Rançongiciel Santa

Aussi connu comme: Virus Santa
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Santa

Qu'est-ce que Santa?

Santa est un virus à haut risque catégorisé comme rançongiciel. Il appartient à la famille des rançongiciels Dharma. L'objectif de Santa est d"encrypter les fichiers stockés sur l'ordinateur de sa victime. En règle générale, les développeurs de rançongiciel  exigent de payer une rançon en échange d'un outil ou d'une clé de décryptage. Santa génère une fenêtre pop-up demandant une rançon et un fichier texte "FILES ENCRYPTED.txt". Il renomme aussi chaque fichier encrypté en ajoutant l'extension ".santa" extension qui contient également une adresse électronique et un identifiant. Par exemple, les fichiers encryptés sont renommés à "1.jpg.id-1E857D00.[newsantaclaus@aol.com].santa" et ainsi de suite.

"FILES ENCRYPTED.txt" contient une courte note indiquant que toutes les données ont été encryptes et,que  pour les récupérer (décrypter), les victimes de Santa doivent contacter leurs développeurs via l'adresse électronique newsantaclaus@aol.com. Selon la fenêtre pop-up affichée, tous les fichiers ont été encryptés en raison de problèmes de vie privée liés à l'ordinateur. Les cybercriminels fournissent un numéro d'identification à utiliser pour les contacter via l'adresse électronique susmentionnée. Ils ne donnent pas d'informations sur le montant de la rançon, mais selon eux, cela dépend de la rapidité avec laquelle les victimes les contactent. D'une manière ou d'une autre, la rançon doit être payée en Bitcoins. La plupart des cybercriminels les obligent à payer en crypto-devises. Les développeurs du Père Noël promettent de fournir un outil de décryptage dès que leurs demandes de rançon seront satisfaites. Ils offrent également un décryptage gratuit d’un fichier afin de prouver qu’ils peuvent être dignes de confiance et sont capables de le décrypter. En outre, ils exhortent leurs victimes à ne pas utiliser d’autres outils de décryptage (ni l’aide d’autres tierce parties). Selon eux, cela pourrait mener à  une perte permanente de données ou à une augmentation du prix du déchiffrement. Notez quel'on peut pas faire confiance à la plupart  des cybercriminels, ils ignorent souvent leurs victimes même si leurs demandes de rançon sont satisfaites. En d'autres termes, ils ne leur fournissent pas l'outil ou la clé de décryptage promis. Malheureusement, les développeurs de rançongiciels utilisent habituellement des algorithmes de cryptographie (symétrique ou asymétrique) qui génèrent des clés de décryptage uniques et les stockent sur des serveurs à distance (contrôlés uniquement par eux). En termes simples, ils sont souvent les seuls à pouvoir fournir à leurs victimes les clés ou les outils de décryptage. En outre, il n’existe actuellement aucun outil capable de décrypter gratuitement l'encryptage de Père Noël. La seule solution gratuite  dans de telles situations consiste à utiliser une sauvegarde créée et à restaurer des fichiers à partir de celle-ci.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises:

Instructions de décryptage de Santa

La plus part des virus de types rançongiciels tels que .shadow, Bkpx, Dablio et plusieurs autres) sont assez similaires. En règle générale, ils sont conçus pour crypter les fichiers et les conserver ainsi (jusqu'à ce que la rançon soit payée). La plupart des différences communes ne sont que le prix d’une clé / d’un outil de décryptage et d’un algorithme de cryptographie utilisé pour l'encyptage. Malheureusement, la plupart de ces cryptages ne peuvent pas être décryptés (sont impossibles à craquer). Cependant, cela pourrait être possible si le rançongiciel est toujours en développement et / ou présente des bogues ou des défauts. Le meilleur moyen de protéger vos fichiers est de maintenir des sauvegardes régulières et de les stocker sur des périphériques de stockage débranchés ou des serveurs à distance.

Comment le rançongiciel a-t-il infecté mon ordinateur?

Pour proliférer les virus de type rançongiciel, les cybercriminels utilisent habituelement des chevaux de Troie, des campagnes de pourriels, de faux programmes de mise à jour de logiciels, des réseaux P2P (poste à poste) et diverses sources tierces de téléchargement / téléchargement de logiciels. Les chevaux de Troie sont des programmes malicieux qui causent des infections en chaîne, ils prolifèrent d’autres virus. Si un cheval de Troie est présent sur un système, il est fort probable que d'autres logiciels malveillants soient également injectés. Les campagnes anti-pourriels contiennent des pièces jointes qui, si elles sont ouvertes, téléchargent et installent des logiciels malicieus, des infections telles que des virus de type rançongiciel. Les faux programmes de mise à jour de logiciels infectent les ordinateurs en exploitant les bogues / failles des logiciels obsolètes ou simplement en téléchargeant et en installant des logiciels malveillants plutôt que les mises à jour promises. Les réseaux P2P et autres sources de téléchargement non officielles, telles que l'hébergement de fichiers gratuit, le téléchargement de fichiers gratuits et d'autres sites web peuvent être utilisés pour présenter des exécutables malicieux en tant que logiciels légitimes. Cela incite souvent les utilisateurs à télécharger et à installer des virus par eux-mêmes. En résumé, les principales causes d'infections informatiques sont le manque de connaissances et un comportement imprudent.

Comment vous protéger contre les  infections par rançongiciel?

Portez  attention lorsque vous naviguez sur Internet et installez / téléchargez ou mettez à jour un logiciel. N'ouvrez pas les pièces jointes sans vous assurer qu'elles peuvent être approuvées. Les fichiers qui semblent ne pas être pertinents et ceux reçus d'adresses électroniques suspectes et inconnues ne doivent jamais être ouverts. Tous les logiciels doivent être téléchargés à partir de sources officielles dignes de confiance et au moyen de liens de téléchargement direct uniquement. Divers téléchargeurs / installateurs de tierces parties incluent souvent des applications non fiables. C'est pourquoi nous vous recommandons de ne pas les utiliser. Il est important de garder les applications installées à jour, cependant, nous vous recommandons d'utiliser uniquement les fonctionnalités ou outils mis en œuvre fournis par les développeurs officiels. Il peut également s'avérer très utile de disposer d'une suite antivirus / anti logiciel espion réputée. Celles-ci détectent et suppriment habituelement les logiciels malveillants avant qu’ils ne causent des dommages. Si votre ordinateur est déjà infecté par Santa, nous vous recommandons d’effectuer une analyse avec Spyhunter afin d’éliminer automatiquement ce rançongiciel.

Texte présenté dans la fenêtre pop-up du rançongiciel Santa : 

Tous vos fichiers ont été encryptés!
Tous vos fichiers ont été encryptés en raison d’un problème de sécurité avec votre PC. Si vous souhaitez les restaurer, écrivez-nous à l'adresse électronique newsantaclaus@aol.com
nscrivez cet identifiant dans le titre de votre message. 1E857D00
En cas de non réponse dans les 24 heures, écrivez-nous à ces courriels:newsantaclaus@aol.com
Vous devez payer pour le décryptage en Bitcoins. Le prix dépend de la rapidité avec laquelle vous nous écrivez. Après paiement, nous vous enverrons l'outil de décryptage qui décryptera tous vos fichiers.
   
Décryptage gratuit comme garantie
Avant de payer, vous pouvez nous envoyer jusqu'à 1 fichier pour un décryptage gratuit. La taille totale des fichiers doit être inférieure à 1 Mo (non archivé) et les fichiers ne doivent pas contenir d'informations précieuses. (bases de données, sauvegardes, grandes feuilles Excel, etc.)
Comment obtenir des Bitcoins
Le moyen le plus facile d'acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquez sur "Acheter des bitcoins", puis sélectionnez le vendeur en fonction du mode de paiement et du prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez aussi trouver d’autres endroits pour acheter des Bitcoins et un guide pour débutants ici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Ne renommez pas les fichiers encryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel de tierces parties, cela pourrait mener à une perte permanente des données.
Le décryptage de vos fichiers avec l’aide de tiers peut mener à une augmentation du prix (ils ajoutent des frais supplémentaires) ou vous pouvez devenir victime d’une arnaque.

Capture d'écran du fichier texte de Santa :

Fichier texte du rançongiciel Santa

Texte présenté dans le fichier texte "FILES ENCRYPTED.txt" du rançongiciel Santa :

Toutes vos données ont été verrouillées par nous
Vous voulez les récupérer?
write écrivez-nous un email newsantaclaus@aol.com

Capture d'écran des fichiers encryptés par Santa (extension ".santa"):

Fichiers encryptés par Santa

Santa ransomware removal:

Suppression instantanée automatique de Virus Santa: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus Santa. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide :

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Santa. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTRÉE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode d’invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Santa ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Santa .

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Facebook sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Santa, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Santa.

Noter que la Mise à Jour d'Automne des Créateurs de Windows 10 inclut la fonction "Accès Contrôlé aux Dossiers" qui bloque le rançongiciel qui tente d'encrypter vos fichiers. Par défaut, cette fonction protège automatiquement les fichiers stockés dans Documents, Images, Vidéos, Musique, Favoris, en plus des dossiers du Bureau.

Accès contrôlé aux dossiers

Les utilisateurs de Windows 10 devraient installer cette mise à jour pour protéger leurs données des attaques de rançongiciels.  Voici plus d'informations sur comment obtenir cette mise à jour et ajouter une couche de protection additionnelle contre les infections de rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Santa :

Source: https://www.pcrisk.com/removal-guides/14163-santa-ransomware