Rançongiciel Zenis

Aussi connu comme: Zenis virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Zenis

Qu'est-ce que Zenis?

Découvert par MalwareHunterTeam, Zenis est un autre virus de type rançongiciel qui, une fois infiltré, encrypte la plus part des fichiers stockés. Durant le cryptage, Zenis renomme les fichiers en utilisant le modèle "Zenis-[2_random_characters].[12_random_characters]". Par exemple, "sample.jpg" serait renommé quelque chose comme "Zenis-OX.4XAs5iEEpI8I". Après un cryptage réussi, Zenis créé un fichier html ("Zenis-Instructions.html") plaçant une copie dans chaque dossier existant.

Le fichier html créé contient un message informant les victimes du cryptage et leur disant quoi faire ensuite. Afin de restaurer les fichiers, les victimes doivent contacter les cybers criminels via une adresse email. On ne sait actuellement pas si Zenis utilise une cryptographie symétrique ou asymétrique – de telles informations ne sont pas fournies. Cependant, il est certain que le décryptage requiert une clef unique générée individuellement pour chaque victime. Le problème est que ces clefs sont stockées sur un serveur à distance contrôlé par des cybers criminels. Pour cette raison, les victimes doivent payer une rançon (après avoir contacté les bandits on fournira aux utilisateurs des instructions de paiement). Les victimes sont aussi encouragées à joindre un email avec un seul fichier (jusqu’à 2 MB) que les bandits décrypteront et renverront à la victime à titre de garantie que le décryptage est possible. On ne sait actuellement pas quel est le coût de la clef. Cependant, les cybers criminels demandent typiquement entre 500$ et 1500$ en Bitcoins (ou d’autres crypto devises). Néanmoins, peut importe si le prix est faible ou élevé, il ne devrait jamais être payé. Pour cette raison, payer ne donne typiquement aucun résultat positif. Les utilisateurs devraient ignorer tous les encouragements à contacter ces personnes et à soumettre les paiements. Malheureusement, il n’y a aucun outil capable de restaurer les fichiers encryptés par Zenis. Ainsi, la seule chose que les victimes peuvent faire c’est de tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de Zenis

Zenis est virtuellement identique à GPGQwerty, GANDCRAB2, LockCrypt, BlackRuby, et à des douzaines d'autres virus de types rançongiciels. Bien que tous soient développés par des cybers criminels différents, ces virus ont quand même tous un comportement identique. Dans la plus part des cas, les virus de types rançongiciels ont seulement deux différences majeures : 1) le montant de la rançon, et ; 2) le type de cryptographie utilisée. Malheureusement, la plus part des rançongiciels utilisent des algorithmes qui génèrent des clefs de décryptage uniques (ex. RSA, AES, et ainsi de suite). Pour cette raison, à moins que le logiciel malveillant ne soit pas entièrement développé et/ou qu’il possède certains bugs/défauts (ex. la clef est stockée localement, elle est hard-coded, ou quelque chose comme ça) le décryptage des fichiers manuellement (sans l’interférence des développeurs) est très susceptible d’être impossible. Les virus de types rançongiciels représentent de bonnes raisons de maintenir des sauvegardes régulières des données. Cependant, noter que les sauvegardes peuvent être encryptées comme n’importe quel autre fichier. Pour cette raison, il est très important de les stockées sur un stockage externe non branché ou sur un serveur à distance (ex. le Nuage).

Comment le rançongiciel a-t-il infecté mon ordinateur?

Les virus de types rançongiciels sont distribués de diverses façons. Pourtant les cinq les plus communes sont : 1) les pourriels (pièces-jointes infectieuses) ; 2) réseaux pairs-à-pairs (P2P) ; 3) des sources de téléchargement de logiciels de tierces parties ; 4) de faux outils de mise à jour de logiciels, et 5) des trojans. Les pièces-jointes malicieuses viennent typiquement sous le format de fichiers JavaScript ou de documents MS Office. En les ouvrants les utilisateurs exécutent des scripts qui téléchargent et installent secrètement des logiciels malveillants. Les réseaux P2P (eMule, torrents, etc.) et autres sources de téléchargement non officielles (sites web d’hébergement de fichiers gratuits, sites web de téléchargement de logiciels gratuits, etc.) présentent les exécutables malicieux comme des logiciels légitimes. En faisant cela, les bandits trompent les utilisateurs qui téléchargent et installent eux-mêmes les logiciels malveillants. Les fausses mises à jour de logiciels infectent le système en exploitant les bugs/défauts des logiciels désuets ou en installant un logiciel malveillant plutôt que les mises à jour du logiciel. Les trojans sont les plus simples – la plus part ne font rien à part ouvrir une ‘’porte arrière’’ pour que d’autres logiciels malveillants à hauts risques infiltrent le système. Ultimement, les raisons principales des infections informatiques sont de piètres connaissances et un comportement imprudent.

Comment vous protégez contre les infections de rançongiciels?

La clef de la sécurité informatique c’est la prudence. Ainsi, afin d’empêcher les infections de rançongiciels les utilisateurs doivent être très prudents quand ils naviguent sur internet. Pour commencer, les utilisateurs devraient immédiatement supprimer les emails reçus à partir d’adresses suspectes et certainement ne jamais ouvrir de fichiers joints à de tels emails. De plus, le logiciel désiré devrait seulement être téléchargé à partir de sources officielles, en utilisant les liens de téléchargement direct. Les téléchargements/installateurs de tierces parties sont très susceptibles d’inclure des programmes escrocs, et c’est pourquoi de tels outils ne devraient jamais être utilisés. Gardez vos applications installées à jour et utilisez une suite antivirus/anti logiciel espion légitime est aussi essentielle. Pourtant notez que le logiciel malveillant est souvent distribué en utilisant de fausses mises à jour. Ainsi, assurez-vous d’utiliser les fonctions de mise à jour implantées ou au moins seulement les outils fournis par le développeur officiel.

Texte présenté dans le fichier html du rançongiciel Zenis ("Zenis-Instructions.html"):

*** All your files has been encrypted ***

Je suis ZENIS. Un garçon coquin qui adore la cryptographie, les matériaux et la programmation. Mon mode est plein de questions non résolues et de casse-têtes, et je viens découvrir un monde nouveau. Un monde dans l’espace digital où vous êtes supposé jouer le rôle de mes jouets.

Si vous voulez gagner à ce jeu, vous devez écouter attentivement mes instructions, autrement vous serez piégé dans un jeu à une seule étape et vous deviendrez le perdant principal de l’histoire.

Mes instructions sont simples et claires. Ensuite suivez ces étapes :

1. Envoyer ce fichier (Zenis-Instructions.html) à mon email avec un de vos fichiers encryptés de moins de MB afin de faire confiance à ce jeu.
2. Je décrypte gratuitement votre fichier et je vous le renvoie.
3. Si vous confirmez l'exactitude des fichiers, vérifiez que les fichiers sont corrects via email.
4. Ensuite vous recevrez le prix du décryptage des fichiers
5. Après avoir déposé, s'il vous plait envoyez moi les détails du paiement
6. Après que j'aille confirmer le dépôt, je vous enverrai le "DécrypteurZenis" avec la "Clef Privée" pour récupérer tous vos fichiers.
Maintenant vous pouvez terminer la partie. Vous avez gagné la partie, félicitations.

S'il vous plait soumettez votre demande à ces deux emails :

TheZenis@Tutanota.com
TheZenis@MailFence.com
Si vous ne recevez pas d'email après six heures, soumettez votre demande aux emails suivants :
TheZenis@Protonmail.com
TheZenis@Mail2Tor.com (Sur le réseau TOR)


Avertissement: les programmes de tierces parties et publics, pourraient causer des dommages irréversibles à vos fichiers. Et tous vos fichiers pourraient être perdus pour toujours.

Capture d'écran des fichiers encryptés par Zenis (modèle "Zenis-[2_random_characters].[12_random_characters]"):

Fichiers encryptés par Zenis

Suppression du rançongiciel Zenis :

Suppression instantanée automatique de Zenis virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Zenis virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer  Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Zenis. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans Échec avec la commande Invite

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Zenis ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Zenis.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Zenis sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande),  redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Zenis, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Zenis.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10  inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Zenis :

Source: https://www.pcrisk.com/removal-guides/12468-zenis-ransomware