Rançongiciel GANDCRAB V2.0

Aussi connu comme: GANDCRAB 2 virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel GANDCRAB 2

Qu'est-ce que GANDCRAB 2?

GANDCRAB 2 est une version mise à jour du virus de type rançongiciel à haut risque appelé GANDCRAB. GANDCRAB 2 a premièrement été découvert par MalwareHunterTeam. Une fois infiltré, ce logiciel malveillant encrypte la plus part des fichiers stockés et ajoute l'extension ".CRAB"  au nom de chaque fichier compromis. À partir de ce point, les fichiers deviennent inutilisables. Après avoir encrypté avec succès les fichiers, GANDCRAB 2 créé un fichier texte ("CRAB-DECRYPT.txt") et place une copie dans chaque dossier existant.

Le nouveau fichier texte contient un message informant les victimes du cryptage et énonçant que les fichiers peuvent seulement être restaurés en utilisant une clef privée générée individuellement pour chaque victime. Malheureusement, cette information est exacte. On ne sait actuellement pas si GANDCRAB 2 utilise la cryptographie symétrique ou asymétrique, cependant, le décryptage requiert une clef unique. De plus, les développeurs cachent toutes les clefs sur un serveur à distance et font des demandes de rançon pour leurs libérations. Le message dans le fichier texte encourage les victimes pour visiter le site web de GANDCRAB 2 stocké sur le réseau Tor. Après avoir ouvert ce site, on accueille les utilisateurs avec un message énonçant que la clef (en combinaison avec un outil de décryptage) est disponible un coût (valeur équivalente = $400 dans la crypto devise Dash). Il est aussi énoncé qu’après 48 heures, le coût doublera. On permet aux victimes de décrypter un fichier sélectionné gratuitement comme garantie que le décryptage est possible. Malgré ces menaces et demandes, on ne peut jamais faire confiance aux cybers criminels. La recherche montre que les développeurs des virus de types rançongiciels ignorent souvent les victimes, une fois que les paiements sont soumis. Nous vous recommandons fortement d’ignorer toutes les demandes de contacter ces personnes ou de payer une rançon. Malheureusement, il n’y a actuellement aucun outil capable de restaurer les fichiers encryptés par GANDCRAB 2 (l’outil Bitdefender développé pour la version originale de GANDCRAB n’aidera pas). Donc, la seule solution est tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de GANDCRAB 2

Il y a des douzaines de virus de types rançongiciels virtuellement identiques à GANDCRAB 2. Par exemple, Jigsaw, LockyCrypt, Dharma, ANNABELLE, et Saturn. Bien que ces virus soient conçus par différents criminels, tous ont un comportement identiques – ils encryptent les données et font les demandes de rançon. Dans la plus part des cas, ces virus ont seulement deux différences majeures : 1) le montant de la rançon, et ; 2) le type de cryptographie utilisée. Malheureusement, la plus part emploient des algorithmes de cryptage (tels que RSA, AES, et ainsi de suite) qui génèrent des clefs de décryptage uniques. Donc, à moins que le logiciel malveillant ait certains bugs/défauts (ex. la clef est hard-coded, stockée localement, ou quelque chose de similaire), le décryptage des fichiers manuellement est impossible. Les rançongiciels sont une des raisons principales pourquoi vous devriez garder des sauvegardes des données régulières, cependant, il est tr ès important de stocker les sauvegardes de fichiers sur un serveur à distance (ex. le Nuage) ou un stockage externe non branché, autrement elles seront aussi encryptées.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Pour proliférer les rançongiciels, les développeurs emploient typiquement de fausses mises à jour de logiciels, des trojans, des pourriels (pièces-jointes malicieuses), et des sources de téléchargement non officielles. Les faux outils de mise à jour infectent le système en exploitant les bugs/défauts des logiciels désuets ou en installant des virus plutôt que les mises à jour du logiciel, tandis que les trojans ouvrent simplement des ‘’portes arrières’’ pour que d’autres logiciels malveillants infiltrent le système. Les pièces-jointes malicieuses viennent typiquement sous le format de fichiers JavaScript ou de documents MS Office qui, une fois ouverts, exécutent des scripts conçus pour télécharger et installer des logiciels malveillants. Les sources de téléchargement de logiciels de tierces parties (sites web d’hébergement de fichiers gratuits, sites web de téléchargement de logiciels gratuits, réseaux pairs-à-pairs, etc.) prolifèrent les logiciels malveillants en les présentant comme un logiciel légitime. Les utilisateurs sont ainsi trompés et ils téléchargent et installent des virus.

Comment vous protégez contre les infections de rançongiciels?

Les raisons principales des informatiques sont de piètres connaissances et un comportement imprudent – la clef de la sécurité informatique c’est la prudence. Donc, portez une attention particulière quand vous naviguez sur internet. N’ouvrez jamais de fichiers reçus à partir d’adresses email suspectes. Ces emails devraient être supprimés sans être lus. Il est aussi recommandé que vous téléchargiez vos applications à partir de sources officielles seulement en utilisant les liens de téléchargement directs. Les téléchargements/installateurs de tierces parties incluent souvent des applications escrocs – ces outils ne doivent pas être utilisés. De plus, gardez les applications installées à jour et utilisez une suite antivirus/anti logiciel espion légitime, mais rappelez-vous que les criminels prolifèrent les rançongiciels en utilisant de fausses mises à jour. Donc, nous vous recommandons d’utiliser les fonctions de mise à jour implantées ou les outils fournis par le développeur officiel seulement.

Texte présenté dans le fichier texte du rançongiciel GANDCRAB 2 ("CRAB-DECRYPT.txt"):

---= GANDCRAB =---

Attention!

Tous vos fichiers documents, photos, banques de données et autres fichiers importants sont encryptés et ont l'extension : .GDCB

La seule méthode pour récupérer les fichiers est d'acheter une clef privée. Elle est sur notre serveur et seulement nous pouvons récupérer vos fichiers

Le serveur avec votre clef est sur un serveur TOR fermé. Vous pouvez y aller des façons suivantes :

1. Télécharger le Navigateur Tor browser - hxxps://www.torproject.org/

2. Installer le Navigateur Tor

3. Ouvrez le Navigateur Tor

4. Ouvrez le lien dans le navigateur tor : hxxp://gdcbmuveqjsli57x.onion/113737081e857d00

5. Suivez les instructions sur cette page



Sur notre page vous verrez les instructions de paiement et obtiendrez l'opportunité de décrypter gratuitement 1 fichier.


Si vous ne pouvez télécharger TOR et l'utiliser, ou si dans votre pays TOR est bloqué lisez ceci :
1. Visiter hxxps://tox.chat/download.html
2. Télécharger et installer qTOX sur votre PC.
3. Ouvrez-le, cliquer ''Nouveau Profil'' et créer le profil.
4. Rechercher notre contact - 6C5AD4057E594E090E0C987B3089F74335DA75F04B7403E0575663C26134956917D193B195A5
5. Dans le message s'il vous plaît écrivez votre ID et attendez notre réponse : 113737081e857d00


DANGEREUX!

N'essayez pas de modifier les fichiers ou d'utiliser votre propre clef privée - cela mènera à la perte de vos données pour toujours!

L'apparence du pop-up du rançongiciel GANDCRAB 2 (GIF):

Gif du pop-up de GANDCRAB 2

Texte présenté sur ce site web :

Nous sommes désolés, mais vos fichiers ont été encryptés!

Ne vous inquiétez pas, nous pouvons retourner tous vos fichiers! Nous pouvons vous aidez!

Le prix de décryptage des fichiers est de 400 USD
Si le paiement n'est pas fait d'ici 2018-03-08 10:45:13 UTC le coût du décryptage des fichiers doublera Temps restant avant que le prix double :
01 jours 23h:57m:29s

Qu'est-il arrivé?

Votre ordinateur a été infecté avec le Rançongiciel GandCrab. Vos fichiers ont été encryptés et vous ne pouvez les décrypter vous-mêmes.

Dans le réseau, vous pouvez trouver des décrypteurs et des outils de tierces parties, mais cela ne vous aidera pas et peut rendre vos fichiers non décryptables.
Qu'est-ce que je peux faire pour récupérer mes fichiers?

Vous devez acheter le Décrypteur GandCrab. Ce logiciel décryptera tous vos fichiers encryptés et supprimer le Rançongiciel GandCrab de votre PC. Prix actuel : 400.00$ Pour le paiement vous avez besoin de la cryptographie DASH
Quelles garanties pouvez-vous me donner?

Vous pouvez utiliser le décryptage test et décrypter gratuitement 1 fichier.
Qu'est-ce que DASH et comment puis-je acheter le Décrypteur GandCrab?

Il y a quelques façons d'acheter DASH. Abbréviation - DSH.

Pour compléter un paiement, s'il vous plaît envoyez
0.68376068 DSH
à l'adresse
XrT9iupqgwX8jhUNEQCFpzsG9h2nkBQddV
( ~ $400.00)

Si vous avez des problèmes avec l'achat de la devise, s'il vous plaît écrivez à notre service de soutien.
Attention! Nous ne sommes pas reliés à aucun des services d'échange!

Capture d'écran des fichiers encryptés par GANDCRAB 2 (extension ".CRAB"):

Fichiers encryptés par GANDCRAB 2

Suppression du rançongiciel GANDCRAB 2 :

Suppression instantanée automatique de GANDCRAB 2 virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer GANDCRAB 2 virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer  Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus GANDCRAB 2. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel GANDCRAB 2 ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un  logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel GANDCRAB 2.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de GANDCRAB 2 sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par GANDCRAB 2, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

shadow explorer screenshot

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel GANDCRAB 2.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10  inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel GANDCRAB 2 :

Source: https://www.pcrisk.com/removal-guides/12413-gandcrab2-ransomware