Rançongiciel PLANETARY

Aussi connu comme: PLANETARY virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel PLANETARY

Qu'est-ce que PLANETARY?

Premièrement découvert par l'analyste en sécurité de logiciel malveillant Lawrence Abrams, PLANETARY est une version mise à jour d'un autre rançongiciel à haut risque appelé  HC7. Une fonction de  ce logiciel malveillant est que les criminels le propagent manuellement. Ils piratent les réseaux d'ordinateurs à distance et installent le logiciel malveillant sur tous les ordinateurs connectés. Immédiatement après l'Infiltration, PLANETARY encrypte la plus part des fichiers stockés et ajoute l'extension ".PLANETARY" à chaque fichier encrypté. Par exemple, "sample.jpg" est renommé "sample.jpg.PLANETARY". À partir de ce moment, utiliser les fichiers devient impossible. Après un cryptage réussi, PLANETARY place un fichier texte ("RECOVER.txt") sur le bureau.

 Le nouveau fichier texte contient un message court informant les victimes du cryptage et faisant une demande de rançon. On ne sait actuellement pas si PLANETARY utilise la cryptographie symétrique ou asymétrique. Dans tous les cas, le décryptage requiert une clef qui est générée uniquement pour chaque victime (potentiellement, pour chaque machine connectée au réseau). De plus, les cybers criminels cachent ces clefs sur un serveur à distance, leur permettant de faire des demandes de rançon pour leur libération. Pour restaurer les données, les victimes doivent payer 700$ dollars une/plusieurs machines, ou 5000$ pour le réseau en entier. Noté aussi que les développeurs de PLANETARY acceptant le paiement dans les devises Bitcoin, Monero, et Ethereum. Nous avons rencontré des centaines de virus de types rançongiciels, la plus part des quels demandaient des Bitcoins, et, dans certains cas Moneros. PLANETARY est le premier qui accepte les paiements dans la crypto devise Ethereum. A cause de la popularité et des coûts qui augmentent, ce n’est pas surprenant que les cybers criminels aient commencé à utiliser cette crypto devise. Malgré ceci, sachez qu’on ne devrait jamais faire confiance aux cybers criminels. La plus part des développeurs de rançongiciels ignorent les victimes une fois les paiements soumis. Payer ne donnera typiquement aucun résultat positif et les utilisateurs seront arnaqués. En plus, payer faire en sorte que vous supporterez les entreprises malicieuses des cybers criminels. Pour ces raisons, toutes les demandes de contacter ces personnes ou de payer une rançon devraient être ignorées. Malheureusement, au moment d’écrire, il n’y avait aucun outil capable de restaurer les fichiers compromis par PLANETARY et la seule solution est de tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de PLANETARY

PLANETARY est virtuellement identique à Krypton, Leon, SERVER, TripleM, et à des douzaines d'autres virus de types rançongiciels.Bien que tous soient développées par des cybers criminels différents, leurs comportement sont identiques – tous encryptent les données et font des demandes de rançon. La plus part ont seulement deux différences majeures : 1) le montant de la rançon, et ; 2) le type d’algorithme de cryptage utilisé. Les virus de types rançongiciels utilises des algorithmes (par exemple, RSA, AES’ etc.) qui génèrent des clefs de décryptage uniques. Donc, à moins que la clef soit hard-coded, stockée localement, ou que le rançongiciel possède d’autres défauts similaires, restaurer les fichiers manuellement est impossible. PLANETARY et d’autres virus de types rançongiciels représentent de bonnes raisons de maintenir des sauvegardes régulières des données, cependant, il est très important de stocker les fichiers sauvegardés sur un serveur à distance (par exemple, le Nuage) ou un stockage externe non branché. Si non, les sauvegardes sont encryptées en combinaison avec les autres données.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Bien que PLANETARY soit proliféré manuellement, les autres criminels prolifèrent les rançongiciels en utilisant de faux outils de mise à jour de logiciels, des pourriels, des sources de téléchargement de logiciels de tierces parties, et des trojans. Les fausses mises à jour exploitent les bugs/défauts des logiciels désuets pour infecter le système, tandis que les pourriels incluent souvent des pièces-jointes malicieuses (ex fichiers JavaScript, documents MS Office, et ainsi de suite) qui une fois ouverts, téléchargent et installent des logiciels malveillants. Les sources de téléchargement non officielles de logiciels (les réseaux pairs-à-pairs (P2P), les sites web de téléchargement de logiciels gratuits, les sites web d’hébergement de logiciels gratuits, et ainsi de suite) présentent les exécutables malicieux comme des logiciels légitimes. Donc, les utilisateurs sont souvent trompés et ils téléchargent et installent des logiciels malveillants. Les trojans sont les plus simples – ils ouvrent simplement des ‘’portes arrières’’ pour que les logiciels malveillants infiltrent le système. Ultimement, les raisons principales des infections informatiques sont un comportement imprudent et le manque de connaissances.

Comment vous protégez contre les infections de rançongiciels?

La clef de la sécurité informatique c’est la prudence. Donc, portez une attention particulière quand vous naviguez sur internet. Supprimez les emails reçus à partir d’adresses suspectes et n’ouvrez jamais de fichiers joints à ceux-ci. De plus, téléchargez vos applications à partir de sources officielles seulement et, si possible, en utilisant un lien de téléchargement direct (les téléchargements/installateurs de tierces parties publicisent des programmes douteux). De plus, gardez vos applications installées à jour, nous vous recommandons d’utiliser les fonctions de mise à jour implantées ou les outils fournis par les développeurs officiels. Utilisez une suite antivirus/anti logiciel espion légitime est aussi essentiel.

Texte présenté dans le fichier texte du rançongiciel PLANETARY ("RECOVER.txt"):

TOUS LES FICHIERS SONT ENCRYPTÉS.
POUR LES RESTAURER VOUS DEVEZ ENVOYER L'ÉQUIVALENT DE 700$ POUR UN ORDINATEUR
OU 5,000$ POUR TOUT LE RÉSEAU
PAIEMENTS ACCEPTÉS VIA BITCOIN, MONERO ET ETHEREUM
ADRESSE BTC : [bitcoin_address]
ADRESSE MONERO (XMR) : [monero_address]
CONTACTEZ NOUS POUR LES INFORMATIONS CONCERNANT LE PAIEMENT EN ETHEREUM
AVANT LE PAIEMENT ENVOYEZ UN EMAIL m4rk0v@tutanota.de
:AVEC VOTRE IDENTITÉ : [base64_encoded_computer_name]

iNCLUEZ UN FICHIER ENCRYPTÉ POUR QU'ON VOUS FOURNISSE UNE PREUVE QUE LE DÉCRYPTAGE EST POSSIBLE


N'ÉTEIGNEZ PAS VOTRE ORDINATEUR, AUTREMENT IL POURRAIT BRISER

Capture d'écran des fichiers encryptés par  PLANETARY (extension ".PLANETARY"):

Fichiers encryptés par PLANETARY

Suppression du rançongiciel PLANETARY :

Suppression instantanée automatique de PLANETARY virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer PLANETARY virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer  Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus PLANETARY. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel PLANETARY ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé  pour éliminer tous les fichiers restants du rançongiciel PLANETARY.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de PLANETARY sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande),  redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par PLANETARY, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel PLANETARY.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10  inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel PLANETARY :

Source: https://www.pcrisk.com/removal-guides/12121-planetary-ransomware