Rançongiciel Rapid 2.0

Aussi connu comme: Rapid 2.0 virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Rapid 2.0

Qu'est-ce que Rapid 2.0?

Premièrement découvert par MalwareHunterTeam, Rapid 2.0 est une version mise à jour d'un rançongiciel à haut risque appelé Rapid. Immédiatement après l'infiltration, Rapid 2.0 encrypte la plupart des fichiers stockés et les renomment en utilisant le modèle "[7_random_digits].[5_random_letters]". Par exemple, "1.jpg" pourrait être renommé quelque chose comme "1390875.HWCLZ". À partir de ce moment, utiliser et reconnaître les fichiers devient impossible. Une fois que les fichiers sont encryptés, Rapid 2.0 créé un fichier texte ("DECRYPT.[5_random_letters].txt") et place une copie dans chaque dossier existant.

Il y a deux différences principales entre Rapid 2.0 et sa version précédente. Premièrement, la version originale ne renommait pas les fichiers - elle était conçue pour ajouter l'extension ".Rapid" aux noms des fichiers. Deuxièmement, Rapid 2.0 détecte l'emplacement du système. Si l'emplacement est la Russie, les fichiers ne sont pas encryptés. Le nouveau fichier texte contient un message informant les victimes du cryptage et leurs disant ce qu’elles doivent faire ensuite. Le message énonce simplement que les fichiers peuvent seulement être décryptés en utilisant un outil de décryptage spécifique qui doit être acheté. Malheureusement, cela est vrai. On ne sait actuellement pas quelle cryptographie Rapid 2.0 utilise, (symétrique ou asymétrique) cependant, le décryptage requière une clef générée uniquement pour chaque victime. Les criminels cachent ces clefs sur un serveur à distance et les victimes sont encouragées à payer une rançon en échange d’un outil de décryptage avec une clef activée. Le coût n’est pas spécifié – les victimes doivent contacter les développeurs de Rapid 2.0 pour recevoir de plus amples instructions, cependant, dans la plupart des cas, le montant de la rançon fluctue entre 500$ et1500$ (l’équivalent en Bitcoins ou dans une autre crypto devise). Les criminels permettent aussi aux victimes de joindre un fichier sélectionné, qui peut ensuite être décrypté et retourné à la victime comme ‘’garantie’’ que le décryptage est possible. Malgré ces demandes et menaces, on ne devrait jamais faire confiance aux cybers criminels, car ils ignorent souvent les victimes, une fois que les paiements sont soumis. Payer ne donne typiquement aucun résultat positif et les victimes sont simplement arnaquées. Donc, ne tenter jamais de contacter ces personnes et ne soumettez certainement aucun paiement. Malheureusement, il n’y a aucun outil capable de décrypter les fichiers compromis par Rapid 2.0. La seule solution est de tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de Rapid 2.0

Il y a des douzaines de virus de types rançongiciels similaires à Rapid 2.0. La liste des exemples inclut (mais n'est pas limité à) BlackRuby2, Zenis, PLANETARY, et GPGQwerty. Bien que ces virus soient développés par différents cybers criminels, ils ont des comportements identiques – ils encryptent des données et font des demandes de rançon. La recherche montre que, dans la plupart des cas, les virus de types rançongiciels ont seulement deux différences majeures : 1) le coût de décryptage, et ; 2) le type d’algorithme de cryptage utilisé. Malheureusement, la plupart utilise des algorithmes qui génèrent des clefs de décryptage uniques (ex. RSA, AES, et ainsi de suite). Donc, à moins que le logiciel malveillant ne soit pas entièrement développé ou possède certains bugs/défauts (ex. la clef est hard-coded, stockée localement, etc.), restaurer les fichiers sans l’implication des développeurs (contacter ces personnes n’est pas recommandé) est impossible. Rapid 2.0 et d’autres virus similaires sont une des raisons principales de maintenir des sauvegardes régulières des données, cependant, les fichiers de sauvegarde doivent être stockés sur un serveur à distance ou sur un stockage externe non branché. Si non, les sauvegardes sont encryptées en combinaison avec les fichiers réguliers.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Pour proliférer les rançongiciels, les développeurs utilisent souvent les pourriels, les réseaux pairs-à-pairs (P2P), les sources de téléchargement de logiciels de tierces parties, les faux outils de mise à jour de logiciels, et les chevaux de Troie. Les pourriels contiennent souvent des pièces-jointes malicieuses (ex. fichiers JavaScript, documents MS Office, etc.) qui, une fois ouvertes, téléchargent et installent secrètement un rançongiciel, tandis que les réseaux P2P (torrents, eMule, etc.) et d’autres sources de téléchargement non officielles (sites web d’hébergement de fichiers gratuits, sites web de téléchargement de fichiers gratuits, et ainsi de suite) prolifèrent les logiciels malveillants en les présentant comme des logiciels légitimes. Les utilisateurs sont ainsi trompés et ils téléchargent et installent des virus. Les fausses mises à jour infectent le système en exploitant les bugs/défauts des logiciels désuets ou téléchargent et installent simplement un logiciel malveillant plutôt que les mises à jour de logiciels. Les chevaux de Troie sont les plus simples – ils ouvrent des ‘’portes arrière’’ pour que d’autres logiciels malveillants à hauts risques infiltrent le système. Essentiellement, les raisons principales des infections informatiques sont de piètres connaissances et un comportement imprudent.

Comment vous protégez contre les infections de rançongiciels?

La clef de la sécurité informatique c’est la prudence. Donc, portez une attention particulière quand vous naviguez sur internet. N’ouvrez jamais de pièce-jointe qui ne semble pas pertinente ou qui a été envoyée à partir d’une adresse email non reconnue/suspecte. En fait, ces emails devraient être supprimés sans être lus. Rappelez-vous aussi de télécharger vos applications à partir de sources officielles seulement, en utilisant des liens de téléchargement directs. Les téléchargements/installateurs de tierces parties sont souvent utilisés pour proliférer des applications escrocs, et donc, ces outils ne devraient jamais être utilisés. Gardez les applications installées à jour et ayez une suite antivirus/anti logiciel espion légitime d’installé et fonctionnelle, cependant, les criminels prolifèrent les logiciels malveillants en utilisant de fausses mises à jour, les applications devraient être mises à jour en utilisant les fonctions implantées ou les outils fournis par le développeur officiel seulement.

Capture d'écran des fichiers encryptés par Rapid 2.0 ("modèle de noms de fichiers [7_random_digits].[5_random_letters]"):

Fichiers encryptés par Rapid 2.0

Suppression du rançongiciel Rapid 2.0 :

Suppression instantanée automatique de Rapid 2.0 virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Rapid 2.0 virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Rapid 2.0. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Rapid 2.0 ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Rapid 2.0.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Rapid 2.0 sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Rapid 2.0, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Rapid 2.0.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Rapid 2.0 :

Source: https://www.pcrisk.com/removal-guides/12522-rapid-20-ransomware