Rançongiciel Bad Rabbit

Aussi connu comme: Bad Rabbit virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Bad Rabbit

Qu'est-ce que Bad Rabbit?

Bad Rabbit est un virus de type rançongiciel similaire à Petya et GoldenEye. Ce logiciel malveillant est distribué via des sites web légitimes qui ont été compromis et injectés avec un code JavaScript malicieux. Ce script redirige les utilisateurs vers un site web qui affiche un pop-up demandant de télécharger Adobe Flash Player. Le chercheur en sécurité de logiciels malveillants Costin Raiu de Kaspersky a rapporté que les cybers criminels d’avoir lancé ce rançongiciel ont été occupés à essayer de configurer leur réseau d’infection sur les sites piratés depuis au moins juillet 2017. Une fois téléchargé et exécuté, un fichier malicieux "install_flash_player.exe" installe Bad Rabbit. Ce rançongiciel est conçu pour encrypter divers types de fichiers (liste complète ci-dessous). Cependant, contrairement aux autres virus de types rançongiciels, Bad Rabbit n’ajoute pas d’extension de fichiers, il ne change pas non plus les noms des fichiers d’aucune autre façon. Ce rançongiciel est aussi conçu pour remplacer le Master Boot Record (MBR) du système. Après avoir fait cela, Bad Rabbit créé un fichier texte ("Readme.txt", le plaçant sur le bureau de la victime)  et verrouille l'écran de l'ordinateur après un redémarrage forcé.

Les résultats de recherche montrent que Bad Rabbit cible les compagnies de l’Europe de l’Est. La plus part des victimes sont de la Russie, de l’Ukraine, de la Turquie et de la Bulgarie. Il vaut aussi la peine de mentionner qu’en plus des utilisateurs réguliers, ce logiciel malveillant cible les réseaux (tels que les entreprises privées et les agences gouvernementales.). La liste des victimes inclut plusieurs nouvelles agences (incluant Interfax et Fontaka) en Russie, le système de métro Kiev et l’aéroport Odessa en Ukraine, en plus du Ministère de l’Infrastructure Ukrainien. Comme si ce n’était pas assez, Bad Rabbit est conçu pour modifier le MBR du système. Ce logiciel malveillant programme une tâche qui exécute  le fichier "C:\Windows\dispci.exe". Cet exécutable, en combinaison avec le lecteur ccc.dat, altère les paramètres MBR et force le redémarrage du système. Une fois que le système est redémarré, les utilisateurs me sont plus capables d'accéder pleinement à leur bureau. Ils voient simplement un écran verrouillant qui contient un message demandant une rançon (identique à le fichier "Readme.txt"). Le message informe les victimes du cryptage et les encouragent à payer une rançon afin de restaurer les données compromises. Bad Rabbit est conçu pour utiliser les cryptographies AES (asymétrique) et RSA-2048 (symétrique). Les fichiers sont encryptés en utilisant l’algorithme AES qui génère une clef unique utilisée pour encrypter/décrypter les fichiers. La clef générée est ensuite encryptée en utilisant la cryptographie RSA-2048 (pour plus d’informations sur les algorithmes de cryptage et les clefs cliquer ici). Le prix de la clef est .05 Bitcoin (valant actuellement ~$280). Après avoir payé la rançon les utilisateurs recevront ensuite supposément une clef unique pour encrypter/décrypter les fichiers. Néanmoins, les utilisateurs ne devraient jamais faire confiance aux cybers criminels. La recherche a découvert que ces personnes ignorent souvent les victimes, une fois que les paiements sont soumis. Pour cette raison, payer ne garantit pas que les fichiers soient décryptés. Les victimes sont plus susceptibles d’être arnaqués. Ainsi, nous vous recommandons d’ignorer tous les encouragements à payer. Malheureusement, jusqu’à maintenant il n’y a aucun outil capable de restaurer les fichiers encryptés par Bad Rabbit. Donc, la seule solution possible est de restaurer les fichiers/ le système à partir d’une sauvegarde.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de Bad Rabbit Petya et GoldenEye qui ont été mentionnés ci-dessus ne sont pas les seuls virus qui partagent des similarités avec Bad Rabbit. En fait il y en a des douzaines d'autres qui encryptent aussi les fichiers des victimes et font des demandes de rançon. Par exemple,  Aleta, Nemesis, BTCWare, GlobeImposter, Cerber, Purge (Globe), et plusieurs autres. La plus part de ces virus ne sont pas si complexes comparativement à Bad Rabbit – seulement que très peu changent les paramètres du système et verrouillent l’écran. Pourtant chacun encrypte les fichiers et font des demandes de rançon. Dans la plus part des cas les seules différences sont le montant de la rançon et le type de cryptage utilisé. Malheureusement, la plus part de ces virus emploient les cryptographies (ex, RSA, AES, etc.) qui génèrent des clefs de décryptage uniques pour chaque victime, donc, à moins que le logiciel malveillant aille certains bugs/défauts (ex. la clef est encodée ou stockée localement) ou n’est pas entièrement développée, restaurer les fichiers manuellement, sans que les développeurs interfèrent est impossible. Pour ces raisons, les virus de types rançongiciels tels que Bad Rabbit présentent de bonnes raisons de maintenir des sauvegardes régulières des données. Il vaut aussi la peine de noter que les sauvegardes devraient être stockées sur des lecteurs externes (débranché) ou sur d’autres serveurs privés (ex Nuages).

Comment le rançongiciel a-t-il infecté mon ordinateur?

Tel que mentionné, Bad Rabbit est proliféré en utilisant de fausses mises à jour d’Adobe Flash Player. Cependant, de tels virus sont aussi susceptibles d’être distribués en utilisant des pourriels (pièces-jointes infectieuses), des sources de téléchargement non officielles de logiciels (réseaux pairs-à-pairs, sites de téléchargement de logiciels gratuits, etc.), et des trojans. Les pourriels viennent souvent avec des documents MS Office, des scripts JavaScript ou d’autres fichiers malicieux joints qui, une fois ouverts, téléchargent et installent un logiciel malveillant. Les outils de mises à jour de logiciels de tierces parties souvent présentent des exécutables malicieux comme logiciels légitimes, trompant ainsi les utilisateurs qui téléchargent et exécutent eux-mêmes des logiciels malveillants. Les chevaux de Troie sont les plus simples – ils ouvrent simplement des ‘’portes arrières’’ pour que d’autres logiciels malveillants infiltrent le système.

Résumé de la menace :
NomBad Rabbit virus
Type de menaceRansomware, Crypto Virus, bloqueur de fichiers
SymptômesImpossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de DistributionPièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
DommageTous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer Bad Rabbit virus, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Comment vous protéger contre les infections de rançongiciels?

Pour commencer, chaque utilisateur sait que les raisons principales pour les infections informatiques sont de piètres connaissances et un comportement imprudent. La clef de la sécurité informatique c’est la prudence. Pour cette raison, les utilisateurs ne doivent jamais ouvrir de fichiers reçus d’adresses email suspectes. En fait, de tels emails devraient être supprimés immédiatement, sans les lire. De plus, les utilisateurs devraient toujours être sûrs de télécharger des logiciels seulement à partir de sources officielles et, préférablement, en utilisant un lien de téléchargement direct. Les outils de téléchargement/d’installation incluent souvent des applications malicieuses et, donc, ils ne devraient jamais être utilisés. De plus, les utilisateurs devraient toujours gardez les logiciels à jour et utilisez une suite antivirus/logiciel espion légitime. Cependant, les utilisateurs devraient gardez à l’esprit que les bandits propagent les rançongiciels via de faux outils de mise à jour et des pop-up. Pour cette raison, nous recommandons fortement aux utilisateurs d’utiliser les fonctions intégrées de mise à jour ou des outils de mise à jour téléchargé et officiel à partir du site web des développeurs.

Capture d'écran du fichier texte du rançongiciel Bad Rabbit ("Readme.txt"):

Fichier texte de Bad Rabbit

Texte présenté dans l'écran de verrouillage et le fichier texte ("Readme.txt"):

Oups! Vos fichiers ont été encryptés.

Si vous voyez ce texte, vos fichiers ne sont plus accessibles.
Vous pourriez être en train de chercher une façon de récupérer vos fichiers.
Ne perdez pas votre temps. Personne ne sera capable de les récupérer sans nos
services de décryptage.

Nous garantissons que vous pouvez récupérer tous vos fichiers de façon sécuritaire. Tout ce
que vous avez à faire c’est soumettre le paiement et obtenir le mot de passe de décryptage.

Visitez notre service web au -
Votre #de clef d'installation personnelle : -


Si vous avez déjà obtenu le mot de passe, s’il vous plaît entrez-le ci-dessous.
Mot de passe #1 :: -

Capture d'écran du site web Tor de Bad Rabbit (.onion) :

Site web de Bad Rabbit

L'apparence du site web de Bad Rabbit (GIF):

pop-up gif de Bad Rabbit

Texte présenté sur ce site web :

BAD RABBIT
~Si vous accédez à cette page votre ordinateur a été encrypté. Entrer la clef personnelle dans le champ ci-dessous. Si c’est réussi, on vous fournira un compte bitcoin pour transférer le paiement. Le prix actuel se trouve à droite. Une fois que nous recevons votre paiement vous obtiendrez un mot de passe pour décrypter vos données. Pour vérifier votre paiement et vérifier les mots de passe donnés entrer votre adresse bitcoin assignée ou votre clef personnelle. Le prix du décryptage 0.05 BTC.

Capture d'écran des fichiers encryptés par Bad Rabbit (aucune extension n'est ajoutée aux fichiers compromis):

Fichiers encryptés par Bad Rabbit

Types de fichiers ciblés par le rançongiciel Bad Rabbit :

.3ds; .7z; .accdb; .ai; .asm; .asp; .aspx; .avhd; .back; .bak; .bmp; .brw; .c; .cab; .cc; .cer; .cfg; .conf; .cpp; .crt; .cs; .ctl; .cxx; .dbf; .der; .dib; .disk; .djvu; .doc; .docx; .dwg; .eml; .fdb; .gz; .h; .hdd; .hpp; .hxx; .iso; .java; .jfif; .jpe; .jpeg; .jpg; .js; .kdbx; .key; .mail; .mdb; .msg; .nrg; .odc; .odf; .odg; .odi; .odm; .odp; .ods; .odt; .ora; .ost; .ova; .ovf; .p12; .p7b; .p7c; .pdf; .pem; .pfx; .php; .pmf; .png; .ppt; .pptx; .ps1; .pst; .pvi; .py; .pyc; .pyw; .qcow; .qcow2; .rar; .rb; .rtf; .scm; .sln; .sql; .tar; .tib; .tif; .tiff; .vb; .vbox; .vbs; .vcb; .vdi; .vfd; .vhd; .vhdx; .vmc; .vmdk; .vmsd; .vmtm; .vmx; .vsdx; .vsv; .work; .xls; .xlsx; .xml; .xvd; .zip;

Suppression du rançongiciel Bad Rabbit :

Suppression instantanée automatique de Bad Rabbit virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Bad Rabbit virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Bad Rabbit. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Bad Rabbit  ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé Bad pour éliminer tous les fichiers restants du rançongiciel Rabbit.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Bad Rabbit sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Bad Rabbit, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Bad Rabbit.

Noter que Windows 10 Fall Creators Update inclut la fonction "Accès au Dossier Contrôller" qui bloque les tentatives du rançongiciel d'encrypter vos fichiers. Par défaut cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris aussi bien que les dossiers du Bureau.

Accès au Dossier Contrôller

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciel. Voici plus d'informations sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Bad Rabbit :

Source: https://www.pcrisk.com/removal-guides/11825-bad-rabbit-ransomware