Rançongiciel Nemesis
Écrit par Tomas Meskauskas le
(mis à jour)
Instructions de suppression du rançongiciel Nemesis
Qu'est-ce que Nemesis?
Nemesis est un virus de type rançongiciel découvert par Michael Gillespie. Une fois infitré, Nemesis encrypte les fichiers et ajoute l'extension ".id-victim’s ID_[TOR website URL].63vc4" (par exemple, "sample.jpg" pourrait être renommé "sample.jpgid-3057868259_[qg6m5wo7h3id55ym.onion.to].63vc4"). Des variantes plus récentes de ce rançongiciel utilisent l'extension .l454t pour les fichiers encryptés. Après un cryptage réussi, Nemesis créé un fichier HTML ("### DECRYPT MY FILES ###.html"), le plaçant dans chaque fichier existant, et change ensuite le fond d'écran du bureau.
Le fichier HTML contient un message informant les victimes du cryptage et les encourageant à acheter un outil de décryptage (en visitant un site web Tor et en payant une rançon. Le coût n’est pas confirmé actuellement, cependant, les développeurs de rançongiciels demandent habituellement l’équivalent en Bitcoins de 500$à 1500$. On ne sait actuellement pas si Nemesis utile la cryptographie symétrique ou asymétrique, cependant, dans tous les cas, le décryptage sans une clef unique est impossible. Cette clef est stockée sur un serveur à distance contrôlé par des cybers criminels et les victimes sont encouragées à payer une rançon pour la recevoir. On ne devrait jamais faire confiance à ces criminels. La recherche montre qu’ils ignorent souvent les victimes une fois que les paiements sont soumis. Il y a de fortes probabilités pour que payer ne donne aucun résultat positif et que vous soyez arnaqué. Nous vous recommandons fortement d’ignorer toutes les demandes de contacter ces personnes ou de payer la rançon. En faisant cela, vous supporterez simplement leurs entreprises malicieuses. Malheureusement, il n’y a aucun outil capable de restaurer les fichiers encryptés par Nemesis. Donc, la seule solution est de restaurer les fichiers/le système à partir d’une sauvegarde.
Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :
Il y a des centaines de virus de types rançongiciels similaires à Nemesis. La liste des exemples incluent (mais ne se limite pas) MSIL, Salsa, et PadCrypt. Tout comme Nemesis, ces infections de logiciels malveillants encryptent aussi les fichiers et font des demandes de rançon. Les seules différences notables sont le montant de la rançon et le type d’algorithme de cryptage (symétrique/asymétrique) utilisé. Les virus de types rançongiciels sont souvent distribués via de faux outils de mise à jour de logiciels, des trojans, des réseaux pairs-à-pairs (P2P) (des torrents, des eMule, etc.), des sources de téléchargement de tierces parties (des sites web de téléchargement de logiciels gratuits, des sites web d’hébergement de fichiers gratuits, etc.), et des pourriels (pièces-jointes infectieuses).
| Nom | Nemesis virus |
| Type de menace | Ransomware, Crypto Virus, bloqueur de fichiers |
| Symptômes | Impossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers. |
| Méthodes de Distribution | Pièces jointes infectées (macros), sites Web torrent, publicités malveillantes. |
| Dommage | Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon. |
| Suppression | Pour éliminer Nemesis virus, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Malwarebytes. |
Donc, utilisez une suite antivirus/anti logiciel espion légitime et gardez vos applications installées à jour. Noter, cependant, que utilisez des outils de mise à jour de tierces parties peut mener à divers infections d’ordinateur. En plus, soyez prudent quand vous téléchargez un logiciel à partir de sources non officielles et, quand vous ouvrez des fichiers reçus d’une adresse email suspecte. La clef de la sécurité informatique c’est la prudence.
Texte présenté dans le fichier HTML du rançongiciel Nemesis ("### DECRYPT MY FILES ###.html"):
TOUT VOTRE TRAVAIL ET VOS FICHIERS PERSONNELS ONT ÉTÉ ENCRYPTÉS
Rançongiciel Nemesis
Pour décrypter vos fichiers vous devez acheter le logiciel spécial – «décrypteur Nemesis»
Pour récupérer les données suivez les instructions!
Vous pouvez demandez des détails/ou poser une question dans le clavardage :
hxxps://qg6m5wo7h3id55ym.onion.to (pas besoin de Tor)
Si la ressource est indisponible durant un long moment utilisez le Navigateur Tor :1. Exécuter votre navigateur internet (Si vous ne savez pas c'est lequel exécutez Internet Explorer);
2. entrer ou copier l'adresse www.torproject.org/download/download-easy.html.en dans la barre d'adresse de votre navigateur et presser ENTRER;
3. sur le site on vous offrira de télécharger le Navigateur Tor; téléchargez et installez-le. Exécutez
4. connectez-vous avec le bouton 'Connecter' (si vous utilisez la version française);
5. Après la connexion, la fenêtre habituelle du navigateur Tor ouvrira
6. taper ou copier l'adresse 3fprihycwetwk2m7.onion dans la barre d'adresse du navigateur Tor et presser la touche ENTRER
7. attendez que le site charge ;
// Si vous avez un problème avec l'installation et l'utilisation, s'il vous plaît visier le tutoriel vidéo hxxps://www.youtube.com/watch?v=gOgh3ABju6Q
Capture d'écran du site web Tor du rançongiciel Nemesis (Page de soutien en direct):
Capture d'écran du fond d'écran du bureau du rançongiciel Nemesis :
Capture d'écran des fichiers encryptés par Nemesis (extension ".id-victim’s ID_[TOR website URL].63vc4" ):
Mise à jour, 3 mai 2017 - Le chercheur en sécurité Fabian Wosar a lancé un décrypteur gratuit pour ce rançongiciel. Vous pouvez le télécharger ICI.
Suppression du rançongiciel Nemesis :
Suppression instantanée automatique de Nemesis virus:
La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Malwarebytes est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Nemesis virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Malwarebytes
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.
Menu rapide:
- Qu'est-ce que Nemesis?
- ÉTAPE 1. Suppression du virus Nemesis en utilisant le mode sans échec en réseau.
- ÉTAPE 2. Suppression du rançongiciel Nemesis en utilisant la Restauration du Système.
Étape 1
Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.
Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :
Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.
Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":
Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.
Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":
Étape 2
Connectez-vous au compte qui est infecté avec le virus Nemesis. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.
Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':
1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.
2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.
3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.
4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.
5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Nemesis ait infiltré votre PC).
6. Dans la fenêtre ouverte cliquez “Oui”.
7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Nemesis.
Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Nemesis sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.
Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.
Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.
Pour regagner le contrôle des fichiers encryptés par Nemesis, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.
Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Nemesis.
HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :
Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :
- La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.
Autres outils pour supprimer le rançongiciel Nemesis :
Source: https://www.pcrisk.com/removal-guides/11175-nemesis-ransomware
!Remarquable!
Cliquez pour poster un commentaire