Comment supprimer le rançongiciel Deal du système d'exploitation

Aussi connu comme: Virus Deal
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Deal

Qu'est-ce que Deal ?

Découvert par dnwls0719, Deal est un maliciel appartenant à la famille des rançongiciels Phobos. Il est conçu pour crypter les données et les garder verrouillées, jusqu'à ce qu'une rançon soit versée pour le décryptage. Pendant le processus de cryptage, tous les fichiers sont renommés avec le numéro d'identification unique de la victime, l'adresse électronique du développeur et l'extension ".deal". Par exemple, "1.jpg" peut être renommé en "1.jpg.id [1E857D00-2423].[butters.felicio@aol.com].deal". Une fois le processus terminé, ce programme malveillant crée deux fichiers nommés "info.txt" et "info.hta" et les stocke sur le bureau. Les variantes mises à jour de ce rançongiciel utilisent les extensions ".[kenny.sarginson@aol.com].deal", ".[harlin_marten@aol.com].deal", ".[lewisswaffield.a@aol.com].deal" et ".[relvirosa1981@aol.com].deal" pour les fichiers cryptés.

Les deux fichiers contiennent le message de demande de rançon qui est pratiquement identique (le message dans l'application HTML est légèrement plus détaillé). Le message indique que les données concernées ont été verrouillées mais non corrompues. Pour les récupérer, les victimes sont invitées à contacter les développeurs de Deal, via les adresses électroniques fournies. Le message doit contenir un numéro d'identification unique (généré individuellement pour chaque victime) dans l'objet/titre. Les utilisateurs sont également autorisés à envoyer un certain nombre de fichiers cryptés aux cybercriminels, qu'ils décrypteront gratuitement - c'est la "preuve" de leur capacité à restaurer les données. Les victimes peuvent également proposer une méthode de communication alternative si elles le souhaitent. Le message précise en outre que les utilisateurs peuvent essayer le décryptage manuel (c'est-à-dire sans l'intervention des développeurs), mais qu'il leur est conseillé de ne pas essayer cette méthode sur tous les fichiers (sinon ils pourraient "perdre toutes les données"). Étant donné que les logiciels tiers ne peuvent pas "craquer" le cryptage de Deal, de telles tentatives peuvent entraîner une perte permanente de données. Malheureusement, ces informations sont exactes - dans la plupart des cas, seul le logiciel utilisé pour crypter les fichiers est capable de les décoder. Deal et d'autres programmes de type rançongiciel utilisent des cryptages puissants, qu'il est impossible de casser avec des outils/logiciels de décryptage gratuits. Malgré cela, ne contactez pas et ne payez pas les cybercriminels qui sont derrière cette infection. Le paiement de la rançon (c'est-à-dire l'achat d'un logiciel de décryptage) n'offre souvent aucun outil de décryptage - les données restent donc cryptées et inutiles. La seule solution consiste à restaurer les fichiers à partir d'une sauvegarde, à condition qu'elle ait été effectuée avant l'infection par le rançongiciel et conservée séparément.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Deal decrypt instructions

Les rançongiciels sont un type de logiciel malveillant courant qui partagent certains traits. Bora, OnyxLocker, Mike, et Estemani sont quelques exemples de logiciels apparentés à Deal. Ils effectuent tous le cryptage des données et demandent des rançons. Les principales différences sont l'algorithme cryptographique (symétrique ou asymétrique) utilisé pour chiffrer les fichiers et le montant de la rançon, qui se situe généralement entre des sommes à trois et quatre chiffres (en USD). Il est pratiquement impossible de récupérer des données chiffrées sans l'implication des cybercriminels qui sont à l'origine d'une infection spécifique par un rançongiciel. Le décryptage manuel n'est possible que si le logiciel de cryptage est encore en cours de développement et/ou présente des failles ou des bogues. Pour protéger les fichiers contre le cryptage des données et les attaques dommageables, conservez des sauvegardes sur des serveurs distants et/ou des périphériques de stockage débranchés (idéalement, plusieurs copies à différents endroits).

Comment un rançongiciel a-t-il infecté mon ordinateur ?

Les chevaux de Troie, les campagnes de spam, les sources de téléchargement peu fiables, les outils de "craquage" (activation) des logiciels et les fausses mises à jour sont utilisés pour faire proliférer les rançongiciels et autres logiciels malveillants. Les chevaux de Troie sont des programmes malveillants qui fonctionnent en provoquant des infections en chaîne. Ils téléchargent/installent des maliciels supplémentaires. Des campagnes de spam à grande échelle sont utilisées pour envoyer des courriels trompeurs contenant des pièces jointes infectieuses. Ces messages sont généralement mis en évidence comme étant "officiels", "importants", "urgents" ou similaires. Les pièces jointes sont la cause d'une infection : lorsqu'elles sont ouvertes (ou exécutées, etc.), elles téléchargent/installent un contenu malveillant. Ces fichiers malveillants peuvent se présenter sous différents formats, tels que des documents Microsoft Office et PDF, des fichiers d'archives et exécutables, JavaScript et autres. Les réseaux de partage de fichiers poste à poste, les sites d'hébergement de fichiers non officiels et gratuits, les téléchargeurs tiers et les canaux similaires sont considérés comme peu fiables. Ils sont souvent utilisés pour diffuser des logiciels malveillants et/ou des contenus qui leur sont associés. Des outils d'activation illégaux ("cracks") peuvent installer des logiciels malveillants, plutôt que d'activer le produit sous licence. Les faux logiciels de mise à jour infectent les systèmes de la même manière - ils exploitent les faiblesses des programmes existants et/ou installent simplement des programmes malveillants, plutôt que les mises à jour promises.

Résumé de la Menace :
Nom Virus Deal
Type de Menace Rançongiciel, Crypto Virus, Bloqueur de fichiers.
Extension des Fichiers Cryptés .deal (ce rançongiciel ajoute également des noms de fichiers avec l'identifiant unique de la victime et l'adresse électronique du développeur).
Message de Demande de Rançon info.hta (application HTML), info.txt (fichier texte).
Contact du Cyber Criminel butters.felicio@aol.com, ezequielanthon@aol.com
Noms de Détection Avast (Win32:Trojan-gen), BitDefender (Trojan.GenericKD.32569351), ESET-NOD32 (Une variante de Win32/Packed.VMProtect.LE), Kaspersky (HEUR:Trojan.Win32.Generic), Liste complète des détections (VirusTotal)
Symptômes Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement sous forme de bitcoins) pour déverrouiller vos fichiers.
Distribution Pièces jointes de courrier électronique infectées (macros), sites web de torrents, publicités malveillantes.
Dommages Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Des chevaux de Troie voleurs de mots de passe et des logiciels malveillants supplémentaires peuvent être installés en même temps qu'une infection par un rançongiciel.
Suppression

Pour éliminer Virus Deal, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Comment se protéger contre les infections par des rançongiciels ?

Les courriels non pertinents reçus d'expéditeurs (adresses) suspects/inconnus ne doivent pas être lus. Les pièces jointes qu'ils contiennent ne doivent jamais être ouvertes, car cela risque d'entraîner une infection. Il vous est fortement conseillé de n'utiliser que des canaux de téléchargement officiels et vérifiés, par opposition aux réseaux de partage P2P (BitTorrent, eMule, Gnutella, etc.), aux divers sites web de téléchargement ou d'hébergement de fichiers suspects, ou aux téléchargeurs tiers. Ces sources de téléchargement douteuses sont beaucoup plus susceptibles d'offrir des contenus trompeurs et malveillants. Les programmes installés doivent être mis à jour au moyen d'outils/fonctions fournis par les véritables développeurs. Il en va de même pour l'activation des logiciels. Les outils d'activation illégaux ("cracks") ne doivent pas être utilisés. Faites installer et tenir à jour des logiciels antivirus/anti-espions de bonne réputation. Ces programmes doivent être utilisés pour l'analyse régulière du système et la suppression des menaces détectées. Si votre ordinateur est déjà infecté par Deal, nous vous recommandons d'effectuer un scan avec Spyhunter pour éliminer automatiquement ce rançongiciel.

Texte présenté dans l'application HTML du rançongiciel Deal ("info.hta") :

Files are locked* but not corrupted
Your computer is infected with a virus.
Files are locked* but not corrupted.
Send an email butters.felicio@aol.com, specify in the subject unique identifier 1E857D00-2423 and you will definitely be helped to recover.
*you can send us a couple of files and we will return the restored ones to prove that only we can do it
IMPORTANT:
1. the infection was due to vulnerabilities in your software
2. if you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. only communication through our email can guarantee file recovery for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. if we do not respond to you within 24 hours, send a message to the email ezequielanthon@aol.com
5. if you need an alternative communication channel - write a request by e-mail
6. our goal is to return your data, but if you do not contact us, we will not succeed

Capture d'écran du fichier texte de Deal ("info.txt") :

Deal text file

Texte présenté dans ce fichier :

Your computer is infected with a virus.
Files are locked* but not corrupted.

Send an email butters.felicio@aol.com and you will definitely be helped to recover.

*you can send us a couple of files and we will return the restored ones to prove that only we can do it

IMPORTANT:
1. the infection was due to vulnerabilities in your software
2. if you want to make sure that it is impossible to recover files using third-party software, do this not on all files, otherwise you may lose all data.
3. only communication through our email can guarantee file recovery for you. We are not responsible for the actions of third parties who promise to help you - most often they are scammers.
4. if we do not respond to you within 24 hours, send a message to the email ezequielanthon@aol.com
5. if you need an alternative communication channel - write a request by e-mail
6. our goal is to return your data, but if you do not contact us, we will not succeed

Capture d'écran de fichiers cryptés par Deal (extension ".deal") :

Files encrypted by Deal

Suppression du rançongiciel Deal :

Suppression instantanée automatique de Virus Deal: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus Deal. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide : 

Etape 1

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Safe Mode with Networking

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur redémarre dans le menu "Options de démarrage avancées". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Windows 8 Safe Mode with networking

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :

Utilisateurs Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" enfoncé sur votre clavier. Dans la fenêtre "Choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec la mise en réseau.

windows 10 safe mode with networking

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :

Etape 2

Connectez-vous au compte infecté par le virus Deal. Démarrez votre navigateur Internet et téléchargez un programme anti-logiciel espion légitime. Mettez à jour le logiciel anti-logiciel espion et lancez une analyse complète du système. Supprimer toutes les entrées détectées.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau, essayez d'effectuer une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant "Mode sans échec avec invite de commande" et "Restauration système" :

1. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec invite de commandes dans la liste et appuyez sur ENTREE.

Boot your computer in Safe Mode with Command Prompt

2. Lorsque le mode Invite de commandes se charge, entrez la ligne suivante : cd restore et appuyez sur ENTREE.

system restore using command prompt type cd restore

3. Ensuite tapez : rstrui.exe et appuyez sur ENTREE.

system restore using command prompt rstrui.exe

4. Dans la fenêtre qui s'ouvre, cliquez sur "suivant".

restore system files and settings

5. Sélectionnez l'un des points de restauration disponibles et cliquez sur "Suivant" (ceci restaurera votre système informatique à une date et une heure antérieures, avant que le virus Deal ne se soit infiltré dans votre PC).

select a restore point

  1. Dans la fenêtre qui s'ouvre, cliquez sur "Oui".

run system restore

7. Après avoir restauré votre ordinateur à une date antérieure, téléchargez et scannez votre PC avec le logiciel de suppression des maliciels recommandé afin d'éliminer tous les fichiers Deal restants.

Pour restaurer des fichiers individuels cryptés par ce rançongiciel, essayez d'utiliser la fonction Versions précédentes de Windows. Cette méthode n'est efficace que si la fonction Restauration du système a été activée sur un système d'exploitation infecté. Notez que certaines variantes de Deal sont connues pour supprimer les copies Shadow Volume des fichiers, cette méthode peut donc ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquez avec le bouton droit de la souris, allez dans Propriétés et sélectionnez l'onglet Versions précédentes. Si le fichier concerné possède un point de restauration, sélectionnez-le et cliquez sur le bouton "Restaurer".

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau (ou avec Invite de commandes), démarrez votre ordinateur en utilisant un disque de secours. Certaines variantes de rançongiciel désactivent le mode sans échec, ce qui complique sa suppression. Pour cette étape, vous devez avoir accès à un autre ordinateur.

Pour reprendre le contrôle des fichiers cryptés par Deal, vous pouvez également essayer d'utiliser un programme appelé Shadow Explorer. Plus d'informations sur l'utilisation de ce programme sont disponibles ICI.

shadow explorer screenshot

Pour protéger votre ordinateur d'un tel rançongiciel de chiffrement de fichiers, utilisez des programmes antivirus et anti-logiciels espions réputés. Comme méthode de protection supplémentaire, vous pouvez utiliser les programmes HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des objets de stratégie de groupe dans le registre pour bloquer les programmes malveillants tels que le rançongiciel Deal.

Notez que Windows 10 Fall Creators Update inclut une fonction "Controlled Folder Access" qui bloque les tentatives de chiffrement de vos fichiers par un rançongiciel. Par défaut, cette fonction protège automatiquement les fichiers stockés dans les dossiers Documents, Images, Vidéos, Musique, Favoris ainsi que les dossiers du Bureau.

Controll Folder Access

Les utilisateurs de Windows 10 doivent installer cette mise à jour pour protéger leurs données contre les attaques par rançongiciel. Voici plus d'informations sur la façon d'obtenir cette mise à jour et d'ajouter une couche de protection supplémentaire contre les infections des rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralise toute tentative sans intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-ransomware Beta utilise une technologie proactive avancée qui surveille l'activité du rançongiciel et y met fin immédiatement - avant d'atteindre les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages causés par les infections des rançongiciels est de maintenir des sauvegardes régulières et à jour. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données ICI.

D'autres outils connus pour supprimer le rançongiciel Deal :

Source: https://www.pcrisk.com/removal-guides/16054-deal-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Virus Deal Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Virus Deal sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Virus Deal aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.