Comment désinstaller le rançongiciel Pysa du système

Aussi connu comme: Virus Pysa
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Pysa

Qu'est-ce que Pysa ?

Pysa est une nouvelle variante du rançongiciel Mespinoza, qui crypte les fichiers et ajoute l'extension ".pysa" aux noms de fichiers. Par exemple, "1.jpg" devient "1.jpg.pysa" et ainsi de suite. Il crée également un fichier texte appelé "Readme.README.txt" contenant un message de rançon avec des instructions sur la manière de récupérer les fichiers. Comme la plupart des programmes de ce type, Pysa crypte les fichiers à l'aide d'un algorithme de cryptage puissant. Par conséquent, les victimes ne peuvent pas récupérer l'accès à leurs fichiers à moins de les décrypter avec un outil et/ou une clé de décryptage spécifique.

Pour rétablir l'accès aux données, les victimes sont invitées à contacter les développeurs de Pysa via l'adresse électronique aireyeric@protonmail.com ou ellershaw.kiley@protonmail.com. Les cybercriminels envoient alors des instructions sur la manière de payer la rançon. Les victimes sont autorisées à envoyer deux fichiers cryptés, que les criminels proposent de décrypter gratuitement. En général, les cybercriminels proposent ce test de décryptage comme "preuve" qu'ils disposent d'outils capables de décrypter les fichiers compromis. Notez que seuls les cybercriminels qui ont développé le rançongiciel (dans ce cas, Pysa) disposent d'outils valables. Quoi qu'il en soit, on ne peut pas leur faire confiance - les personnes qui font confiance aux cybercriminels et paient des rançons sont souvent escroquées. Ils ne reçoivent pas les outils/clés de décryptage qui leur ont été promis. En général, le seul moyen gratuit et sûr de récupérer des fichiers est de les restaurer à partir d'une sauvegarde. Notez que même si le rançongiciel est désinstallé du système d'exploitation, tous les fichiers restent cryptés. La suppression empêche simplement qu'il ne provoque un nouveau cryptage.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Pysa decrypt instructions (Readme.README.txt)

Pysa n'est qu'un des nombreux programmes de type rançongiciel. D'autres exemples sont Bobelectron, Nbes et DMR64. En général, ils sont conçus pour empêcher les victimes d'accéder à leurs données par cryptage avec un algorithme cryptographique fort (symétrique ou asymétrique) et pour créer et/ou afficher un message de rançon. Généralement, seuls les cybercriminels disposent d'outils capables de décrypter les fichiers cryptés par leur rançongiciel. Il est donc impossible de décrypter des fichiers, sauf si le rançongiciel n'est pas terminé (contient des bugs, des défauts, etc.). Pour éviter les pertes de données et les pertes financières causées par des programmes de ce type, faites une sauvegarde de vos données et conservez-les sur un serveur distant (comme le Cloud) et/ou un périphérique de stockage débranché.

Comment le rançongiciel a-t-il infecté mon ordinateur ?

Généralement, les rançongiciels et d'autres types de maliciels sont distribués par le biais de campagnes de spam, de sources de téléchargement de fichiers ou de logiciels douteux, de chevaux de Troie, de faux logiciels (non officiels) de mise à jour et d'outils d'activation. Les cybercriminels envoient souvent des courriels contenant des fichiers ou des liens web malveillants. Leur principal objectif est de tromper les destinataires en leur faisant ouvrir le fichier joint/téléchargé - il installe alors un rançongiciel ou un autre maliciel. Parmi les fichiers que les cybercriminels joignent à leurs courriers électroniques, on peut citer Microsoft Office, les documents PDF, les fichiers JavaScript, les archives telles que ZIP, RAR et les fichiers exécutables (.exe). Pour faire proliférer les maliciels par le biais de logiciels ou de canaux de téléchargement de fichiers peu fiables, les cybercriminels téléchargent des fichiers malveillants et espèrent que quelqu'un les téléchargera et les ouvrira (les exécutera). Une fois ouverts, les fichiers infectent les systèmes avec des maliciels. Parmi les exemples de canaux utilisés pour faire proliférer ces logiciels figurent les sites web non officiels, les sites de téléchargement de logiciels gratuits et d'hébergement de fichiers gratuits, les réseaux Peer-to-Peer (par exemple, eMule, les clients de torrents), les téléchargeurs tiers, etc. Les chevaux de Troie sont des programmes malveillants qui provoquent souvent des infections en chaîne. Par conséquent, si un ordinateur est infecté par un cheval de Troie, il est probable qu'il installe des maliciels supplémentaires tels que des rançongiciels. Les faux outils non officiels de mise à jour de logiciels infectent souvent les systèmes en téléchargeant et en installant des maliciels (plutôt qu'en mettant à jour ou en corrigeant les programmes installés), ou en exploitant les bogues/les défauts de logiciels périmés qui sont installés sur le système d'exploitation. Des outils d'activation non officiels sont également utilisés pour distribuer des maliciels. Les personnes qui tentent d'éviter de devoir payer pour l'activation de logiciels sous licence/payés en utilisant de tels outils provoquent souvent l'installation de maliciels.

Résumé de la Menace :
Nom Virus Pysa
Type de Menace Rançongiciel, Crypto Virus, Bloqueur de fichiers.
Extension des Fichiers Cryptés .pysa
Message de Demande de Rançon Readme.README.txt
Conctact du Cyber Criminel aireyeric@protonmail.com, ellershaw.kiley@protonmail.com, minginskilian@protonmail.com, schofield_niko@protonmail.com
Noms de Détection Avast (Win32:Trojan-gen), BitDefender (Gen:Variant.Ransom.Dee.1), ESET-NOD32 (Une variante de Win32/Filecoder.NYO), Kaspersky (Trojan.Win32.Zudochka.dtr), Liste complète des détections (VirusTotal)
Symptômes Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement sous forme de bitcoins) pour déverrouiller vos fichiers.
Distribution Pièces jointes de courrier électronique infectées (macros), sites web de torrents, publicités malveillantes.
Dommages Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Des chevaux de Troie voleurs de mots de passe supplémentaires et des infections par des maliciels peuvent être installés en même temps qu'une infection par des rançongiciels.
Suppression

Pour éliminer Virus Pysa, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Spyhunter.
▼ Télécharger Spyhunter
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour supprimer les logiciels malveillants, vous devez acheter la version complète de Spyhunter.

Comment se protéger des infections par des rançongiciels ?

Ne pas télécharger ou installer de logiciels par l'intermédiaire de téléchargeurs ou d'installateurs tiers ou par les autres canaux douteux mentionnés ci-dessus. Utilisez des sites web officiels et dignes de confiance, ainsi que des liens de téléchargement directs. Les logiciels ou systèmes d'exploitation installés doivent être mis à jour à l'aide de fonctions et/ou d'outils conçus par des développeurs de logiciels officiels. Les pièces jointes ou les liens web dans des courriels non pertinents envoyés à partir d'adresses inconnues et suspectes ne doivent pas être ouverts. Les cybercriminels déguisent souvent leurs courriels et leurs pièces jointes en messages importants, officiels, etc. N'activez pas les logiciels ou les systèmes d'exploitation à l'aide d'outils de "craquage" ou d'activation non officiels. Cela est illégal et conduit souvent à l'installation de logiciels malveillants. Analysez régulièrement le système d'exploitation à la recherche de menaces avec des logiciels anti-espions ou antivirus de bonne réputation et assurez-vous qu'il est à jour. Si votre ordinateur est déjà infecté par Pysa, nous vous recommandons de lancer un scan avec Spyhunter pour éliminer automatiquement ce rançongiciel.

Texte présenté dans le fichier texte du rançongiciel Pysa ("Readme.README.txt") :

Hi Company,

Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.

To get all your data back contact us:

raingemaximo@protonmail.com
gareth.mckie3l@protonmail.com
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------

FAQ:

1.
Q: How can I make sure you don't fooling me?
A: You can send us 2 files(max 2mb).

2.
Q: What to do to get all data back?
A: Don't restart the computer, don't move files and write us.

3.
Q: What to tell my boss?
A: Protect Your System Amigo.

Capture d'écran de fichiers cryptés par Pysa (extension ".pysa") :

Files encrypted by Pysa ransomware (.pysa extension)

Mise à jour 19 mars 2020 - Il a été observé que le rançongiciel Pysa était principalement utilisé pour cibler les grandes entreprises ; cependant, récemment, il a commencé à cibler les réseaux de collectivités locales (notamment, la France). On ne sait toujours pas exactement comment ce maliciel infecte ses victimes. Les preuves laissées suggèrent plusieurs scénarios possibles, sur lesquels on peut trouver plus d'informations dans un article de Catalin Cimpanu sur zdnet.com.

Suppression du rançongiciel Pysa :

Suppression instantanée automatique de Virus Pysa: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus Pysa. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide :

Etape 1

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Safe Mode with Networking

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur redémarre dans le menu "Options de démarrage avancées". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Windows 8 Safe Mode with networking

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :

Utilisateurs Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" enfoncé sur votre clavier. Dans la fenêtre "Choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec la mise en réseau.

windows 10 safe mode with networking

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :

Etape 2

Connectez-vous au compte infecté par le virus Pysa. Démarrez votre navigateur Internet et téléchargez un programme anti-logiciel espion légitime. Mettez à jour le logiciel anti-logiciel espion et lancez une analyse complète du système. Supprimer toutes les entrées détectées.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau, essayez d'effectuer une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant "Mode sans échec avec invite de commande" et "Restauration système" :

1. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec invite de commandes dans la liste et appuyez sur ENTREE.

Boot your computer in Safe Mode with Command Prompt

2. Lorsque le mode Invite de commandes se charge, entrez la ligne suivante : cd restore et appuyez sur ENTREE.

system restore using command prompt type cd restore

3. Ensuite tapez : rstrui.exe et appuyez sur ENTREE.

system restore using command prompt rstrui.exe

4. Dans la fenêtre qui s'ouvre, cliquez sur "suivant".

restore system files and settings

5. Sélectionnez l'un des points de restauration disponibles et cliquez sur "Suivant" (ceci restaurera votre système informatique à une date et une heure antérieures, avant que le virus Pysa ne se soit infiltré dans votre PC).

select a restore point

  1. Dans la fenêtre qui s'ouvre, cliquez sur "Oui".

run system restore

7. Après avoir restauré votre ordinateur à une date antérieure, téléchargez et scannez votre PC avec le logiciel de suppression des maliciels recommandé afin d'éliminer tous les fichiers Pysa restants.

Pour restaurer des fichiers individuels cryptés par ce rançongiciel, essayez d'utiliser la fonction Versions précédentes de Windows. Cette méthode n'est efficace que si la fonction Restauration du système a été activée sur un système d'exploitation infecté. Notez que certaines variantes de Pysa sont connues pour supprimer les copies Shadow Volume des fichiers, cette méthode peut donc ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquez avec le bouton droit de la souris, allez dans Propriétés et sélectionnez l'onglet Versions précédentes. Si le fichier concerné possède un point de restauration, sélectionnez-le et cliquez sur le bouton "Restaurer".

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau (ou avec Invite de commandes), démarrez votre ordinateur en utilisant un disque de secours. Certaines variantes de rançongiciel désactivent le mode sans échec, ce qui complique sa suppression. Pour cette étape, vous devez avoir accès à un autre ordinateur.

Pour reprendre le contrôle des fichiers cryptés par Pysa, vous pouvez également essayer d'utiliser un programme appelé Shadow Explorer. Plus d'informations sur l'utilisation de ce programme sont disponibles ICI.

shadow explorer screenshot

Pour protéger votre ordinateur d'un tel rançongiciel de chiffrement de fichiers, utilisez des programmes antivirus et anti-logiciels espions réputés. Comme méthode de protection supplémentaire, vous pouvez utiliser les programmes HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des objets de stratégie de groupe dans le registre pour bloquer les programmes malveillants tels que le rançongiciel Pysa.

Notez que Windows 10 Fall Creators Update inclut une fonction "Controlled Folder Access" qui bloque les tentatives de chiffrement de vos fichiers par un rançongiciel. Par défaut, cette fonction protège automatiquement les fichiers stockés dans les dossiers Documents, Images, Vidéos, Musique, Favoris ainsi que les dossiers du Bureau.

Controll Folder Access

Les utilisateurs de Windows 10 doivent installer cette mise à jour pour protéger leurs données contre les attaques par rançongiciel. Voici plus d'informations sur la façon d'obtenir cette mise à jour et d'ajouter une couche de protection supplémentaire contre les infections des rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralise toute tentative sans intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-rançongiciel Beta utilise une technologie proactive avancée qui surveille l'activité du rançongiciel et y met fin immédiatement - avant d'atteindre les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages causés par les infections des rançongiciels est de maintenir des sauvegardes régulières et à jour. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données ICI.

D'autres outils connus pour supprimer le rançongiciel Pysa :

Source: https://www.pcrisk.com/removal-guides/16594-pysa-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Virus Pysa Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Virus Pysa sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Virus Pysa aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.