Rançongiciel Hermes

Aussi connu comme: HERMES virus
Distribution: Bas
Niveau de dommage: Médium

Instructions de suppression du rançongiciel Hermes

Qu'est-ce qu'Hermes?

Hermes est un logiciel malveillant de type rançongiciel découvert par Michael Gillespie. Une fois infiltré, Hermes encrypte les fichiers en utilisant la cryptographie RSA-2048. Ce logiciel malveillant n'ajoute pas d'extenions aux fichiers encryptés. Après un cryptage réussi, Hermes créé un fichier HTML file contenant un message demandant une rançon ("DECRYPT_INFORMATION.html"), le plaçant dans chaque dossier conteant les fichiers encryptés. Il fournit aussi un fichier UNIQUE_ID_DO_NOT_REMOVE que les victimes sont encouragées à joindre aux emails quand ils communiquent avec les cybers criminels responsables pour ce logiciel malveillant.

Le message informe les victimes du cryptage et énoncent qu’elles doivent acheter un logiciel de décryptage pour restaurer leurs fichiers compromis. Elles doivent faire ceci en contactant les cybers criminels via une adresse email fournie. Tel que mentionné ci-dessus, Hermes utilise un algorithme de cryptage asymétrique (RSA-2048), et, ainsi, des clefs publiques (cryptage) et privées (décryptage) sont générées. Décrypter les fichiers sans une clef privée est impossible. Les cybers criminels cachent cette clef sur un serveur à distance et font des demandes de rançon pour que vous puissiez la recevoir. Le coût n’est actuellement pas confirmé, cependant, les criminels demandent habituellement 500$-1500$ en Bitcoins. Malgré ces menaces er demandes, ne faites jamais confiance à ces personnes – elles ignorent les victimes une fois que les paiements sont soumis. Payer ne garantit pas que vos fichiers ne soient jamais décryptés – vous pourriez être arnaqué. Ignorer toutes les demandes de contacter ces personnes ou payer une rançon. Malheureusement, il n’y a aucun outil capable de craquer la cryptographie RSA-2048 et de restaurer les fichiers compromis par Hermes. Donc, ce problème peut seulement être résolu en restaurant vos fichiers/votre système à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de Hermes

Voici une capture d'écran d'une version mise à jour de ce rançongiciel "Hermes 2.0":

Rançongiciel hermes 2.0

Il y a des centaines de virus de types rançongiciels similaires à Hermes incluant, par exemple, SerbRansom 2017, Serpent, Zyka, et Digisom. Tous ont un comportement identique – ils encryptent les fichiers et font des demandes de rançon. Il y a seulement deux différences majeures entre ces virus : 1) le type de cryptographie [symétrique/asymétrique] utilisé, et; 2) le coût de décryptage. Les méthodes de distribution sont aussi identiques. Les virus de types rançongiciels sont distribués en utilisant des pourriels, des sites web d’hébergement de fichiers gratuits, des torrents, et d’autres réseaux pairs-à-pairs, etc.), de fausses mises à jour de logiciels, et des trojans. Donc, ne télécharger jamais de logiciels à partir de sources non officielles ou n’ouvrez jamais de fichiers reçus à partir d’emails suspects. De plus, gardez vos applications installées à jour et utilisez une suite antivirus/anti logiciel espion légitime. Gardez à l’esprit, cependant, que les cybers criminels emploient souvent de fausses mises à jour de logiciels pour infecter le système d’ordinateur. Donc, ne mettez jamais vos logiciels à jour via des outils de tierces parties. La clef de la sécurité informatique c’est la prudence.

Mise à jour 14 mars, 2017 - Le chercheur en sécurité Michael Gillespie a lancé un décrypteur gratuit qui peut être utilisé par les victimes de ce rançongiciel pour regagner le contrôle de leurs fichiers compromis. Vous pouvez le télécharger ICI. Plus d'informations sur comment l'utiliser ICI.

Décrypteur du rançongiciel hermes

Message demandant une rançon présenté dans le fichier HTML :

Tous vos fichiers importants sont encryptés Vos fichiers ont été encryptés en utilisant l'algorithme RSA2048 en utilisant une clef publique unique stockée sur votre PC. C'est la seule façon de récupérer vos fichiers: contactez-nous, payer, et obtenez le logiciel de décryptage. Vous avez le fichier “UNIQUE_ID_DO_NOT_REMOVE” sur le bureau aussi dupliqué dans certains dossiers, sa clef unique, attachez-la aux lettres quand vous nous contactez. Aussi vous pouvez décrypter 3 fichiers comme test. Nous acceptons Bitcoin, vous pouvez trouvez des échangeurs hxxp://www.bitcoin.com/buy-bitcoin et autres. Information de Contact : Email principal : BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch reserve email: x2486@india.com

Capture d'écran des fichiers encryptés par Hermes (aucune extension ajoutée, dossiers contenant les fichiers DECRYPT_INFORMATION.html et UNIQUE_ID_DO_NOT_REMOVE):

Fichiers encryptés par le rançongiciel hermes

Suppression du rançongiciel Hermes :

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Hermes. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Télécharger suppresseur pour HERMES virus
1) Télécharger et installer   2) Exécuter le scan du système   3) Profitez du fait que votre ordinateur est propre!

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Reimage.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Hermes ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Hermes.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Hermes sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Hermes, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Hermes.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Hermes :

Source: https://www.pcrisk.com/removal-guides/10952-hermes-ransomware