Rançongiciel Nuclear

Aussi connu comme: Nuclear virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Nuclear 

Qu'est-ce que Nuclear?

Découvert par Michael Gillespie, Nuclear iest une nouvelle variante du virus de type rançongiciel appelé BTCWare. Une fois infiltré, Nuclear crypte différents fichiers stockés et ajoute l'extension ".[email].nuclear" au nom de chaque fichier crypté (par exemple,"sample.jpg" is renamed to "sample.jpg.[black.world@tuta.io].nuclear"). Une fois le cryptage réussi, Nuclear ouvre une fenêtre pop-up contenant un message de demande de rançon.

Le message informe les victimes du cryptage et énonce que les victimes ne peuvent restaurer leurs fichiers qu'en payant une rançon. Le type de cryptographie (symétrique ou asymétrique) utilisé par Nuclear est actuellement inconnu (ces détails ne sont pas fournis). Cependant, dans les deux cas, le décryptage nécessite une clé unique. Les cybercriminels stockent cette clé dans un serveur à distance et, donc, demandent une rançon. Le prix n'est pas confirmé- il dépend supposément de la rapidité avec laquelle les victimes contactent les développeurs de Nuclear. Pourtant, il convient de mentionner que les développeurs d'autres virus similaires demandent généralement de 500 à 1500$ en Bitcoins. Le message indique également que les victimes peuvent joindre 3 fichiers sélectionnés (jusqu'à 1 Mo au total). Ces fichiers seront décryptés gratuitement et renvoyés à la victime afin de garantir que les fichiers peuvent réellement être restaurés. Néanmoins, vous ne devez jamais faire confiance aux cybercriminels. La recherche révèle que ces personnes ignorent souvent les victimes, une fois le paiement soumis. Pour cette raison, le paiement ne garantit pas que vos fichiers soient restaurés- il y a de fortes chances que vous soyez arnaqué. Ainsi, vous ne devriez jamais tenter de contacter ces personnes, ni de payer une rançon. La seule chose que les victimes puissent faire est d'essayer de restaurer les fichiers / le système à partir d'une sauvegarde, car il n'existe aucun outil capable de décrypter des fichiers gratuitement.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Nuclear decrypt instructions

Nuclear est complètement identique aux variantes précédentes de BTCWare, telles que Master, Aleta, GRYPHON, et d'autres. Il partage également de nombreuses similitudes avec des douzaines d'autres virus de type rançongiciel. En fait, les seules différences majeures entre les rançongiciels sont le montant de la rançon et le type d'algorithme de cryptage utilisé. Il est également à noter que la plupart de ces virus sont conçus pour utiliser des algorithmes qui génèrent des clés de décryptage uniques (par exemple, AES, RSA, etc.). Pour cette raison, décrypter les fichiers manuellement, sans interférence des développeurs, est impossible (à moins que les logiciels malveillants n'aient des problèmes / des failles).

Comment un rançongiciel a-t-il infecté mon ordinateur ?

Afin de propager les rançongiciels, les escrocs emploient habituellement des chevaux de Troie, de faux outils de mise à jour de logiciels, des pourriels (pièces jointes malicieuses) et des sources de distribution de logiciels non officielles (réseaux pairs-à-pairs, des sites de téléchargement de logiciel gratuit, des sites d'hébergement de fichiers gratuits, etc.). Les faux outils de mise à jour logicielle sont conçus pour exploiter les problèmes / les bugs du logiciel obsolète afin d'infecter le système. Les pièces jointes malicieuses appartiennent habituellement au format de fichiers JavaScript ou à des documents MS Office (avec des macros intégrées), conçus pour télécharger / installer des logiciels malveillants. Les sources de distribution de logiciels de tierces parties propagent souvent des logiciels malveillants en les présentant comme des logiciels légitimes.

Comment se protéger des infections de rançongiciels ?

Pour prévenir les infections de rançongiciels les utilisateurs doivent être très prudents lorsque vous naviguez sur internet. Pour commencer, les utilisateurs ne doivent jamais ouvrir de fichiers reçus à partir d'adresses de courriel suspectes. De plus, tous les logiciels souhaités ne doivent être téléchargés qu’à partir de sources officielles. Il est également très important de garder les applications installées à jour et d'utiliser une suite anti-virus / anti logiciels espions légitime. Cependant, les utilisateurs doivent noter que les bandits propagent les logiciels malveillants via de fausses mises à jour. Pour cette raison, l'utilisation d'outils de tierces parties pour mettre à jour les applications installées est très risquée. La clé de la sécurité informatique c’est la prudence.

Texte affiché dans le pop-up du rançongiciel Nuclear :

Tous vos fichiers ont été cryptés !

Tous vos fichiers ont été cryptés en raison d'un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous au courriel black.world@tuta.io
Vous devez payer le décryptage avec des Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après le paiement, nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers.
Un décryptage gratuit en garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 3 fichiers pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1Mo (non archivés) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles excel, etc.)
Comment obtenir des Bitcoins
La façon la plus simple d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquez sur "Acheter des bitcoins", et sélectionnez le vendeur par mode de paiement et prix.
hxxps://localbitcoins.com/buy_bitcoins
Aussi, vous pouvez trouver d'autres endroits pour acheter des Bitcoins ainsi qu'uun guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données en utilisant un logiciel de tierces parties, cela peut entraîner une perte permanente des données.
Le décryptage de vos fichiers avec l'aide de tierces parties peut entraîner une augmentation du prix (ils ajoutent leurs frais au notre) ou vous pouvez devenir une victime d'une arnaque.

Captures d'écran des fichiers cryptés par Nuclear (extension ".[[email].nuclear"):

fichiers encryptés par Nuclear

Suppression du rançongiciel Nuclear :

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Nuclear . Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Télécharger suppresseur pour Nuclear virus
1) Télécharger et installer   2) Exécuter le scan du système   3) Profitez du fait que votre ordinateur est propre!

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Reimage.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Nuclear ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Nuclear.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Nuclear sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Nuclear, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Nuclear.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Nuclear :

Source: https://www.pcrisk.com/removal-guides/11622-nuclear-ransomware