Rançongiciel WhiteRose

Aussi connu comme: WhiteRose virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel WhiteRose

Qu'est-ce que WhiteRose?

Premièrement découvert par Michael Gillespie, WhiteRose est un virus de type rançongiciel qui infiltre secrètement le système et encrypte la plupart des données stockées. La recherche montre que WhiteRose provient de la même famille de rançongiciels que les virus BlackRuby2 et Zenis. Durant le cryptage, WhiteRose renomme les fichiers en utilisant le modèle  "[12_random_letters_and_digits]_ENCRYPTED_BY.WHITEROSE". Par exemple, "sample.jpg" pourrait être renommé quelque chose comme  "1D3AbF5EACFE_ENCRYPTED_BY.WHITEROSE".  Les fichiers encryptés deviennent inutilisables et non reconnaissables. Immédiatement après le cryptage, WhiteRose créé un fichier texte  ("HOW-TO-RECOVERY-FILES.TXT") et place une copie dans chaque dossier existant.

Le nouveau fichier texte informe les victimes du cryptage et leurs fournit des instructions sur quoi faire ensuite. Pour restaurer les données, les utilisateurs doivent contacter les développeurs de WhiteRose via Tox. Ils doivent envoyer aux développeurs une ID privée en combinaison avec deux fichiers sélectionnés. Ils seront ensuite décryptés et retourner comme ‘’garantie’’ que le décryptage est possible. Les victimes recevront ensuite des instructions de paiement. On ne sait actuellement pas si WhiteRose utilise une cryptographie symétrique et asymétrique – cette information n’est pas fournie. Dans tous les cas, le décryptage requiert une clef unique générée individuellement pour chaque victime. Les cybers criminels stockent ces clefs sur un serveur à distance et les utilisateurs doivent acheter un outil de décryptage avec la clef incluse. Le coût n’est pas spécifié, cependant, les rançongiciels fluctuent typiquement entre 500$ et 1500$ dans un type de crypto devise (surtout les Bitcoins). On ne doit jamais faire confiance aux cybers criminels. La recherche montre que ces personnes ignorent habituellement les victimes, une fois que les paiements sont soumis. Donc, peu importe si le coût est élevé ou non, ne payer jamais ces criminels. Dans la plupart des cas, payer ne donne aucun résultat positif et les utilisateurs sont arnaqués. Donc, nous vous recommandons fortement de ne jamais contacter ces personnes ou de payer une rançon. Vous supporterez simplement leurs entreprises malicieuses. Malheureusement, il n’y a aucun outil capable de restaurer les fichiers encryptés par WhiteRose. Donc, vous pouvez seulement tout restaurer à partir d’une sauvegarde.

Capture d’écran d’un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage WhiteRose

Il y a des douzaines de virus de types rançongiciels similaires à WhiteRose. La liste des exemples inclut (mais n'est pas limité à) L0cked, Rapid 2.0, Stinger, et Unlock92. Noter que, bien que ces virus soient développés par différents cybers criminels, leurs comportements sont identiques – tous encryptent les données et font des demandes de rançon. Dans la plupart des cas, les virus de types rançongiciels possèdent seulement deux différences majeures : 1) le montant de la rançon, et : 2) le type d’algorithme de cryptage utilisé. La recherche montre que, malheureusement, la plupart utilisent des algorithmes (ex. RSA, AES, et ainsi de suite) qui génèrent des clefs de décryptage uniques. Donc, à moins que le logiciel malveillant ne soit pas entièrement développé ou qu’il possède certains bugs/défauts (par exemple, la clef est stockée localement, est hard-coded, ou quelque chose de similaire, le décryptage manuel des fichiers, dans l’implication des développeurs (contacter ces personnes n’est pas recommandé) est impossible. Les logiciels malveillants tels que WhiteRose représentent de bonnes raisons de maintenir des sauvegardes régulières des données, cependant, les fichiers de sauvegarde doivent être stockés sur un dispositif de stockage externe non branché ou dans un serveur à distance (tel que le Nuage). Si non, le logiciel malveillant les encrypte aussi.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Pour proliférer les rançongiciels, les développeurs emploient habituellement des pourriels, des sources de téléchargement de logiciels non officielles, des fausses mises à jour de logiciels, et des trojans. Les pourriels contiennent souvent des pièces-jointes malicieuses (Ex. fichiers JavaScript, documents MS Office, et ainsi de suite) qui, une fois ouvertes, téléchargent et installent secrètement des logiciels malveillants, tandis que les sources de téléchargement de tierces parties (réseaux pairs-à-pairs, des sites web de téléchargement de logiciels gratuits, des sites web d’hébergement de fichiers gratuits, etc.) présentent les exécutables malicieux comme des logiciels légitimes. Donc, les utilisateurs sont trompés et ils téléchargent et installent des logiciels malveillants. Les fausses mises à jour de logiciels infectent le système en exploitant les bugs/défauts des logiciels désuets ou elles téléchargent et installent simplement des logiciels malveillants plutôt que des mises à jour. Les trojans sont les plus simples de tous. Dans la plupart des cas, ils ouvrent des portes arrière pour que d’autres virus à hauts risques infiltrent le système. Essentiellement, les raisons principales des infections informatiques sont de piètres connaissances et un comportement imprudent.

Résumé de la menace :
NomWhiteRose virus
Type de menaceRansomware, Crypto Virus, bloqueur de fichiers
SymptômesImpossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de DistributionPièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
DommageTous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer WhiteRose virus, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Comment vous protégez contre les infections de rançongiciels?

La clef de la sécurité informatique c’est la prudence. Donc, portez une attention particulière quand vous naviguez sur internet. N’ouvrez jamais de pièce-jointe qui ne semble pas pertinente ou qui a été envoyée à partir d’une adresse suspecte. Nous recommandons fortement que vous supprimiez ces emails sans les lire. Vos applications devraient être téléchargées à partir de sources officielles seulement, en utilisant des liens de téléchargement directs. Les téléchargements/installateurs de tierces parties ne devraient jamais être utilisés, car les criminels les monétisent en publicisant des programmes escrocs. De plus, gardez les applications installées à jour et utilisez une suite antivirus/anti logiciel espion. Gardez à l’esprit, cependant, que les rançongiciels sont distribués en utilisant de fausses mises à jour. Pour cette raison, les applications devraient être mises à jour en utilisant les fonctionnalités implantées ou les outils fournis par les développeurs officiels seulement.

Texte présenté dans le fichier texte du rançongiciel WhiteRose ("HOW-TO-RECOVERY-FILES.TXT"):

WhiteRose

Le chant des moineaux, les brises des montagnes du Nord et la senteur de la terre ou il pleuvait remplissait l'espace vert en entier au matin. Je suis assis sur une chaise en bois à côté d'un buisson. J'ai un livre lisible dans mes mains et je sue avec une tasse de café amer. Aujourd'hui est un jour différent.

Derrière moi il y a une maison vide de rêves et en avant de moi, il y a plein de belles roses blanches. À ma gauche il y a une piscine bleue vide remplie de poissons rouges et à ma droite, les arbres sont remplis de bourgeons blancs.

Je bois du café, je continue de lire un livre par William Faulkner. Dans l'environnement d'un jardin, paix et calme. Ma vie se déroule toujours de cette façon. Toujours seul sans même un ami intime.

Je n'ai ni un animal, ni un ami ou un ennemi; Je suis une personne normale avec des désirs fantastiques parmi des tonnes de roses blanches. Tout est naturel. Je suis seulement un peu intéressé par le pirate et la programmation. Mes seuls dispositifs électroniques dans ce grand jardin sont un vieil ordinateur portable pour faire des projets et un iPhone pour vérifier les nouvelles sur les analytiques de logiciels malveillants sur Twitter sans j'aime.

Crois-moi, mes seuls atouts sont les roses blanches dans ce jardin. Je pense le jour et écris le soir, l'histoire, le poème, le code, l'exploitation ou l'accumulation de plusieurs roses blanches vendues et je me dis à moi-même que la richesse et d'avoir des amis de différentes races, langues, habitudes, et religions. Non seulement être dans un jardin un peu stylisé avec plusieurs roses blanches originales.

Aujourd'hui je pense profondément à propos de la décision qui était dans mes pensées depuis plusieurs semaines. Une décision de liberté et valant l'unité, l'intimité, la joie et l'amour et c'est la décision de libérer des roses blanches et de donner des cadeaux à tous les gens dans le monde.

 

Je ne pense pas vendre encore des roses blanches. Cette fois, je planterai toutes les roses blanches du jardin pour obtenir un cadeau différent pour les gens de chaque pays. Peu importe où dans le monde se situe mon jardin et d'où je suis, peu importe si vous êtes au foyer, ou un propriétaire d'une grosse compagnie, cela n'importe pas si vous êtes de l'ouest ou de l'est, l'important c'est les roses blanches sont infinies. Vous n'avez pas besoin d'envoyer des lettres ou des emails pour obtenir les roses blanches. Attendez seulement demain. Attendez les bonnes années avec White Rose.

 

J'espère que vous accepterez ce cadeau et s'il vous trouve, fermez vos yeux et placez-vous dans un grand jardin sur une chaise en bois et ressentez cette belle scène pour réduire votre anxiété et la tension de tous les jours. Merci de me faire confiance. Maintenant ouvrez vos yeux. Votre système a une fleur comme un petit jardin; Une rose blanche.



///////////////

[Instructions de Récupération]

I. Télécharger qTox sur votre ordinateur à partir de [https://tox.chat/download.html]
II. Créer un nouveau profil ensuite entrez notre ID dans les contacts de recherche
Notre ID Tox: "-"
III. Attendez que nous acceptons votre requête.
IV. Copier '[PersonalKey]' dans le fichier "HOW-TO-RECOVERY-FILES.TXT" et envoyer cette clef avec un fichier encrypté de moins de 2MB pour
tester notre confiance dans notre clavardage Tox.
IV.I. Seulement si vous n'avez pas reçu de réponse de nous en 24 heures,
envoyez votre message èa notre adresse email sécuritaire "TheWhiteRose@Torbox3uiot6wchz.onion".
IV.II. Pour performer  "l'étape IV.I" et entrer le réseau TOR, vous devez télécharger le navigateur tor
et inscrivez-vous a "http://torbox3uiot6wchz.onion" Mail Service)
V. Nous décrypterons deux fichiers et nous les enverrons.
VI. Après s'être assurez de l'intégrité des fichiers. Nous vous enverrons les informations de paiement.
VII. Maintenant après le paiement, vous obtiendrez le  "Décrypteur WhiteRose" en plus d'une clef privée sur votre système.
VIII. Tout revient à la normale et vos fichiers seront libérés.

/////////////////////////

Qu'est-ce que le cryptage?

Dans la cryptographie, le cryptage est le processus d'encoder un message ou des informations d'une telle façon que seulement les parties autorisées peuvent y accéder, et ceux qui n'y sont pas autorisé ne peuvent pas. Le cryptage ne prévient pas par lui-même, l'interférence, mais renie le contenu intelligible a un intercepteur en herbe. Dans un schéma de cryptage, les informations ou le message prévu, réfère à un texte nature, est encrypté en utilisant un algorithme de cryptage - un déchiffrement - générant un texte de chiffrement qui peut être lu seulement s’il est décrypté. Pour des raisons techniques, un schéma de cryptage utilise habituellement une clef de cryptage pseudo aléatoire générée par un algorithme.
C'est en principe possible de décrypter le message sans posséder la clef, mais pour un schéma de cryptage bien conçu, des ressources informatiques et des habilités considérables sont requises. Un récipient autorisé peut facilement décrypter le message avec la clef fournie par l'auteur original aux récipients mais pas aux utilisateurs non autorisés. Dans votre cas, le logiciel de décryptage de ''WhiteRose'' pour un décryptage sécuritaire et complet de tous vos fichiers et données.

Une autre façon?

Si vous cherchez ce texte sur internet et réaliser que quelque chose ne fonctionne pas avec vos fichiers mais que vous n'avez pas d'instructions pour restaurer vos fichiers, s'il vous plaît contacter votre soutien antivirus.

Capture d'écran des fichiers encryptés par WhiteRose (modèle de nom de fichier "[12_random_letters_and_digits]_ENCRYPTED_BY.WHITEROSE"):

Fichiers encryptés par WhiteRose

Suppression du rançongiciel WhiteRose :

Suppression instantanée automatique de WhiteRose virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer WhiteRose virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus WhiteRose. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel WhiteRose ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un  logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel WhiteRose.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de WhiteRose sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande),  redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par WhiteRose, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel WhiteRose.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta uses utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel WhiteRose :

Source: https://www.pcrisk.com/removal-guides/12529-whiterose-ransomware