Rançongiciel GRYPHON

Aussi connu comme: GRYPHON virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel GRYPHON 

Qu'est-ce que GRYPHON?

GRYPHON est un virus de type rançongiciel découvert par le chercheur en sécurité de logiciels malveillants, Leo. Une fois infiltré, GRYPHON encrypte les données stockées et ajoute l'extension [test].gryphon" aux noms des fichiers (par exemple, "sample.jpg" est renommé "sample.jpg.[test].gryphon"). D'autres variantes utilisent l'extension .[decr@cock.li].gryphon pour encrypter les fichiers. Après un cryptage réussi, GRYPHON créé un fichier texte ("!## DECRYPT FILES ##!.txt") contenant un message demandant une rançon et le place dans chaque dossier contenant les fichiers encryptés.

The message states that files are encrypted and that decryption requires a unique key. Unfortunately, this information is accurate. It is currently unknown whether GRYPHON uses Le message énonce que les fichiers sont encryptés et que le décryptage nécessite une clé unique. Malheureusement, cette information est exacte. On ignore actuellement si GRYPHON utilise un algorithme de cryptage symétrique ou asymétrique. Dans les deux cas, le décryptage nécessite une clé unique. Les criminels la stockent sur un serveur à distance - les victimes sont encouragées à les contacter pour payer une rançon afin de la recevoir. Le montant de la rançon n'est pas confirmé, cependant, les criminels demandent habituellement l'équivalent entre 500$ et 1500$ en Bitcoins. Notez que l'extension de GRYPHON contient le mot "test" et l’adresse email fournie est "test2" et "test3". Donc, il est prudent de supposer que GRYPHON est encore dans la phase de développement/test. En tout cas, vous ne devriez jamais tenter de contacter ces cybercriminels ou de payer une rançon. La recherche montre qu'ils ignorent les victimes une fois que les paiements sont soumis. Il y a une forte probabilité que payer ne délivre aucun résultat positif et vous serez arnaqués. On ne devrait jamais faire confiance à ces personnes. Malheureusement, il n'existe aucun outil capable de restaurer les fichiers cryptés par GRYPHON et la seule solution est de restaurer vos fichiers/votre système à partir d'une sauvegarde.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de GRYPHON

GRYPHON est très similaire à Shade, Explorer, BLACKOUT, Ranrans, et à des douzaines d'autres virus de types rançongiciels. Comme pour GRYPHON, tous encryptent les fichiers et font des demandes de rançon. Il n'y a que deux grandes différences : 1) le montant de la rançon, et; 2) le type de cryptographie utilisée. Malheureusement, la plupart des virus de types rançongiciels utilisent des algorithmes qui génèrent des clés de décryptage uniques. Ainsi, restaurer les fichiers manuellement (sans implication des développeurs, ce qui n'est pas recommandé) est pratiquement impossible.

Comment le rançongiciel a-t-il infecté mon ordinateur ?

Pour proliférer les rançongiciels, les développeurs utilisent des pourriels (pièces-jointes malicieuses), des réseaux P2P (torrents, eMule, etc.), des sources de téléchargement de logiciels de tierces parties (des sites de téléchargement de logiciels gratuits, des sites d'hébergement de fichiers gratuits, etc.), des trojans et des fausses mises à jour de logiciels. Les pourriels contiennent souvent des pièces jointes infectieuses (par exemple, des fichiers JavaScript, des documents MS Office, etc.) conçues pour télécharger / installer des logiciels malveillants. Les réseaux P2P et autres sources de téléchargement de logiciels non officielles présentent souvent des exécutables malicieux comme des logiciels légitimes.

Comment se protéger des infections de rançongiciels ?

Pour prévenir les infections de rançongiciels, soyez très prudent lorsque vous naviguez sur internet. N'ouvrez jamais les fichiers reçus d’emails suspects ou ne téléchargez pas des logiciels à partir de sources non officielles. De plus, gardez les applications installées à jour. Sachez, cependant, que les criminels prolifèrent les logiciels malveillants via de fausses mises à jour. Donc, utilisez des outils de tierces parties pour mettre à jour les applications installées est très risquée. Finalement, utilisez une suite anti-virus / anti logiciels espions légitime. La clé de la sécurité informatique c’est la prudence.

Message présenté dans le fichier texte du rançongiciel GRYPHON ("!## DECRYPT FILES ##!.txt") :

=== RAN¨CONGICIEL GRYPHON  ===

Vos documents, photos, bases de données et autres fichiers importants ont été encryptés 

et renforcés cryptographiquement, sans la clé d'origine, leur récupération est impossible!
Pour décrypter vos fichiers, vous devez acheter le logiciel spécial - "DÉCRYPTEUR DE GRYPHON"
L'utilisation d'un autre outil pourrait corrompre vos fichiers, en cas d'utilisation de logiciel de tierces parties,
nous ne garantissons pas que la récupération complète soit possible, alors utilisez-le à
vos propres risques.


Si vous souhaitez restaurer les fichiers, envoyez nous un email à : test2 

Dans la ligne du sujet, écrivez "cryptage" et joignez votre identifiant dans votre message
Joignez également à l’email 3 fichiers encryptés. (Les fichiers doivent être inférieurs à 2 Mo)



Il est dans votre intérêt de répondre aussitôt que possible pour assurer la restauration
de vos fichiers, car nous ne garderons pas vos clés de décryptage sur notre serveur plus d'une
semaine dans l'intérêt de notre sécurité.

 

Seulement dans le cas où vous ne recevriez pas une réponse de la première adresse électronique
dans les 48 heures, utilisez cette adresse courriel alternative : test3

Votre numéro d'identification personnel : -

 

=== RANÇONGICIEL GRYPHON ===

Capture d'écran des fichiers encryptés par GRYPHON (extension ".[test].gryphon"):

Fichiers encryptés par GRYPHON

Suppression du rançongiciel GRYPHON :

Suppression instantanée automatique de GRYPHON virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer GRYPHON virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus GRYPHON. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel GRYPHON ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel GRYPHON.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de GRYPHON sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par GRYPHON, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel GRYPHON.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel GRYPHON :

Source: https://www.pcrisk.com/removal-guides/11531-gryphon-ransomware