Rançongiciel GANDCRAB

Aussi connu comme: GandCrab virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel GANDCRAB

Qu'est-ce que GANDCRAB?

GANDCRAB est un autre virus de type rançongiciel distribué en utilisant le kit d'exploitation RigEK. Une fois infiltré, il encrypte la plus part des données stockées et ajoute l'extension ".GDCB" au nom de chaque fichier compromis. À partir de ce moment, les fichiers deviennent inutilisables. Immédiatement après le cryptage, GANDCRAB génère un fichier "GDCB-DECRYPT.txt" et place une copie dans chaque dossier existant.

Le nouveau fichier texte contient des informations concernant la situation actuelle et expliquant quoi faire ensuite. Pour encrypter les données, les victimes doivent ouvrir une page web Tor, et suivre les instructions sur celle-ci. Le site web énonce que le décryptage requiert une clef unique, qui est stockée sur un serveur à distance contrôlé par les développeurs de GANDCRAB. Melheureusement, ces informations sont vraies. Bien qu'on ne sache actuellement pas si GANDCRAB utilise la cryptographie symétrique ou asymétrique, dans tous les cas, le décryptage des fichiers sans la clef est impossible. Donc, les victimes sont encouragées à payer 1.5 Dash (crypto devise), actuellement équivalent à ~$1130. GANDCRAB est le premier rançongiciel qui accepte les coins Dash jusqu’à maintenant. Une fois que la rançon est payée, la clef de décryptage est supposément libérée. Sachez, cependant, qu’on ne peut pas faire confiance aux cybers criminels. Le coût est élevé et les criminels sont susceptibles d’ignorer les victimes une fois que le paiement est soumis. Pour ces raisons, nous vous recommandons de ne jamais contacter ces personnes ou de payer une rançon. Malheureusement, il n’y a aucun outil capable de restaurer les fichiers encryptés par GANDCRAB. Donc, la seule solution est de tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de GANDCRAB

GANDCRAB est un rançongiciel régulier et il partage plusieurs similarités avec InsaneCrypt, Velso, Rapid, Cyber Police, et des douzaines d'autres virus de types rançongiciels. Tout comme GANDCRAB, ces infections de rançongiciels encryptent aussi les fichiers stockés et font des demandes de rançon. Dans la plus part des cas. Les seules différences majeures sont le montant de la rançon et le type d’algorithme de cryptage utilisé. La recherche montre que, malheureusement, la plus part de ces virus emploient des algorithmes (ex. RSA, AES, et ainsi de suite) qui génèrent des clefs de décryptage uniques, ainsi, à moins que le rançongiciel contienne certains bugs/défauts (ex. la clef est hard-coded, stockée localement, ou quelque chose de similaires), restaurer les fichiers manuellement sans l’implication des développeurs (contacter ces personnes n’est pas recommandé) est impossible. Les virus tels que GANDCRAB représente une bonne raison de maintenir une sauvegarde régulière des données. Cependant, noter que stocker les sauvegardes de fichiers localement n’est pas sécuritaire – le rançongiciel les encrypte comme tout autre fichier. Les sauvegardes doivent être stockées sur un serveur à distance (Ex. Cloud) ou sur un stockage externe non branché.

Comment le rançongiciel a-t-il infecté le rançongiciel?

Ransomware-type viruses are proliferated in various ways, however, the most popular five are: 1) spam emails; 2) unofficial software download sources; 3) peer-to-peer [P2P] networks; 4) fake software updaters, and; 5) trojans. Spam emails often contain malicious attachments, such as JavaScript files, MS Office documents, etc. Once opened, these attachments stealthily download/install malware. Third party software download sources (free file hosting websites, freeware download websites, etc.) and P2P networks (eMule, torrents, and so on) proliferate malicious executables by presenting them as legitimate software. Users are tricked into downloading/installing malware. Fake software updaters infect the system by exploiting outdated software bugs/flaws or downloading malware rather than software updates. Trojans are the simplest ones - they merely open "backdoors" for other high-risk viruses to infiltrate the system.

Comment vous protégez contre les infections de rançongiciels?

.Les raisons principales des infections informatiques sont de piètres connaissances et un comportement imprudent. Donc, pour prévenir cette situation, soyez très prudents quand vous naviguez sur internet. Sachez que les fichiers reçus à partir d’adresses email suspectes ne devraient jamais être téléchargés ou ouverts. Ces emails devraient être supprimés sans être lus. Nous recommandons aussi que vous téléchargiez vos applications à partir de sources officielles/qui sont dignes de confiance seulement ; utiliser des liens de téléchargement directs (les téléchargeurs/installateurs incluent souvent des logiciels escrocs). Utiliser une suite antivirus/anti logiciel espion et gardez les applications installées à jour, cependant, parce que les criminels prolifèrent les logiciels malveillants via de fausses mises à jour, utilisent les fonctions de mise à jour implantées, ou les outils fournis par les développeurs officiel seulement. La clef de la sécurité  informatique c’est la prudence.

Texte présenté dans le fichier texte du rançongiciel GANDCRAB  ("GDCB-DECRYPT.txt"):

---= GANDCRAB =---

Attention!
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants ont été encryptés et ont l'extension : .GDCB
La seule méthode pour récupérer les fichiers est d'acheter une clef privée. Elle est sur notre serveur et seulement nous pouvons récupérer vos fichiers.
Le serveur avec votre clef est un réseau fermé TOR. Vous pouvez l'atteindre d'une des façons suivantes :
1. Télécharger le Navigateur Tor  - hxxps://www.torproject.org/
2. Installer le navigateur Tor
3. Ouvrez le Navigateur Tor
4. Ouvrez le lien dans le navigateur tor : hxxp://gdcbghvjyqy7jclk.onion/113737081e857d00
5. Suivez les instructions sur cette page


Si Tor/le navigateur Tor est verrouillé dans votre pays ou si vous ne pouvez l'installer ouvrez un des liens suivants dans votre navigateur régulier :
1. hxxp://gdcbghvjyqy7jclk.onion.top/113737081e857d00
2. hxxp://gdcbghvjyqy7jclk.onion.casa/113737081e857d00
3. hxxp://gdcbghvjyqy7jclk.onion.guide/113737081e857d00
4. hxxp://gdcbghvjyqy7jclk.onion.rip/113737081e857d00
5. hxxp://gdcbghvjyqy7jclk.onion.plus/113737081e857d00

Sur notre page vous verrez les instructions de paiement et aurez l'opportunité de décrypter 1 fichier gratuitement.

DANGEREUX!
N'essayez pas de modifier les fichiers ou d'utiliser votre propre clef privée - cela mènera à la perte permanente de vos fichiers!

Capture d'écran du site web de GANDCRAB :

Site web de GANDCRAB

Texte présenté sur ce site web :

- GandCrab -
Bienvenue!
NOUS REGRETTONS, MAIS TOUS VOS FICHIERS ONT ÉTÉ ENCRYPTÉS!

Mais ne vous inquiétez pas, nous pouvons retourner tous vos fichiers! Nous pouvons vous aidez!
Ci-dessus vous pouvez choisir un de vos fichiers encryptés sur votre PC et le décrypter, c'est un décrypteur test pour vous.
Mais nous pouvons seulement en décrypter 1 gratuitement.

ATTENTION!
Si vous avez des problèmes avec le test de décryptage, s'il vous plaît réessayer plus tard, désolé mais nous avons beaucoup de demandes de décryptage de fichiers, aussi utiliser le service de soutien gratuit, nous pouvons vous aidez.

Grosseur maximum du fichier: 2 ?b. Fichier permis : txt, jpg/jpeg, jpeg, bmp, png, gif.
ATTENTION!
N'utilisez pas d'outils de décryptage de tierces parties!
Parce que cela détruira vos fichiers!


Qu'avez-vous de besoin?
Vous avez besoin du Décrypteur GandCrab.
Ce logiciel décryptera tous vos fichiers encryptés et supprimera GandCrab de votre PC.
Pour acheter vous avez besoin de la crypto devise DASH (1 DASH = 762.297 $).
Apprenez ici comment acheter cette crypto devise.
Combien devez-vous payer? Ci-dessous nous avons spécifié le montant et notre portefeuille pour paiement
-Prix-
1.5 DASH (1200 USD)
-DASH adresse pour le paiement-
XkGKE7niDTbZb5o7fTw22o9TQxyYu5zyfU
Ce processus est entièrement automatisé, tous les paiements sont instantanés.
Après le paiement, s'il vous plaît actualisez cette page et vous pouvez télécharger ici le Décrypteur GandCrab!
Si vous avez des questions, n'hésitez pas, et écrivez-nous au Soutien 24/7.

Capture d'écran des fichiers encryptés par GANDCRAB (extension ".GDCB"):

Fichiers encryptés par GANDCRAB

Suppression du rançongiciel GANDCRAB :

Suppression instantanée automatique de GandCrab virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer GandCrab virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer  Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus GANDCRAB. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel GANDCRAB ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel GANDCRAB.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de GANDCRAB sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par GANDCRAB, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel GANDCRAB.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10  inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès Contrôllé aux Dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'informations sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel GANDCRAB :

Source: https://www.pcrisk.com/removal-guides/12212-gandcrab-ransomware