Rançongiciel GANDCRAB 3

Aussi connu comme: GANDCRAB 3 virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel GANDCRAB 3

Qu'est-ce que GANDCRAB 3?

Récemment découvert par le chercheur en sécurité des logiciels malveillants, Marcelo Rivero, GANDCRAB 3 est une nouvelle variante du rançongiciel à haut risque appelée GANDCRAB V2.0. Après une infiltration réussie du système, GANDCRAB 3 encrypte la plupart des fichiers stockés et ajoute l'extension ".CRAB" aux noms des fichiers. Par exemple, " sample.jpg" est renommé  " sample.jpg.CRAB ". Les données compromises deviennent inutilisables. Une fois le cryptage terminé, GANDCRAB 3 crée un fichier texte ("CRAB-DECRYPT.txt ") et place une copie dans chaque dossier existant. Ces fonctions sont héritées d'une version antérieure de GANDCRAB 3. Cependant, contrairement aux versions précédentes, GANDCRAB 3 modifie également le fond d'écran du bureau.

Le nouveau fond d'écran contient un court message indiquant que les données sont encryptées et encourage les utilisateurs à lire le fichier texte, qui fournit des informations détaillées. Le fichier texte contient essentiellement un message indiquant que le décryptage des données nécessite une clé unique générée individuellement pour chaque victime. Malheureusement, cette information est exacte. Bien que l'on ignore actuellement si GANDCRAB 3 utilise une cryptographie symétrique ou asymétrique (cette information n'est pas fournie), une clé unique est nécessaire pour restaurer les données. Les développeurs stockent toutes les clés sur un serveur à distance et font chanter les victimes pour leur libération - une rançon doit être payée. Pour soumettre un paiement, les utilisateurs doivent suivre les instructions données sur le site web de GANDCRAB 3. Le coût est de 1000 $ et doit être payé en crypto devise Dash ou Bitcoin. Le site web contient également un compte à rebours. Une fois qu'il atteint zéro, le coût doublera. Le site web contient également une fonction permettant aux utilisateurs de décrypter un seul fichier sélectionné gratuitement. Ceci est censé ‘’garantir’’ que la restauration des données est possible. Malgré leurs menaces et leurs promesses, on ne doit jamais faire confiance aux cybercriminels. Notez que la demande de rançon dans ce cas est extrêmement élevée (peu de gens paieront des milliers de dollars, même pour leurs fichiers personnels tels que de la musique, des photos, etc.) De plus, payer ne donne typiquement aucun résultat positif. La recherche montre que les développeurs de rançongiciel ignorent souvent les victimes, une fois que les paiements sont soumis, les victimes sont simplement arnaquées. En plus de perdre leur argent, les utilisateurs peu méfiants soutiendront les activités malicieuses des cybercriminels. Pour ces raisons, n'essayez jamais de contacter ces personnes et ne soumettez certainement aucun paiement. Malheureusement, il n'existe aucun outil capable de décrypter les données compromises par GANDCRAB 3 et il n'y a qu'une seule solution: tout restaurer à partir d'une sauvegarde.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises:

Instructions de décryptage de GANDCRAB 3

GANDCRAB 3 partage de nombreuses similarités avec des douzaines d'autres virus de types rançongiciels tels que 8chan, OBLIVION, Kraken 2.0, et nRansom. Ces virus sont développés par différents cybercriminels, mais ont un comportement identique - tous encryptent des données et font des demandes de rançon. Les virus de types rançongiciels ont typiquement deux différences majeures: 1) le montant de la rançon, et; 2) type d'algorithme de cryptage utilisé. La plupart utilisent des algorithmes conçus pour générer des clés de décryptage uniques (par exemple, RSA, AES, etc.). Donc, le décryptage des données sans l’implication des développeurs (il n'est pas recommandé de contacter ces personnes) est impossible, sauf si le logiciel malveillant n'est pas complètement développé / a des défauts (par exemple, la clé est codée en dur, stockée localement ou similaire). Les rançongiciels sont l'une des principales raisons pour lesquelles vous devriez maintenir des sauvegardes de données régulières, cependant, il est très important de les stocker sur un serveur à distance ou un périphérique de stockage débranché, autrement les sauvegardes sont encryptées avec les données régulières.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Les virus rançongiciels sont proliférés de diverses façons, cependant, les cinq plus populaires sont: 1) les pourriels [pièces jointes infectieuses]; 2) les réseaux pairs-à-pairs [P2P]; 3) les sources de téléchargement de logiciels de tierces parties; 4) les fausses mises à jour de logiciels, et; 5) les chevaux de Troie. La plupart des pièces jointes malicieuses se présentent sous la forme de fichiers JavaScript ou de documents MS Office. Une fois ouverts, ces fichiers exécutent des scripts conçus pour télécharger et installer des logiciels malveillants, tandis que les réseaux P2P (torrents, eMule et similaires) et d'autres sources de téléchargement non officielles (sites de téléchargement de logiciels gratuits, sites d'hébergement de fichiers gratuits, etc.) Donc, plusieurs utilisateurs sont trompés dans le téléchargement et l'installation de virus. Les fausses mises à jour infectent le système en exploitant les bogues / les défauts des logiciels obsolètes ou simplement en téléchargeant et en installant des virus plutôt que des mises à jour. Les chevaux de Troie sont probablement les plus simples de tous - la plupart ne font rien d'autre que ouvrir des «portes arrière»  pour que d'autres virus à haut risque infiltrent  le système. Essentiellement, les principales raisons des infections informatiques sont de piètres connaissances et un comportement imprudent.

Comment se protéger contre les infections de rançongiciels?

La clé de la sécurité informatique c’est la prudence. Donc, portez une attention particulière lorsque vous naviguez sur Internet. Avant d'ouvrir les pièces jointes, assurez-vous que les fichiers sont pertinents et qu'ils ont été reçus d'adresses électroniques reconnaissables / fiables. Si ce n'est pas le cas, supprimez les e-mails immédiatement et n'ouvrez certainement pas les pièces jointes. De plus, n'utilisez jamais d'outils de téléchargement /d’installation de tierces parties, car ils incluent souvent des applications escrocs. Téléchargez votre logiciel à partir de sources officielles seulement, en utilisant des liens de téléchargement direct. Gardez les applications installées à jour et utilisez une suite antivirus / anti logiciel espion légitime, cependant, puisque les criminels prolifèrent les logiciels malveillants via de fausses mises à jour, les logiciels devraient être renouvelés en utilisant les fonctions implantées ou les outils fournis par le développeur officiel seulement.

Texte présenté dans le fichier texte du rançongiciel GANCRAB 3:

—= GANDCRAB V3 =—
Attention!
Tous vos fichiers documents, photos, bases de données et autres fichiers importants sont encryptés et ont l'extension: .CRAB
La seule méthode de récupération de fichiers consiste à acheter une clé privée. Elle est sur notre serveur et seulement nous pouvons récupérer vos fichiers.
Le serveur avec votre clé est dans un réseau TOR fermé. Vous pouvez vous y rendre par les moyens suivants:
0. Télécharger le navigateur Tor - https://www.torproject.org/
1. Installez le navigateur Tor
2. Ouvrez le navigateur Tor
3. Ouvrir le lien dans le navigateur TOR: http://gandcrab2pie73et.onion/
4. Suivez les instructions sur cette page
Si le navigateur Tor / Tor est bloqulé dans votre pays ou que vous ne pouvez pas l'installer, ouvrez l'un des liens suivants dans votre navigateur habituel:

ATTENTION! Utilisez un navigateur régulier uniquement pour nous contacter. Acheter décrypteur uniquement via le lien du navigateur TOR ou Jabber Bot!
Sur notre page vous verrez les instructions de paiement et vous aurez l'opportunité de décrypter 1 fichier gratuitement.
La manière alternative de nous contacter est d’ utiliser la messagerie Habber. Lisez en plus sur comment:
0. Télécharger Psi-Plus Jabber Client: https://psi-im.org/download/
1. Enregistrer un nouveau compte: https://sj.ms/register.php
0) Entrez le "nom d'utilisateur":
1) Entrez le "mot de passe": votre mot de passe
2. Ajouter un nouveau compte dans Psi
3. Ajoutez et écrivez Jabber ID: ransomware@sj.ms n'importe quel message
4. Suivez les nstructions bot
C'est un bot! C'est un système artificiel entièrement automatisé sans contrôle humain!
Pour nous contacter, utilisez les liens TOR. Nous pouvons vous fournir toutes les preuves requises que le décryptage est possible à tout moment. Nous sommes ouverts aux conversations.
Vous pouvez lire les instructions d'installation et d'utilisation de jabber ici http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
DANGEREUX!
N'essayez pas de modifier des fichiers ou d'utiliser votre propre clé privée - cela entraînera la perte permanente de vos données!

Capture d'écran du fond d'écran de GANDCRAB 3:

Fond d'écran de GANDCRAB 3

Capture d'écran du site web de GANDCRAB 3 :

Site web de GANDCRAB 3

Texte présenté sur ce site web :

Quel est le problème?

Votre ordinateur a été infecté parle rançongiciel GandCrab. Vos fichiers ont été encryptés et vous ne pouvez pas les décrypter vous-même.
Dans le réseau, vous pouvez probablement trouver des décrypteurs et des logiciels de tierces parties, mais cela ne vous aidera pas et cela peut seulement rendre vos fichiers indécryptaables


Que puis-je faire pour récupérer mes fichiers?

Vous devriez acheter GandCrab Decryptor. Ce logiciel vous aidera à décrypter tous vos fichiers encryptés et à supprimer le rançongiciel GandCrab de votre PC.
Prix actuel: 2 000,00 $. Comme moyen de paiement, vous avez besoin des crypto-monnaies DASH ou Bitcoin


Quelles garanties pouvez-vous me donner?

 

Vous pouvez utiliser le test de décryptage et décrypter le fichier gratuitement

 

Qu’est-ce que la crypto devise et comment puis-je acheter GandCrab Decryptor?



Vous pouvez en lire plus sur la crypto devise sur Google ou ici.
Comme moyen de paiement, vous devez acheter des DASH ou des Bitcoin en utilisant une carte de crédit, et envoyer des pièces à notre adresse.

 

Comment puis-je vous payer?

Vous devez acheter des Bitcoin ou des DASH en utilisant une carte de crédit. Liens vers des services où vous pouvez le faire: liste des échanges Dash, liste des échanges Bitcoin


Après cela, allez sur notre page de paiement Achetez GandCrab Decryptor, choisissez votre mode de paiement et suivez les instructions

Capture d'écran des fichiers encryptés par GANDCRAB 3 ("extension .CRAB"):

Fichiers encryptés par GANDCRAB 3

Suppression du rançongiciel GANDCRAB 3 :

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus GANDCRAB 3. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.


Télécharger suppresseur pour GANDCRAB 3 virus
1) Télécharger et installer   2) Exécuter le scan du système   3) Profitez du fait que votre ordinateur est propre!

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Reimage.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel GANDCRAB 3 ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un  logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel GANDCRAB 3.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de GANDCRAB 3 sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par GANDCRAB 3, yvous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel GANDCRAB 3.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'information sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel GANDCRAB 3 :

Source: https://www.pcrisk.com/removal-guides/12712-gandcrab-3-ransomware