Rançongiciel .shadow

Aussi connu comme: Virus .shadow
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel .shadow

Qu'est-ce que .shadow?

.shadow est une infection informatique qui est catégorisée comme un rançongiciel. C'est une nouvelle variante du rançongiciel STOP. Comme beaucoup d'autres infections de type rançongiciel .shadow est conçu pour encrypter les données stockées sur l'ordinateur de la victime et pour exiger le paiement d'une rançon. Tous les fichiers verrouillés sont renommés en ajoutant l’extension ".shadow" par exemple: le fichier nommé "1.jpg", une fois encrypté est renommé "1.jpg.shadow" et ainsi de suite.Une note demandant une rançon est présentée dans un fichier texte nommé "!readme.txt".

Selon le message exigeant une rançon dans "! Readme.txt", tous les fichiers de la victime .shadow sont encryptés. Afin de les déverrouiller, il est nécessaire de contacter les cybercriminels via l'adresse courriel helphadow@india.com ou . Une fois contactés, les développeurs de rançongiciel indiqueront le prix de l’outil de décryptage qui sera fourni à leurs victimes lors du paiement d’une rançon. Ils offrent également un décryptage gratuit d’un fichier (qui ne contient pas d’informations précieuses) comme preuve qu’ils peuvent être dignes de confiance et qu’ils sont capables de le décrypter. De plus, les développeurs de  .shadow offrent un rabais de 50% aux victimes qui les contacteront dans moins de 72 heures. Cependant, ils exhortent également les utilisateurs à ne pas utiliser d’autres outils que le leur pour décrypter les données, ce qui entraînerait une perte permanente des données. Malheureusement, il est très probable que les développeurs .shadow soient vraiment les seuls à pouvoir fournir à leurs victimes l’outil de décryptage. En règle générale, les cybercriminels utilisent des algorithmes qui génèrent des clés de décryptage uniques stockées sur des serveurs à distance  (contrôlés uniquement par eux). Cela rend impossible le décryptage des données sans l'implication de cyber-criminels (notamment les développeurs de rançongiciel). Cependant, ils ignorent habituellement leurs victimes même si leurs demandes de paiement de la rançon sont satisfaites. C'est pourquoi nous vous déconseillons de les contacter et surtout de payer des rançons. Dans ce cas, la meilleure (et la seule) solution consiste à utiliser une sauvegarde de données existante et à tout restaurer à partir de là.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises:

Instructions de décryptage de .shadow

.shadow n'est pas très différent d'autres virus de ce types, d'autres exemples sont Bkpx, Dablio et GandCrab 5.0.9. La plupart des infections de type rançongiciel sont conçues pour encrypter les données et les conserver ainsi jusqu'à ce qu'une rançon soit payée / un outil de décryptage ou une clé soit acheté. Les différences les plus courantes sont le prix d'un décryptage  et l'algorithme de cryptographie utilisé pour verrouiller / encrypter les fichiers. Néanmoins, la plupart du temps, ces infections sont impossibles à résoudre, à moins qu’elles ne soient pas terminées (complètement développées) et qu’elles présentent des bugs, des défauts. Il est toujours judicieux de maintenir des sauvegardes régulières et de les stocker dans des périphériques de stockage débranchés ou des serveurs distants. C'est une bonne prévention contre les cybercriminels de les encrypter avec d'autres données régulières.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Il est difficile de dire quelle est la méthode exacte utilisée par les cybercriminels pour faire proliférer ce rançongiciel. Cependant, la plupart d’entre eux utilisent plus ou moins les mêmes tactiques. Ils utilisent généralement des campagnes de pourriels, des chevaux de Troie, de faux outils de mise à jour de logiciels ou des sources de téléchargement de logiciels non fiables. Les campagnes de pourriels sont des courriels contenant des pièces jointes malicieuses. Ces pièces jointes, une fois ouvertes (exécutées), infectent les ordinateurs avec un virus en particulier. Les chevaux de Troie sont des programmes malicieux utilisés pour infecter les ordinateurs en causant des infections en chaîne. Simplement dit, la présence d'un cheval de Troie installé causera probablement d'autres infections. De faux outils de mise à jour de logiciels exploitent soit des bogues logiciels obsolètes, des failles, etc., soit téléchargent et installent non pas les mises à jour promises, mais des virus à haut risque. Les sources de téléchargement de logiciel non fiables sont divers réseaux pairs-à-pairs, des téléchargeurs de tierces parties, des sites de téléchargement de logiciels gratuits et d'hébergement de fichiers. Les cybercriminels utilisent ces sources pour présenter leurs virus sous forme de fichiers exécutables légitimes (ou autres). En les téléchargeant et en les installant, les utilisateurs sont amenés à causer eux-mêmes des infections informatiques.

Résumé de la menace :
NomVirus .shadow
Type de menaceRansomware, Crypto Virus, bloqueur de fichiers
SymptômesImpossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de DistributionPièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
DommageTous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer Virus .shadow, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Comment vous protéger des infections par rançongiciel?

Téléchargez des logicielsen  n’utilisant que des sites web officiels et dignes de confiance, et non des réseaux pairs-à-pairs, des téléchargeurs de tiercesparties  ou toute autre source non fiable. Notez que différentes configurations escrocs (téléchargées à l'aide de sources non fiables) peuvent être utilisées pour proliférer des applications indésirables ou propager des infections. Évitez de télécharger et d'ouvrir des pièces jointes (et des liens web) dans les courriels provenant d'adresses inconnues ou suspectes, ou si ces courriels sont sans importance. Mettez à jour votre logiciel à l'aide des fonctions ou des outils mis en œuvre fournis uniquement par les développeurs de logiciels officiels. Installez un logiciel antivirus ou anti-espion fiable sur votre ordinateur et maintenez-le activé. De tels outils empêchent les systèmes d’être infectés par divers virus. Si votre ordinateur est déjà infecté par .shadow, nous vous recommandons d’effectuer une analyse avec Spyhunter pour éliminer automatiquement le rançongiciel .shadow.

Texte présenté dans le fichier texte du rançongiciel .shadow :

------------------TOUS VOS FICHIERS SONT ENCRYPTES ----------------

Ne vous inquiétez pas, vous pouvez recupérer  tous vos fichiers!
ous vos fichiers de documents, photos, bases de données et autres éléments importants sont cryptés avec le cryptage le plus puissant et une clé unique.
La seule méthode de récupération de fichiers consiste à acheter un outil de décryptage et une clé unique à  vous.
Ce logiciel va décrypter tous vos fichiers encryptés.
Quelles garanties vous donnons-nous?
Vous pouvez envoyer un de vos fichiers encryptés à partir de votre PC et nous le décryptons gratuitement.
Mais nous ne pouvons décrypter qu'un seul fichier gratuitement. Le fichier ne doit pas contenir d'informations précieuses
N'essayez pas d'utiliser des outils de décryptage de tierces, car ils détruiraient vos fichiers.
Réduction de  50% disponible si vous nous contactez au plus tôt c'est-à-dire dans les 72 heures.

--------------------------------------------------------------


Pour obtenir ce logiciel, vous devez écrire via notre email:
helpshadow@india.com

Adresse email de contact réservée :
helpshadow@firemail.cc

Votre ID personnelle :
012jxBsekmbsbWq95KRBM2C58yQsZj6GVAPi2VPoUGy

Capture d'écran des fichiers encryptés par .shadow (extension ".shadow"):

Fichiers encryptés par .shadow

Suppression du rançongiciel .shadow :

Suppression instantanée automatique de Virus .shadow: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus .shadow. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus .shadow. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

 Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel .shadow ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel .shadow .

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Facebook sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par .shadow, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel .shadow .

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'informations sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel .shadow :

Source: https://www.pcrisk.com/removal-guides/14152-shadow-ransomware