Rançongiciel Facebook

Aussi connu comme: Facebook virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Facebook

Qu'est-ce que Facebook?

Premièrement découvert par un chercheur en sécurité de logiciels malveillants, Leo, Facebook (rançongiciel) est un logiciel malveillant encryptant les fichiers qui se comporte de manière similaire aux virus de types rançongiciels. Immédiatement après l'infiltration, Facebook encrypte la plupart des données stockées et ajoute l'extension ".facebook.facebook" aux noms des fichiers (c'est-à-dire que "sample.jpg" est renommé "sample.jpg.facebook.facebook"). Les données compromises deviennent immédiatement inutilisables. Après un cryptage réussi, Facebook ouvre une fenêtre pop-up.

La principale différence entre Facebook et un rançongiciel régulier est qu'il n'est pas conçu pour générer des revenus. La fenêtre pop-up  ouverte contient un message (en russe et en anglais) indiquant que les fichiers sont encryptés et que les clés de cryptage / décryptage n'ont pas été sauvegardées. Pour cette raison, la restauration des données est impossible. Malheureusement, c'est exact. Les développeurs de rançongiciels génèrent des revenus en encryptant les fichiers des utilisateurs et en vendant (ou en prétendant vendre) des clés de décryptage pour des centaines voire des milliers de dollars. Ils fournissent aux utilisateurs des instructions de décryptage et des informations de contact. Facebook, cependant, ne fournit pas de telles informations. Le message indique simplement que les fichiers sont encryptés et ne peuvent jamais être restaurés. Notez que l'arrière-plan de la fenêtre pop-up contient la photo de Mark Zuckerberg et un message indiquant qu'il est responsable du décryptage - "Mon nom est Mark Zuckerberg et j'ai encrypté vos fichiers sans sauvegarder les clés de cryptage." C'est faux - ni Facebook ni Zuckerberg n'ont quelque chose à voir avec ce logiciel malveillant. Facebook est probablement conçu pour troller les utilisateurs réguliers en "effaçant" simplement leurs ordinateurs (ce qui peut causer des dommages et des perturbations importantes). Malheureusement, il n'existe aucun outil capable de décrypter les données compromises par Facebook. Donc, vous pouvez seulement tout restaurer à partir d’une sauvegarde.

Capture d'écran d'un message et des photos affichés après le cryptage :

Instructions de décryptage de Facebook

Bien que Facebook ne demande pas de rançon, il peut néanmoins être comparé à des douzaines d'autres virus de types rançongiciels, tels que CryptON, RansomAES, GANDCRAB 3, et MMM. Ces virus sont développés par différents cybercriminels, et pourtant leur comportement est identique - tous encryptent des données et font des demandes de rançon. Dans la plupart des cas, les virus de types rançongiciels ont seulement deux différences majeures: 1) le montant de la rançon, et; 2) type d'algorithme de cryptage utilisé. Malheureusement, la plupart emploient des algorithmes (par exemple, RSA, AES, etc.) qui génèrent des clés de décryptage uniques. Donc, sauf si le logiciel malveillant n'est pas entièrement développé ou présente certains bogues / failles (par exemple, la clé est codée en dur, stockée localement ou quelque chose de similaire), il est impossible de restaurer manuellement les fichiers sans l'implication des développeurs (contacter ces personnes n’est pas recommandé). Les rançongiciels présentent des arguments solides pour maintenir des sauvegardes de données régulières, cependant, il est très important de les stocker sur un serveur à distance (par exemple, Cloud) ou un périphérique de stockage débranché (par exemple, lecteur Flash, disque dur externe ou quelque chose de similaire), autrement le rançongiciel encrypte également les sauvegardes.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Pour proliférer les rançongiciels, les développeurs utilisent souvent des pourriels (pièces jointes malicieuses), des sources de téléchargement de logiciels de tierces parties (sites de téléchargement de logiciels gratuits, sites d'hébergement de fichiers gratuits, réseaux pairs-à-pairs, etc.). Les pièces jointes malicieuses viennent typiquement sous le format de fichiers JavaScript ou de documents MS Office. Une fois ouverts, ces fichiers exécutent des scripts conçus pour télécharger et installer secrètement des logiciels malveillants. Les réseaux de téléchargement non officiels présentent les logiciels malveillants comme des logiciels légitimes. Donc, les utilisateurs sont trompés et téléchargent et installent des virus. De faux programmes de mise à jour infectent le système en exploitant les bogues / défauts des logiciels obsolètes ou en téléchargeant et installant des virus plutôt que des mises à jour. Les chevaux de Troie sont probablement les plus simples - ils ouvrent des «portes arrière» pour que d'autres virus infiltrent dans le système.

Comment se protéger soi-même  des infections de rançongiciels?

Les principales raisons des infections informatiques sont de piètres connaissances et un comportement imprudent. La clé de la sécurité c’est la prudence. Donc, portez une attention particulière lorsque vous naviguez sur Internet. N'ouvrez jamais les pièces jointes qui semblent non pertinentes ou qui ont été reçues d'adresses email suspectes /non reconnues. Ces e-mails devraient être supprimés immédiatement, sans être lus. De plus, téléchargez vos applications à partir de sources officielles seulement (en utilisant des liens de téléchargement direct) et évitez d'utiliser des outils de téléchargement / installation  de tierces parties, car ils incluent souvent des programmes escrocs. La même règle s'applique à la mise à jour du logiciel. Les applications installées doivent être mises à jour, cependant, car les logiciels malveillants sont distribués en utilisant  de faux outils de mise à jour, renouveler les logiciels en utilisant seulement  les fonctions implantées ou les outils fournis par le développeur officiel. Avoir une suite anti-virus / anti-spyware réputée installée et exécutable est également primordiale.

Texte présenté dans le pop-up de Facebook:

Что случилось с моим компьютером?
Ваши важные файлы зашифрованы. Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, поскольку они были зашифрованы. Не тратьте свое время на поиск способа восстановления файлов. Никто не может восстановить ваши файлы.
Могу ли я восстановить мои файлы?
Нет. Меня зовут Марк Цукерберг, и я зашифровал ваши файлы, не сохраняя никаких ключей шифрования. Я ценю, что вы выполняете мою программу, потому что вы позволили мне разрушить больше жизней.
''Qu'est-il arrivé à mon ordinateur?
Vos fichiers importants sont encryptés. Beaucoup de vos documents, photos, vidéos, bases de données et autres fichiers ne sont plus accessibles car ils ont été encryptés. Ne perdez pas votre temps à chercher un moyen de récupérer vos fichiers. Personne ne peut récupérer vos fichiers.
Puis-je récupérer mes fichiers?
Je m'appelle Mark Zuckerberg et j'ai encrypté vos fichiers sans sauvegarder les clés de cryptage. J’apprécie que vous ayez exécuté mon programme parce que vous m'avez permis de ruiner plus de vies. "Un écureuil qui meurt devant votre maison peut être plus pertinent à vos intérêts en ce moment que les gens qui meurent en Afrique."

Capture d'écran des fichiers encryptés par Facebook (extension ".facebook.facebook"):

Fichiers encryptés par Facebook

Suppression du rançongiciel Facebook :

Suppression instantanée automatique de Facebook virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Reimage est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Facebook virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Reimage Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Reimage. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Facebook Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Facebook ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un  logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Facebook.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Facebook sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Facebook, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Facebook.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'informations sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Facebook :

Source: https://www.pcrisk.com/removal-guides/12764-facebook-ransomware