Rançongiciel CryptoMix [Mis à jour]

Aussi connu comme: CryptoMix virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel CryptoMix

Qu'est-ce que CryptoMix?

.Code (aussi appelé CryptoMix) est un virus douteux de type rançongiciel qui encrypte diverses données stockées dans l'ordinateur infecté. Durant le cryptage, ce rançongiciel ajoute l'extension .code,.id_[unique victim’s ID]_email_rscl@dr.com_.rscl, .id_[unique victim’s ID]_email_enc10@dr.com_.rmd ou .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli au nom de chaque fichier encrypté (tout d'abord découvert par xXToffeeXx). Par exemple, après le cryptage, sample.jpg apparaît comme sample.jpg.code, sample.jpg.id_4dfb70f41e857d00_email_rscl@dr.com_.rscl ou sample.jpg.id_4dfb70f41e857d00_email_enc10@dr.com_.rmd. Les nouvelles variantes de ce rançongiciel utilisent les extensions [SHIELD0@USA.COM].ID.wallet, .[crysis@life.com].ID.WALLET ou .[admin@hoist.desi].ID.WALLET​. Cela fait en sorte qu'il est facile de déterminer quels fichiers sont compromis. De plus, .Code créé deux fichiers (HELP_YOUR_FILES.TXT et HELP_YOUR_FILES.HTML) et les placent dans chaque dossier contenant les fichiers encryptés. La variante mise à jour de ce rançongiciel stocke le message demandant une rançon dans le fichier #_RESTORING_FILES_#.TXT. Les deux fichiers contiennent un message informant les utilisateurs du cryptage. La nouvelle variante de ce rançongiciel présente son message demandant une rançon dans le fichier INSTRUCTION RESTORE FILE.txt - les fichiers encryptés sont renommés en utilisant le modèle suivant : sample.jpg.email[supls@post.com]_id[victim’s ID].rdmk.

Le message énonce que les fichiers ont été encryptés et qu’une rançon doit être payée pour les restaurer. Les développeurs de CryptoMix énonce que l’algorithme de cryptage RSA-2048 est utilisé pour le cryptage. C’est un processus de cryptage asymétrique et, donc, deux clefs (publique et privée) sont générées durant le cryptage – la publique pour encrypter, et privée pour décrypter. Malheureusement, la clef privée est stockée sur les serveurs à distance contrôlés par des cybers criminels. Donc, pour recevoir le décrypteur avec une clef privée activée, les utilisateurs sont encouragés à payer une large somme d’argent. La recherche montre que les développeurs de ce rançongiciel demandent 5 Bitcoins (actuellement équivalent à 2240,95$). Comparativement aux autres virus de types rançongiciels, cette rançon est élevée (les demandes de rançon fluctuent habituellement entre 0.5 et 1.5 BTC). Pour payer, les victimes sont instruites de contacter les cybers criminels via l’adresse email fournie. Elles recevront ensuite supposément de plus amples instructions de paiement. Malheureusement, au moment de la recherche, il n’y avait aucun outil capable de décrypter les fichiers encryptés avec cet algorithme et la seule solution est de restaurer vos fichiers à partir d’une sauvegarde.

Capture d'écran d'un message encourageant les utilisateurs à contacter les développeurs du rançongiciel CryptoMix (via supls@post.com, enc10@usa.com, xoomx@dr.com, xoomx@usa.com, rscl@dr.com, ou rscl@usa.com) pour décrypter leurs données compromises :

Instructions de décryptage de .Code decrypt

.Code a des caractéristiques très similaires à Yakes, KeyBTC, TrueCrypt, et plusieurs autres virus de types rançongiciels. Tous encryptent les fichiers et font des demandes de rançon. Les seules différences sont l’algorithme de cryptage utilisé et le montant de la rançon. Sachez que payer la rançon ne garantit pas que vos fichiers seront décryptés et c’est équivalent à envoyer votre argent directement aux cybers criminels – vous supporterez simplement leurs entreprises malicieuses. Donc, nous vous recommandons fortement de ne jamais contacter les cybers criminels ni de payer la rançon. Les logiciels malveillants tels que .Code sont surtout distribués via des pièces-jointes malicieuses, des réseaux pairs-à-pairs (P2P), de fausses mises à jour de logiciels, et/ou des trojans. Donc, gardez vos logiciels installés à jour et utilisez une suite antivirus/anti logiciel espion légitime. En plus, soyez prudent quand vous ouvrez des pièces-jointes qui proviennent d’adresses email non reconnues et quand vous téléchargez des fichiers/programmes à partir de sources de tierces parties.

Mise à jour 21 février, 2017 - Les chercheurs en sécurité d'Avast et de CERT.PL ont lancé un décrypteur pour ce rançongiciel .Vous pouvez le télécharger ICI. (Noter que cet outil ne fonctionne pas toujours mais ça vaut la peine de l'essayer si voter ordinateur est infecté par ce rançongiciel).

décrypteur de cryptfile2 de cryptomix de cryptoshield

Fichier HELP_YOUR_FILES.TXT :

Fichier HELP_YOUR_FILES.TXT du rançongiciel .Code

Variante mise à jour du rançongiciel CryptoMix utilisant le fichier #_RESTORING_FILES_#.TXT pour le message demandant une rançon :

Rançongiciel cryptomix restaurant les fichiers txt file #_RESTORING_FILES_#.TXT

Texte présenté dans ce fichier :

Tous vos fichiers ont été encryptés!
Tous vos fichiers ont été encryptés à cause d'un problème de sécurité avec votre PC. Si vous voulez les restaurer, écrivez-nous un email shield0@usa.com
Écrivez cet ID dans le titre de votre message -
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez.
Après le paiement nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers.
Décryptage gratuit comme garantie
Avant de payer vous pouvez nous envoyer jusqu'à 5 fichiers pour un décryptage gratuit. La grosseur totale des fichiers doit être moins de 10Mb
(non archivés), et les fichiers ne devrait contenir aucune information de valeur.
banques de données, sauvegardes grandes feuilles Excel, etc.)
Comment obtenir des Bitcoins
La façon la plus facile d'acheter des bitcoins est le site LocalBitcoins site. Vous devez vous inscrire, cliquer 'Acheter des bitcoins', et sélectionnez
le vendeur, la méthode de paiement et le prix.
http://localbitcoins.com/buy_bitcoins
Aussi vous pouvez trouver d'autres endroits où acheter des Bitcoins et le guide pour débutants ici :
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
Ne renommez pas les fichiers encryptés.
N'essayez pas de décrypter vos données en utilisant un logiciel de tierces parties, cela pourrait causer la perte permanente des données.
Le décryptage de vos fichiers avec l'aide de tierces parties pourrait causer l'augmentation du prix (il ajoute ses frais aux nôtres)
ou vous pourriez devenir la victime d'une arnaque.

Capture d'écran des fichiers encryptés par ce rançongiciel (extensions .code or .id_[unique victim’s ID]_email_rscl@dr.com_.rscl):

extensions  email rscldr.com .rscl file du rançongiciel cryptomix

Texte présenté dans les fichiers .TXT et .HTML :

PAS VOTRE LANGUE? UTILISER hxxps://translate.google.com

Qu'est-il arrivé à vos fichiers?
Tous vos fichiers sont protégés par un fort cryptage avec RSA-2048.
Plus d'informations à propos des clefs de cryptage en utilisant RSA-2048 peu être trouvée ici : hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)

Comment est-ce arrivé?
!!! Spécifiquement pour votre PC on a génété des CLEFS RSA-2048, publique et privée.
!!! TOUS VOS FICHIERS ont été encryptés avec la clef publique, qui a été transférée à votre ordinateur via Internet.
!!! Le décryptage de vos fichiers est seulement possible avec l'aide de la clef privée et du programme de décryptage, qui est sur notre Serveur Secret

Qu'est-ce que je fais? Alors, vous avez le choix entre deux méthodes, attendre un miracle, et voir votre prix doublé, ou commencez à obtenir des BITCOINS MAINTENANT!, et restaurer vos données de la manière facile.
Si vous avez des données de grades valeurs, vous êtes mieux de ne perdre votre temps, parce qu'il n'y a aucune autre façon d'obtenir vos fichiers, sauf faire un paiement.

Pour des instructions plus spécifiques :
Contactez-nous par email seulement, envoyez nous un email avec votre numéro d'ID et attendez de plus amples instructions. Notre spécialiste vous contactera dans les 12 heures. Afin que vous soyiez sûr, que nous pouvons décrypter vos fichiers - vous pouvez envoyer un fichier encrypté et nous vous le renverrons décrypté. Cela sera notre garantie.
E-EMAIL1: xoomx_@_dr.com
E-MAIL2: xoomx_@_usa.com
YOUR_ID:

Suppression du rançongiciel CryptoMix :

Suppression instantanée automatique de CryptoMix virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer CryptoMix virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus .Code. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel .Code ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel.Code ransomware files.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de .Code sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par .Code, vous pouvez utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel .Code.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta uses utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils pour supprimer le rançongiciel .Code :

Source: https://www.pcrisk.com/removal-guides/9993-code-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
CryptoMix virus Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du CryptoMix virus sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de CryptoMix virus aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.