Ransomware GANDCRAB 5.2

Aussi connu comme: Virus GANDCRAB 5.2
Distribution: Modérer
Niveau de dommage: Sévère

Instructions de suppression du ransomware GANDCRAB 5.2

Qu'est-ce que GANDCRAB 5.2 ?

GANDCRAB 5.2 est un programme de type rançon qui est utilisé par ses développeurs (cybercriminels) dans le but de crypter les données stockées sur l'ordinateur de leur victime et de les garder cryptées à moins que la rançon ne soit versée. Ce logiciel de rançon crée une note de rançon, il se génère un nom aléatoire, par exemple : "DSEWRBG-DECRYPT.txt". GANDCRAB 5.2 fait de même avec l'extension qu'il ajoute à chaque fichier crypté. Si le fichier avant le cryptage s'appelait "1.jpg", alors il le renomme en "1.jpg.dsewrbg" et ainsi de suite. Il change aussi le fond d'écran du bureau de la victime. GANDCRAB 5.2 est l'une des nombreuses versions du logiciel de rançon GANDCRAB.

Dans la note de demande de rançon "DSEWRBG-DECRYPT.txt" (son nom peut varier), les cybercriminels exhortent leurs victimes à ne pas supprimer ce fichier texte avant que les données ne soient récupérées (décryptées). Selon eux, sa suppression pourrait entraîner des erreurs de décryptage. Comme ils le prétendent, la seule façon de déchiffrer les données est de leur acheter une clé de déchiffrement. Afin de procéder au décryptage des données, les victimes du GANDCRAB 5.2 doivent d'abord télécharger et installer le navigateur TOR et ensuite ouvrir le lien fourni dans la demande de rançon. Le site Web contient une date limite qui, si elle n'est pas respectée à temps, entraînera un doublement du prix du décryptage. Ainsi, si le prix principal de la clé de déchiffrement est de 1 200 $, il sera porté à 2 400 $ après un certain temps. Pour effectuer le paiement, les victimes doivent utiliser soit DASH soit une cryptomonnaie Bitcoin et le transférer en cliquant sur un lien qui mène à une adresse de portefeuille cryptocurrency. Avant d'effectuer le paiement, ces cybercriminels offrent à leurs victimes un décryptage gratuit d'un fichier. Il est assez courant pour les développeurs de logiciels de rançon d'offrir un décryptage gratuit comme preuve qu'ils sont capables de fournir les outils ou les clés nécessaires pour un décryptage réussi. Récemment, une société de sécurité contre les logiciels malveillants Bitdefender a publié un outil de décryptage capable de restaurer les fichiers qui étaient cryptés par les versions précédentes du ransomware GANDCRAB. Il est donc très probable que ces cybercriminels (les développeurs du GANDCRAB 5.2) ont publié une nouvelle version en réponse à cela. Il n'existe aucun outil capable de décrypter gratuitement son cryptage, du moins pour l'instant. Cela signifie que les personnes dont l'ordinateur est infecté par ce logiciel de rançon peuvent facilement faire l'objet de chantage et sont forcées de contacter ses développeurs. La plupart des cybercriminels utilisent des algorithmes de cryptographie (symétriques ou asymétriques) qui rendent impossible les décryptions sans utiliser un outil particulier. Malheureusement, la plupart du temps, les développeurs de logiciels de rançon spécifiques sont les seuls à disposer de ces outils. Si un ordinateur est infecté par GANDCRAB 5.2, le seul moyen gratuit de récupérer les données est d'utiliser une sauvegarde de données et de tout restaurer à partir de là.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

GANDCRAB 5.2 decrypt instructions

Il y a beaucoup de cybercriminels qui développent divers programmes de type rançon, cependant, la plupart d'entre eux sont très similaires. GANDCRAB 5.2 partage des similitudes avec d'autres programmes malveillants de ce type tels que ShadiCammoraHeets et bien d'autres. Les similitudes les plus communes (et principales) entre ces infections sont qu'elles sont conçues pour crypter les données et les garder cryptées à moins que la rançon ne soit payée ou que l'outil de décryptage ne soit acheté. Les principales différences sont généralement le prix de cet outil et l'algorithme de cryptographie utilisé pour crypter les données. Malheureusement, les fichiers cryptés peuvent généralement être décryptés sans avoir à contacter des cybercriminels uniquement si le logiciel de rançon n'est pas complètement développé, s'il présente des bogues, des failles, etc. C'est pourquoi nous recommandons de créer régulièrement des sauvegardes de données et de les conserver sur un serveur distant ou un périphérique de stockage débranché. Ensuite, ces sauvegardes seront protégées contre le chiffrement avec toutes les autres données.

Comment le logiciel de rançon a-t-il infecté mon ordinateur ?

La méthode exacte que les cybercriminels utilisent pour diffuser le logiciel de rançon GANDCRAB 5.2 est inconnue. Cependant, la plupart des programmes de ce type prolifèrent à l'aide de campagnes de pourriels (courriels), de chevaux de Troie, de fausses mises à jour de logiciels, de canaux/outils de téléchargement de logiciels non fiables ou d'outils de craquage de logiciels. Les campagnes de spam peuvent être (et sont) utilisées pour faire proliférer diverses infections via des fichiers attachés malveillants. Ces pièces jointes sont généralement des documents Microsoft Office, des fichiers d'archive (ZIP, RAR et autres), des fichiers PDF, des fichiers exécutables (.exe), des fichiers JavaScript et autres. Une fois ouvertes/exécutées, ces pièces jointes téléchargent et installent des infections informatiques comme les logiciels de rançon ou d'autres logiciels malveillants à haut risque. Les chevaux de Troie sont des programmes malveillants qui doivent être déjà installés. S'ils sont installés, ces programmes causent des infections en chaîne - ils téléchargent et installent d'autres programmes malveillants. Les fausses mises à jour de logiciels infectent généralement les ordinateurs/systèmes d'exploitation soit en téléchargeant et en installant des logiciels malveillants au lieu des mises à jour attendues, soit en exploitant les bogues/défauts des logiciels périmés. Le téléchargement de logiciels gratuits, les sites Web d'hébergement de fichiers gratuits, les réseaux Peer-to-Peer (clients torrent, eMule, etc.) et d'autres sources de téléchargement de logiciels douteuses/peu fiables sont également utilisés par les cybercriminels pour distribuer des infections informatiques. Ils présentent les fichiers malveillants (ou diverses applications malveillantes) comme légitimes. En les téléchargeant et en les installant, les gens provoquent eux-mêmes des infections informatiques. Une autre façon de causer des dommages de ce type est d'utiliser des outils de craquage logiciel. À l'origine, ils sont conçus pour activer des logiciels payants et permettre aux utilisateurs de les utiliser gratuitement. Cependant, bien souvent, les cybercriminels les font proliférer avec des outils d'activation qui sont en fait conçus pour installer des programmes malveillants.

Comment se protéger contre les infections de rançon ?

Nous vous recommandons de toujours y réfléchir à deux fois avant d'ouvrir des pièces jointes ou des liens Web qui sont présentés dans des courriels reçus d'adresses inconnues/suspicieuses. Si le courriel n'est pas pertinent et contient une pièce jointe, nous vous recommandons de ne pas l'ouvrir. Du moins, pas sans s'assurer que c'est sûr. Téléchargez tous les logiciels en utilisant uniquement des liens directs, des sources/sites Web fiables et officiels. Il n'est pas recommandé d'utiliser des téléchargeurs ou des installateurs tiers. Il est possible que ces sources puissent être utilisées pour distribuer des applications malveillantes qui pourraient infecter les ordinateurs ou causer d'autres problèmes. Mettre à jour le logiciel installé en utilisant uniquement les outils ou les fonctions implémentées qui sont fournis par des développeurs de logiciels officiels et non par des tiers. Nous vous conseillons également d'avoir un logiciel anti-virus/anti-spyware de bonne réputation installé et activé à tout moment. Si votre ordinateur est déjà infecté par GANDCRAB 5.2, nous vous recommandons d'effectuer un scan avec Spyhunter pour éliminer automatiquement ce ransomware.

Texte présenté dans le fichier texte du logiciel de rançon GANDCRAB 5.2 (dans ce cas le "DSEWRBG-DECRYPT.txt") :

---= GANDCRAB V5.2 =---
******************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED*******************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .DSEWRBG
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/113737081e857d00
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
-
---END GANDCRAB KEY---

---BEGIN PC DATA---
-
---END PC DATA---

Capture d'écran du fond d'écran du GANDCRAB 5.2 :

GANDCRAB 5.2 wallpaper

Capture d'écran du site web du GANDCRAB 5.2 :

GANDCRAB 5.2 website

Texte présenté sur ce site :

If the payment isn't made until 1/18/2019, 11:11:06 AM, the cost of decrypting files will be doubled
Countdown to double price: Time is up. Price is doubled!
What's the matter?
Your computer has been infected with GandCrab Ransomware.
All your files have been encrypted and you are not able to decrypt it by yourself.

To decrypt your files you have to buy GandCrab decryptor
The price is - 2400 USD
What can I do to get my files back?
You should buy our software GandCrab Decryptor. It will scan your PC, network share, all connected devices and check for encrypted files and decrypt it. Current price: 2400 USD. We accept cryptocurrency DASH and Bitcoin
What guarantees can you give me?
To be sure we have the decryptor and it works you can use free decrypt and decrypt one file for free.
But this file must be an image, because images usually are not valuable.
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
Easy. The list of the most popular exchange services:
BuyBitcoin
CoinMonitor.io
LocalBitcoins
CoinMama
Changelly.com
PAYEER
CEX.IO

The full list of exchange services for Bitcoin here and for DASH here.
Create an account
Charge the balance with a credit card or paypal
Buy requested amount of coins (Bitcoin or DASH)
Make withdrawal to our address

Attention
Don't delete file *-DECRYPT.txt before full restore of your PC.

Capture d'écran des fichiers cryptés par GANDCRAB 5.2 (dans ce cas-ci extension ".dsewrbg") :

Files encrypted by GANDCRAB 5.2

Comme mentionné ci-dessus, Bitdefender a récemment publié un outil de décryptage capable de restaurer les données cryptées par GandCrab V1, V4, et toutes les versions V5 (jusqu'à 5.1). Par conséquent, les victimes peuvent facilement déchiffrer leurs données sans payer les cybercriminels. Vous trouverez plus d'informations dans cet article et vous pouvez télécharger le décrypteur en cliquant sur ce lien.

Capture d'écran du décrypteur GandCrab de Bitdefender :

GandCrab ransomware decryption tool by Bitdefender

Suppression du ransomware GANDCRAB 5.2 :

Suppression instantanée automatique de Virus GANDCRAB 5.2: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus GANDCRAB 5.2. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide : 

Etape 1

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Safe Mode with Networking

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8 : Démarrez Windows 8 est en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur redémarre dans le menu "Options de démarrage avancées". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Windows 8 Safe Mode with networking

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :

Utilisateurs Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" enfoncé sur votre clavier. Dans la fenêtre "Choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec la mise en réseau.

windows 10 safe mode with networking

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :

Etape 2

Connectez-vous au compte infecté par le virus GANDCRAB 5.2. Démarrez votre navigateur Internet et téléchargez un programme anti-spyware légitime. Mettez à jour le logiciel anti-logiciel espion et lancez une analyse complète du système. Supprimer toutes les entrées détectées. 

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau, essayez d'effectuer une restauration du système.

Vidéo montrant comment supprimer le virus du ransomware en utilisant "Mode sans échec avec mise en réseau" et "Restauration Système" :

1. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec invite de commandes dans la liste et appuyez sur ENTREE.

Boot your computer in Safe Mode with Command Prompt

2. Lorsque le mode Invite de commandes se charge, entrez la ligne suivante : cd restore et appuyez sur ENTREE

system restore using command prompt type cd restore


3. Ensuite, tapez cette ligne : rstrui.exe et appuyez sur ENTREE.

system restore using command prompt rstrui.exe

4. Dans la fenêtre ouverte, cliquez sur "Suivant".

restore system files and settings

5. Sélectionnez l'un des points de restauration disponibles et cliquez sur "Suivant" (ceci restaurera votre système informatique à une date et une heure antérieures, avant que le virus GANDCRAB 5.2 Ransomware ne s'infiltre dans votre PC).

select a restore point

6. Dans la fenêtre ouverte, cliquez sur "Oui".

run system restore

7. Après avoir restauré votre ordinateur à une date antérieure, téléchargez et scannez votre PC avec le logiciel de suppression des logiciels malveillants recommandé afin d'éliminer tous les fichiers de rançon GANDCRAB 5.2 restants.

Pour restaurer des fichiers individuels cryptés par ce logiciel de rançon, essayez d'utiliser la fonction Versions précédentes de Windows. Cette méthode n'est efficace que si la fonction Restauration du système a été activée sur un système d'exploitation infecté. Notez que certaines variantes de XXXXXXXXXXXXXXXXXXXX sont connues pour supprimer les copies Shadow Volume des fichiers, donc cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquez avec le bouton droit de la souris, allez dans Propriétés et sélectionnez l'onglet Versions précédentes. Si le fichier concerné possède un point de restauration, sélectionnez-le et cliquez sur le bouton "Restaurer".

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau (ou avec Invite de commandes), démarrez votre ordinateur en utilisant un disque de secours. Certaines variantes de ransomware désactivent le mode sans échec, ce qui complique sa suppression. Pour cette étape, vous devez avoir accès à un autre ordinateur.

Pour reprendre le contrôle des fichiers cryptés par XXXXXXXXXXXXXXXXXXXX, vous pouvez également essayer d'utiliser un programme appelé Shadow Explorer. Plus d'informations sur l'utilisation de ce programme sont disponibles ICI.

shadow explorer screenshot

Pour protéger votre ordinateur d'un tel logiciel de demande de rançon de chiffrement de fichiers, utilisez des programmes antivirus et anti-logiciels espions réputés. Comme méthode de protection supplémentaire, vous pouvez utiliser les programmes HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des objets de stratégie de groupe dans le registre pour bloquer les programmes malveillants tels que le ransomware GANDCRAB 5.2. 

Notez que Windows 10 Fall Creators Update inclut la fonction "Controlled Folder Access" qui bloque les tentatives de chiffrement de vos fichiers par le logiciel de rançon. Par défaut, cette fonction protège automatiquement les fichiers stockés dans les dossiers Documents, Images, Vidéos, Musique, Favoris ainsi que les dossiers du Bureau.

Controll Folder Access

 

Les utilisateurs de Windows 10 doivent installer cette mise à jour pour protéger leurs données contre les attaques par rançon. Voici plus d'informations sur la façon d'obtenir cette mise à jour et d'ajouter une couche de protection supplémentaire contre les infections des logiciels rançon.

 

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralise toute tentative sans intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta utilise une technologie proactive avancée qui surveille l'activité de la rançon et y met fin immédiatement - avant d'atteindre les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages causés par les infections des logiciels rançon est de maintenir des sauvegardes régulières et à jour. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données ICI.

D'autres outils connus pour supprimer le logiciel de rançon GANDCRAB 5.2 :

Source: https://www.pcrisk.com/removal-guides/14510-gandcrab-5-2-ransomware