Rançongiciel ..doc

Aussi connu comme: ..doc virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel ..doc

Qu'est-ce que  ..doc?

..doc est une nouvelle variante d'un virus de type rançongiciel appelé GlobeImposter. Les développeurs prolifèrent  ..doc en employant le botnet Necurs, qui est utilisé pour envoyer des pourriels contenant une pièce-jointe malicieuse (le logiciel malveillant  ..doc). Le botnet utilise aussi des adresses email et des lignes de sujet conçues pour tromper les utilisateurs (de diverses façons) pour qu’il lisent l’email et ouvrent la pièce-jointe. Une fois infiltré, ..doc encrypte les données stockées et ajoutent l’extension "..doc" (d'où l'origine du nom du logiciel malveillant). À partir de ce moment, les fichiers deviennent inutilisables. Après le cryptage, ..doc place un fichier "Read___ME.html" dans chaque dossier existant.

Le nouveau fichier HTML file contient des informations détaillées concernant le cryptage et encouragent les utilisateurs à acheter un outil de décryptage spécifique via le site web du rançongiciel  (lien fourni dans le fichier HTML). On ne sait actuellement pas si  ..doc utilise un cryptage symétrique ou asymétrique, cependant, dans tous les cas, le décryptage requiert une clef unique. Ces clefs sont stockées sur un serveur à distance contrôlé par des cybers criminels et les utilisateurs sont encouragés à acheter un outil de décryptage avec les clefs activées intégrées. Le coût est actuellement inconnu et m.est spécifié nulle part – pour soumettre le paiement les utilisateurs devraient premièrement contacter les développeurs de ..doc  via leur site web (sous forme de clavardage). Les cybers criminels demandent habituellement 500$-1500$ Bitcoins. On permet aussi aux utilisateurs de joindre un fichier sélectionné, qui est décrypté et retourné, supposément pour garantir que les fichiers peuvent être restaurés. En fait, on ne devrait jamais faire confiance aux cybers criminels. La recherche montre que ces personnes sont susceptibles d’ignorer les victimes, une fois les paiements soumis. il y a de fortes chances que payer ne délivre aucun résultat positif et que vous soyez arnaqué. Donc, nous vous recommandons fortement d’ignorer toutes les demandes de contacter ces personnes ou de payer une rançon. Malheureusement, il n’y a actuellement aucun outil capable de restaurer les fichiers compromis par ..doc. Donc, vous pouvez seulement restaurer le système/les fichiers à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de ..doc

..doc est virtuellement identique à LockeR, TBHRanso, Wana Die, et à des douzaines d'autres virus de types rançongiciels. Noter que bien que ces virus soient développés par différents cybers criminels, tous ont des comportements identiques – ils encryptent les données et font des demandes de rançon. Il y a seulement deux différences majeures : 1) le montant de la rançon, et 2) le type d’algorithme de cryptage utilisé. La recherche montre que, malheureusement, la plus part de ce ces virus emploient des algorithmes (ex. RSA, AES, etc.) qui génèrent des clefs de décryptage uniques. Donc, le décryptage des fichiers manuellement sans l’implication des développeurs (contacter ces personnes n’est pas recommandé) est impossible, à moins que le logiciel malveillant contienne des bugs/défauts (ex. stocker la clef manuellement, la clef est hard-coded, etc.) Pour ces raisons, les virus de types rançongiciels tels que .doc représente une bonne raison de maintenir une sauvegarde régulière des données. Gardez à l’esprit, cependant, que la sauvegarde des données doit être stockée sur un serveur à distance (ex. Cloud) ou un stockage externe, autrement le logiciel malveillant demeurera aussi encrypté.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Les virus de types rançongiciels sont typiquement distribués en utilisant des pourriels (pièces-jointes malicieuses), réseaux pairs-à-pairs (P2P) et autres sources de téléchargement de logiciels de tierces parties, fausses mises à jour de logiciels, et chevaux de Troie. Les pièces-jointes malicieuses sont habituellement délivrées dans le format de fichiers JavaScript ou de documents Ms Office (avec des macros). Une fois ouvertes, ces pièces-jointes téléchargent et installent des logiciels malveillants. Les réseaux pairs-à-pairs (torrents, eMule, etc.) et d’autres sources de téléchargement non officielles (sites web d’hébergement de logiciels gratuits, sites web de téléchargement de logiciels gratuits, etc.) présentent souvent des exécutables malicieux comme des logiciels légitimes. On trompe les utilisateurs pour qu’ils téléchargent et installent un logiciel malveillant. Les faux outils de mises à jour de logiciels infectent le système en exploitant les bugs/défauts des logiciels désuets. Les chevaux de Troie sont les plus simples – ils ouvrent simplement des ‘’portes arrières’’ pour que les logiciels malveillants infiltrent le système. Essentiellement, la raison principale des infections informatiques c’est de piètres connaissances et un comportement imprudent.

Comment vous protégez contre les infections de rançongiciels?

Pour prévenir les infections de rançongiciels, soyez très prudent quand vous naviguez sur internet. N’ouvrez jamais de fichiers reçus à partir d’emails suspects – ces emails devraient être supprimés sans être lus. De plus, téléchargez vos applications à partir de sources officielles seulement et, préférablement, en utilisant un lien de téléchargement direct. Les téléchargements/installateurs de tierces parties sont susceptibles d’inclure des logiciels malveillants. Donc, nous vous recommandons d’éviter de tels outils. Gardez vos applications installées à jour et utilisez une suite antivirus/anti logiciels espions légitimes. Noter, cependant, que les criminels prolifèrent les logiciels malveillants via de fausses mises à jour. Plutôt que de les utiliser, utilisez une fonction ‘’Mise à jour’’ implantée ou un outil fourni par le développeur officiel. La clef de la sécurité informatique c’est la prudence.

Campagne d'emails escrocs distribuant le rançongiciel ..doc (aussi appelé Ergop "Ransom:Win32/Ergop " par Microsoft):

ergop (rançongiciel ..doc) distribuant le message email

Texte présenté dans le fichier HTML du rançongiciel ..doc  ("Read___ME.html"):

Vos fichiers sont encryptés!

Pour la récupération des données vous avez besoin d'un décrypteur

Si vous voulez acheter un décrypteur cliqué "Acheter un Décrypteur"

Acheter un Décrypteur

Si cela ne fonctionne pas, cliquez de nouveau.
Décryptage gratuit, comme garantie.
Avant de payer vous pouvez nous envoyer 1 fichier gratuit pour décryptage.
Pour envoyer un message ou un fichier utilisez ce lien.
Soutien
Si vous ne pouvez nous contacter, suivez ces deux étapes :
1. Installer le Navigateur TOR à partir de ce lien : torproject.org
2. Ouvrez ce lien dans le navigateur TOR : hxxp://n224ezvhg4sgyamb.onion/sup.php

Capture d'écran du site web  ..doc :

Site web de ..doc

Texte présenté sur ce site web :

SOUTIEN
Décryptage gratuit comme garantie.
Avant de payer vous pouvez nous envoyer 1 fichier pour un décryptage gratuit.
Pour envoyer un message ou un fichier utilisez ce lien.

hxxps://ws10.freshdesk.com/support/tickets/new

Capture d'écran du clavardage utilisé pour contacter les développeurs du rançongiciel  ..doc :

Clavardage eb direct du rançongiciel doc

Capture d'écran des fichiers encryptés par  ..doc ("extension ..doc"):

Fichiers encryptés par ..doc

..doc ransomware removal:

Suppression instantanée automatique de ..doc virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer ..doc virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus ..doc. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Boot your computer in Safe Mode with Command Prompt

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel ..doc ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel  ..doc.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de ..doc sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par ..doc, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel ..doc.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10  inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès Contrôllé aux Dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel ..doc :

Source: https://www.pcrisk.com/removal-guides/11952-doc-ransomware