines d’autres virus de types rançongiciels. Cerber, CTB-Locker, JohnyCryptor, TeslaCrypt - ceux-ci ne sont que quelques exemples d’une longue liste. Sachez que ces virus se comportent exactement de la même façon – ils encryptent les fichiers des victimes et chargent des frais. La plus des rançongiciels utilisent la cryptographie asymétrique (les clefs de cryptage et de décryptage sont différentes). Donc, la seule différence majeure est le montant des rançons. Les cybers criminels propagent souvent les rançongiciels via des pourriels (pièces-jointes malicieuses), des réseaux pairs-à-pairs (P2P) et d’autres sources de téléchargement de tierces parties (sites web de téléchargement de logiciels gratuits, sites d’hébergement de fichiers gratuits, etc.), de faux outils de mises à jour de logiciels, et des trojans. Donc, il est très important d’être prudent quand vous ouvrez des fichiers reçus d’adresses email suspectes, aussi bien que quand vous téléchargez un logiciel à partir de sources non officielles. De plus, assurez-vous toujours de gardez vos applications installées à jour et n’utilisez jamais de téléchargements/installateurs de tierces parties (les cybers criminels sont capables d’exploiter les bugs/défauts pour infecter le système). Utilisez une suite antivirus/anti logiciel espion est aussi essentiel.

Capture d’écran du fichier .html du rançongiciel *.zzzzz :

Instructions de décryptage de *.zzzzz

Capture d’écran du fichier .bmp du rançongiciel *.zzzzz :

Instructions de décryptage de *.zzzzz

Texte présenté dans les fichiers .html et .bmp :

$|$+$**
|+__.-
!!! INFORMATION IMPORTANTE !!!
Tous vos fichiers sont encryptés avec les cryptogrammes RSA-2048 et AES-128.
Plus d'information à propos de RSA  et AES peut être trouvé ici :
hxxp://en.wikipedia.org/wiki/RSA (crypto système)
hxxp://en.wikipedia.org/wiki/Cryptage Standard Avancé
Le décryptage de vos fichiers est seulement possible avec la clef privée et le programme de décryptage, lesquels sont sur notre serveur secret.
Pour recevoir votre clef privée suivez un des liens :
Si toutes ces adresses sont indisponibles, suivez ces étapes :
1. Télécharger et installer le Navigateur Browser: hxxp://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécuter le navigateur et attendez l'initialisation.
3. Taper dans la barre d'adresse :
4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnelle : D56F3331E80D9E17 !!!
_$+=$.$-*$$$
+*-++|| *==_*-a-
__+$|+++-$-.+

Capture d'écran du site web Tor du rançongiciel *.zzzzz's :

Instructions de décryptage de *.zzzzz

Texte présenté sur ce site web :

Locky Decryptor™
Nous vous présentons un logiciel spécial  - Locky Decryptor™ -
qui vous permettra de décrypter et reprendre le contrôle de tous vos fichiers.
Comment acheter Locky Decryptor™?
Vous pouvez faire un paiement avec des BitCoins, il y a plusieurs méthodes pour les obtenir.
Vous devez un portefeuille BitCoin :
Simplest online wallet ou d'autres méthodes pour créer un portefeuille
Acheter des Bitcoins, bien que ce ne soit pas encore facile d'acheter des bitcoins, cela devient plus simple chaque jour.
Envoyer 3.00 BTC à l'adresse Bitcoin : 1GZ4Af1K4uBkEadPzsUzMrazzYWbrPViVX
Note : Le paiement est en attente jusqu’à 30 minutes ou plus, pour confirmation de transaction, s’il vous plaît soyez patient …
Rafraîchissez la page et télécharger le décrypteur.
Quand la transaction Bitcoin sera confirmée, vous serez redirigé vers la page pour télécharger le décrypteur.

Capture d'écran des fichiers encryptés par *.zzzzz (modèle "[8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].zzzzz"):

Instructions de décryptage de *.zzzzz

Suppression du rançongiciel *.zzzzz :

Suppression instantanée automatique de zzzz virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer zzzz virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus *.zzzzz. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel *.zzzzz ait infiltré votre PC).

Sélectionnez un point de restauration

.6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel *.zzzzz.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de *.zzzzz sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par *.zzzzz, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel *.zzzzz.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel *.zzzzz :

Source: https://www.pcrisk.com/removal-guides/10691-zzzzz-ransomware