Rançongiciel GoldenEye

Aussi connu comme: GoldenEye virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel GoldenEye

Qu'est-ce que GoldenEye?

GoldenEye est une combinaison des virus de types rançongiciels Petya et MISCHA. Comme avec Petya et MISCHA, GoldenEye est aussi distribué en utilisant les pourriels. Cet email délivre une fausse offre d’emploi avec du texte en allemand et deux fichiers joints. Un est un faux CV, l’autre, un fichier MS Excel malicieux. Si le fichier Excel est ouvert, un pop-up demandant ‘’d’activer les macros’’ apparaît. Si l’utilisateur active ces commandes macros, le fichier Excel génèrera un fichier exécutable et lancera le rançongiciel.

MISCHA et Petya diffère car MISCHA encryptent seulement certains fichiers, tandis que Petya encrypte le disque dur lui-même (rendant ainsi l’utilisation appropriée de l’ordinateur impossible). GoldenEye, cependant, performe ces deux actions. Le rançongiciel Pety a été conçu pour infiltrer le système et tenter d’écraser la MBR (Master Boot Record) du système. Pour atteindre ceci, Petya doit obtenir des permissions administratives. Si l’utilisateur refuse ces permissions, le processus de cryptage arrête simplement. Si, cependant, la permission est accordée, Petya modifie la MBR avec un chargeur de démarrage personnalisé. Petya redémarre automatiquement l’ordinateur, affiche un faux écran de vérification de disque (CHKDSK) et encrypte le disque sur en arrière-plan. Il affiche ensuite un message demandant une rançon en utilisant ASCII Text Art. le message est temporairement affiché lors du redémarrage de l’ordinateur. MISCHA, de l’autre côté, ne tente pas de modifier la MBR – il encrypte simplement les fichiers. Ce comportement est très commun parmi les virus de types rançongiciels réguliers. GoldenEye performe ces actions à l’envers : il encrypte les données et seulement ensuite tente de modifier la MBR, empêchant ainsi les victimes d’arrêter le processus de cryptage (en refusant les permissions). Après un cryptage réussi, GoldenEye affiche aussi un message demandant une rançon similaire. En plus, GoldenEye crée un fichier texte ("YOUR_FILES_ARE_ENCRYPTED.txt", contenant un message identique) et le place dans certains dossiers (ex. Bureau, Mes documents, etc.). De plus GoldenEye ajoute 8 caractères aléatoires au nom de chaque fichier encrypté (ex., "sample.jpg" pourrait être renommé "sample.jpg.g8k3jmol"). Le message demandant une rançon informe les victimes du cryptage et demandent le paiement d’une rançon de 1.31034193 Bitcoins (approximativement 1000$) pour le décryptage. Pour soumettre le paiement, les victimes doivent suivre les instructions fournies sur le site web Tor de GoldenEye (le lien est fourni dans le message demandant une rançon informe). Noter que payer ne garanti pas que vos fichiers ne soient jamais décryptés. La recherche montre que les cybers criminels ignorent souvent les victimes malgré que le paiement soit fait. Donc, vous ne devriez jamais tenter de contacter ces personnes ni payer la rançon. Il n’y a aucun outil capable de restaurer les fichiers encryptés par GoldenEye, cependant, les chercheurs en sécurité ont développé un outil qui décrypte les fichiers encryptés par Petya. Cette situation pourrait changer, mais pour l’instant, les utilisateurs peuvent seulement résoudre ce problème en restaurant leurs fichiers/leur système à partir d’une sauvegarde. Si GoldenEye a modifié la BMR du système, restaurer à partir d’une sauvegarde ne sera pas efficace.

Capture d'écran d'une tête de mort (dessinée en utilisant ASCII Text Art) affichée après le cryptage :

Instructions de décryptage de GoldenEye

Il y a des centaines de virus de types rançongiciels. Les exemples incluent Dharma, CTB-Locker, *.osiris, ASN1, Cerber, et plusieurs autres.Tous encryptent des fichiers et font des demandes de rançon. Il y a seulement deux différences majeures 1) le montant de la rançon, et 2) l’algorithme de cryptage (symétrique/asymétrique). La recherche a aussi découvert que ces virus sont souvent distribués en utilisant les pourriels (pièces-jointes malicieuses), réseaux pairs-à-pairs et d’autres sources de téléchargement de logiciels de tierces parties (des sites web de téléchargement de logiciels gratuits, des sites web d’hébergement de logiciels gratuits, etc.), des sources de téléchargement de logiciels non officielles, et des trojans. Donc, soyez prudent quand vous ouvrez des fichiers reçus à partir d’emails suspects et quand vous téléchargez un logiciel à partir de sources non officielles. Les cybers criminels sont capables d’exploiter les bugs/défauts d’un logiciel pour infecter le système. Donc, gardez vos installations installées à jour et n’utilisez jamais des outils de mise à jour de tierces parties. Utilisez une suite antivirus/anti logiciel espion légitime est essentiel.

Rançongiciel GoldenEye demandant des permissions administratives :

GoldenEye demandant des permissions administratives (exemple 1) GoldenEye demandant des permissions administratives (exemple 2)

Capture d'cran du fichier texte de GoldenEye (YOUR_FILES_ARE_ENCRYPTED.txt):

Fichier texte de GoldenEye

Texte présenté dans le fichier texte de GoldenEye :

Vous êtes devenu la victime du RANÇONGICIEL GOLDENEYE!
Les fichiers sur votre ordinateur ont été encryptés avec un algorithme de cryptage de qualité militaire. Il n'y a aucune façon de restaurer vos données sans une clef spéciale. Vous pouvez acheter cette clef sur la page du web profond affichée dans l'étape 2.
Pour acheter cette clef et restaurer vos données, s'il vous plaît suivez ces trois étapes faciles :
1. Télécharger le Navigateur Tor Browser au "hxxps://www.torproject.org/". Si vous avez besoin d'aide, s'il vous plaît faites une recherche Google "accéder à la page onion".
2. Visiter une des pages suivantes avec le Navigateur Tor : hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Entrer votre code de décryptage  là : oTmqRcKj6ZvwAsqewqzYz9t8smYzWLaAzsvjQ5YX8JY53FKv5nAHc7W9L4VFnwSGd8Dw4rVi2nfkPGSX39mwCerLst1Tw4vb

Capture d'écran d'un message d'erreur affiché avant le redémarrage de l'ordinateur :

Fausse erreur de GoldenEye

Faux CHKDSK affiché durant le cryptage :

Fausse tâche de GoldenEye pour vérifier le disque

Texte présenté dans cet écran :

Réparation du fichier système sur C:
Le type du fichier système dans NTFS
Un de vos disques contient des erreurs et a besoin d'être réparé. Ce processus peut prendre plusieurs heures à compléter. Il est fortement recommandé de le laisser terminer. AVERTISSEMENT : N'ÉTEIGNEZ PAS VOTRE PC! SI VOUS AVORTEZ LE PROCESSUS, VOUS POURRIEZ DÉTRUIRE TOUS VOS DONNÉES! S'IL VOUS PLAÎT ASSUREZ-VOUS QUE VOTRE CÂBLE D'ALIMENTATION EST BRANCHÉ!
CHKDSK répare le secteur - de -

Capture d'écran d'un écran affiché durant le cryptage :

Écran de GoldenEye après le cryptage

Capture d'écran du message de GoldenEye demandant une rançon :

Message de GoldenEye demandant une rançon

Texte présenté dans cet écran :

Vous êtes devenu la victime du RANÇONGICIEL GOLDENEYE!
Les fichiers sur votre ordinateur ont été encryptés avec un algorithme de cryptage de qualité militaire. Il n'y a aucune façon de restaurer vos données sans une clef spéciale. Vous pouvez acheter cette clef sur la page du web profond affichée dans l'étape 2.
Pour acheter cette clef et restaurer vos données, s'il vous plaît suivez ces trois étapes faciles :
1. Télécharger le Navigateur Tor Browser au "hxxps://www.torproject.org/". Si vous avez besoin d'aide, s'il vous plaît faites une recherche Google "accéder à la page onion".
2. Visiter une des pages suivantes avec le Navigateur Tor : hxxp://golden5a4eqranh7.onion/oTmqRcKj hxxp://goldeny4vs3nyoht.onion/oTmqRcKj
3. Entrer votre code de décryptage  là : -
Si vous avez déjà acheté votre clef, s'il vous plaît entrez-la ci-dessous.

Capture d'écran du site web de GoldenEye (Paiement - Étape 1):

Site web de GoldenEye (Paiement étape 1)

Texte présenté sur cette page :

Étape 1: Entrer votre identifiant personnel

Premièrement vous devez entrer votre identifiant personnel. Ce code contient des infomations importantes pour le processus de décryptage. C'est important que vous l'entriez exactement comme affiché sur l'ordinateur encrypté. Le code contient un checksun, qui empêche les fautes de frappe et assure un décryptage réussi. L'identifiant personnel est d'une longueur de 96 caractères et peut être trouvé dans les fichiers  "YOUR_FILES_ARE_ENCRYPTED.TXT", avec le logiciel crée dans plusieurs emplacements (ex. Bureau, Documents) sur votre ordinateur.

Capture d'écran du site web de GoldenEye (Paiement - Étape 2):

Site web de GoldenEye (Paiement étape 2)

Texte présenté sur cette page :

Étape 2: L'achat de Bitcoins
Votre clef de décryptage peut seulement être achetée avec des Bitcoins. Bitcoin est une devise digitale qui peut être échangée contre pratiquement n'importe quelle devise normale. Il y a beaucoup de plateforme d'échange sur internet, la plus part d'entre elles sont spécialisée en une seule devise. Aujourd'hui acheter des Bitcoins en ligne est très facile et devient plus simple chaque jour!
Vous devez acheter le montant affiché ci-dessous. Il est recommandé d'en acheter un peu plus, pour vous assurer d'un paiement réussi. Un 2% d'extra devrait être assez. Si vous possédez déjà assez de Bitcoins, vous pouvez sauter cette étape.
Demande: 1.31034193 Bitcoins
Les magasins d'échange et les marchés suivants sont recommandés :
http://www.bitcoin.de - Transfert bancaire RAPIDE!
http://www.btcdirect.eu - Sofort Banking, Giropay, Transfert Bancaire, Mastercard et Visa
http://www.localbitcoins.com - Transfert Bancaire et Comptant
http://www.coincafe.com - Instantané NYC, Transfert Bancaire et Comptant par la Poste, Transfert Bancaire et Carte de Crédit
Vous n'avez pas besoin d'avoir un portefeuille Bitcoin, vous pouvez transférer les bitcoins achetés directement à l'adresse de paiement. Si vous voulez quand même créer un portefeuille, http://www.blockchain.com est recommandé.
Si vous avez acheté avec succès le bon montant de Bitcoins, cliquez "Suivant" pour passer à la prochaine étape.

Capture d'écran du site web de GoldenEye (Paiement - Étape 3):

Site web de GoldenEye  (Paiement étape 3)

Texte présenté sur cette page:

Étape 3: Faire une transaction bitcoin
Maintenant vous devez envoyer vos bitcoins achetés à l'adresse de paiement. Si vous venez tout juste d'acheter des bitcoins sur un site d'échange ou un marché, rechercher la section appelée ''Retirer'' et entrer les détails affichés ci-dessous. Si vous possédez déjà des Bitcoins, envoyer le bon montant à l'adresse de paiement affichée ci-dessous, directement à partir du portefeuille que vous utilisez.
Si vous avez des problèmes avec la transaction, n'hésitez pas à contacter notre soutien.
Adresse: 1CwCMCS6GUJuz45x1LrqPWAuE41cMK7FtQ
Demande: 1.31034193 Bitcoins
Si vous avez fait la transaction de paiement, vous devez attendre jusqu'à ce que nous la confirmions manuellement. Ce processus prend habituellement quelques heures. Dans de rares cas, certains paiements prendront plus de temps à être confirmés. S'il vous plaît actualisez cette page pour voir si votre paiement a été confirmé.

Capture d'écran du site web de GoldenEye (FAQ):

Site web de GoldenEye (FAQ)

Capture d'écran du site web de GoldenEye (Soutien):

Site web de GoldenEye (Soutien)

Capture d'écran des fichiers encryptés par GoldenEye (extension ".[8_random_characters]"):

Instructions de décryptage de GoldenEye

Suppression du rançongiciel GoldenEye :

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner le bouton Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tout en tenant le bouton Majuscule sur votre clavier. Dans la fenêtre ''choisissez une option'' cliquer sur ''Dépannage'', sélectionner ''Options Avancées''. Dans les options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrage. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sir votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en ''Mode sans échec'' :

Étape 2

Connectez-vous au compte qui est infecté avec le virus GoldenEye. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Télécharger suppresseur pour GoldenEye virus

Si vous avez besoin d'aide avec la suppression de goldeneye virus, appellez-nous 24/7:
+33 (0)5 82 84 04 12
En téléchargeant n’importe quel programme listé sur ce site web vous acceptez notre politique de vie privée et les conditions d’utilisation. Tous les produits que nous recommandons sont soigneusement testés et approuvé par nos techniciens comme étant une des solutions les plus efficaces pour supprimer cette menace.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel GoldenEye ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel GoldenEye.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de GoldenEye sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes de rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par GoldenEye, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer les programmes escrocs tels que le rançongiciel GoldenEye.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie protectrice avancée qui suit l'activité des rançongiciels et la termine immédiatement - avant qu'ils atteignent les fichiers de l'utilisateur :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes régulières à jour. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupérations de données Ici.

Autres outils connus pour supprimer le rançongiciel GoldenEye :