Comment supprimer le rançongiciel NetWalker du système d'exploitation ?

Aussi connu comme: Virus NetWalker
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel NetWalker

Qu'est-ce que NetWalker ?

NetWalker est une variante mise à jour du rançongiciel Mailto. Les systèmes infectés par ce maliciel subissent un cryptage des données et reçoivent des demandes de rançon pour les outils/logiciels de décryptage. Pendant le processus de cryptage, les extensions des fichiers compromis sont complétées avec une extension de chaîne de caractères aléatoire ; par exemple, un fichier initialement intitulé "1.jpg" pourrait apparaître comme quelque chose de similaire à "1.jpg.3289cf" - après le cryptage. Une fois ce processus terminé, une demande de rançon "[random-string]-Readme.txt" est déposée dans chaque dossier concerné.

Le message de demande de rançon informe les victimes que leurs données ont été cryptées par Netwalker. Le seul moyen de récupérer les fichiers est d'acheter les outils/logiciels de décryptage aux cybercriminels à l'origine de l'infection. Pour ce faire, les utilisateurs doivent établir un contact avec les criminels. Cela doit se faire en ouvrant le site web du maliciel (son lien est indiqué dans la note) via le navigateur Tor. Bien que le décryptage de ce site puisse être testé en téléchargeant un fichier crypté. Les victimes sont également averties que l'arrêt ou le redémarrage du dispositif infecté et/ou la tentative de décryptage manuel - entraînera une perte de données permanente. La page web contient de plus amples informations sur l'infection, le paiement et le décryptage. La rançon est fixée à 26.50830000 BTC (Cryptomonnaie Bitcoin), mais si les victimes ne paient pas dans le délai imparti, elle sera doublée. Au taux de change actuel, cette somme vaut environ 230 000 USD (attention, les taux de change fluctuent constamment). Cependant, même si elle vise de grandes entreprises, cette rançon est nettement plus élevée que la norme ; ce qui rend cette infection d'autant plus suspecte que peu d'entités seraient prêtes à payer une telle somme. Contrairement à ce qui est indiqué dans la note de rançon, le site propose le décryptage gratuit de trois fichiers. Ces fichiers test ne peuvent pas dépasser 3 Mo, il doit également s'agir de petits fichiers de documents ou d'images (par exemple aux formats .jpg, jpeg, .png, .bmp, .doc, .docx). Malheureusement, dans de nombreux cas d'infection par des rançongiciels, le décryptage est impossible sans l'intervention des cybercriminels responsables. Cela peut être le cas si le programme malveillant est encore en cours de développement et/ou comporte des bogues (failles). Quoi qu'il en soit, il est expressément déconseillé de payer les criminels. Car souvent, malgré les demandes - les victimes ne reçoivent pas les outils de décryptage promis. Elles subissent donc une perte financière et leurs données restent cryptées. Pour éviter que NetWalker ne soit à nouveau crypté, il doit être éliminé du système d'exploitation. Cependant, la suppression ne permettra pas de restaurer les fichiers déjà affectés. La seule solution viable est de les récupérer à partir d'une sauvegarde, si celle-ci a été faite avant l'infection et a été stockée dans un endroit séparé.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

NetWalker decrypt instructions ([random-string]-Readme.txt)

OFFWHITE, ZorgoCry et Paymen45 sont quelques exemples d'autres programmes de type "rançongiciel". Ils cryptent les données et exigent un paiement pour le décryptage. Les différences essentielles entre ces programmes/infections comprennent : l'algorithme cryptographique qu'ils utilisent (symétrique ou asymétrique) et le montant de la rançon. Cette dernière se situe généralement entre trois et quatre chiffres, dans de rares cas - ils peut y avoir des sommes à cinq chiffres (USD). Les cybercriminels ont tendance à exiger que les paiements soient effectués dans des devises numériques (principalement des cryptomonnaies), car les transactions de ces dernières sont difficiles/impossibles à tracer. Pour éviter la perte de données, il est recommandé de conserver des sauvegardes dans des serveurs distants et/ou des dispositifs de stockage débranchés (de préférence, dans plusieurs endroits différents).

Comment un rançongiciel a-t-il infecté mon ordinateur ?

Les rançongiciels et autres maliciels sont principalement distribués par le biais de campagnes de spam, de chevaux de Troie, d'outils d'activation illégaux ("cracking"), de mises à jour illégitimes et de sources de téléchargement peu fiables. Les campagnes de spam sont utilisées pour envoyer des courriels trompeurs à grande échelle. Ce courrier contient des fichiers infectieux ou des liens de téléchargement de contenus malveillants. Les fichiers virulents peuvent être de différents formats (par exemple, documents Microsoft Office et PDF, fichiers d'archives et exécutables, JavaScript, etc.) et lorsqu'ils sont ouverts - le processus d'infection est lancé (c'est-à-dire le téléchargement et l'installation de maliciels). Certains logiciels malveillants de type trojan peuvent provoquer des infections en chaîne. Plutôt que d'activer un produit sous licence, les outils de "craquage" peuvent télécharger/installer des maliciels. Les fausses mises à jour provoquent des infections en exploitant les défauts de produits obsolètes et/ou en installant simplement des maliciels au lieu des mises à jour promises. Les contenus malveillants peuvent être téléchargés involontairement à partir de canaux peu fiables, par exemple des sites web non officiels et gratuits d'hébergement de fichiers (freeware), des réseaux de partage P2P (BitTorrent, Gnutella, eMule, etc.) et d'autres téléchargeurs tiers.

Résumé de la Menace :
Nom Virus NetWalker
Type de Menace Rançongiciel, Crypto Virus, Bloqueur de fichiers
Extension des Fichiers Cryptés L'extension est une chaine de caractères aléatoires
Message de Demande de Rançon [random-string]-Readme.txt
Montant de la Rançon 26.50830000 BTC (Cryptomonnaie Bitcoin)
Adresse du Portefeuille Electronique des Cyber Criminels 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN (Bitcoin)
Contact des Cyber Criminels Chat sur le site ou sur le réseau Tor
Noms de Détection AVG (Other:Malware-gen [Trj]), BitDefender (Trojan.PowerShell.Agent.GV), ESET-NOD32 (Une variante de Generik.CMKGJSA), Kaspersky (HEUR:Trojan.PowerShell.Generic), Liste complète des détections (VirusTotal)
Symptômes Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement sous forme de bitcoins) pour déverrouiller vos fichiers.
Méthodes de Distribution Pièces jointes de courrier électronique infectées (macros), sites web de torrents, publicités malveillantes.
Dommages Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Des chevaux de Troie voleurs de mots de passe et des maliciels peuvent être installés en même temps qu'une infection par un rançongiciel.
Suppression

Pour éliminer Virus NetWalker, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Malwarebytes.
▼ Télécharger Malwarebytes
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.

Comment se protéger contre les infections par les rançongiciels ?

Les courriels suspects et/ou non pertinents ne doivent pas être ouverts, en particulier les fichiers joints ou les liens qui s'y trouvent - en raison du risque d'infections possibles du système. Il est recommandé de ne télécharger que des fichiers provenant de sources officielles et vérifiées. En outre, il est important d'activer et de mettre à jour les produits avec des outils/fonctions fournis par des développeurs légitimes. L'utilisation d'outils d'activation illégaux ("cracks") et d'outils de mise à jour tiers est déconseillée, car ils font souvent proliférer des maliciels. Pour garantir la sécurité des appareils, il est primordial d'installer un antivirus/anti-espion fiable. De plus, ce logiciel doit être maintenu à jour, utilisé pour effectuer des analyses régulières du système et pour éliminer toutes les menaces détectées/potentielles. Si votre ordinateur est déjà infecté par NetWalker, nous vous recommandons de lancer un scan avec Malwarebytes pour éliminer automatiquement ce rançongiciel.

Texte présenté dans le fichier texte du rançongiciel NetWalker ("[random-string]-Readme.txt") :

Hi!
Your files are encrypted by Netwalker.
All encrypted files for this computer has extension:

--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down,
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised.
Rebooting/shutdown will cause you to lose files without the possibility of recovery.

--
Our  encryption algorithms are very strong and your files are very well protected,
the only way to get your files back is to cooperate with us and get the decrypter program.

Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover.

For us this is just business and to prove to you our seriousness, we will decrypt you one file for free.
Just open our website, upload the encrypted file and get the decrypted file for free.

--

Steps to get access on our website:

1.Download and install tor-browser: hxxps://torproject.org/

2.Open our website: pb36hu4spl6cyjdfhing7h3pw6dhpk32ifemawkujj4gp33ejzdq3did.onion
If the website is not available, open another one: rnfdsgm6wb6j6su5txkekw4u4y47kp2eatvu7d6xhyn5cs4lt4pdrqqd.onion

3.Put your personal code in the input form:

-

Apparence du site NetWalker (GIF) :

NetWalker ransomware website (GIF)

Texte présenté dans cette page :

"Payment" tab:


Your files are encrypted.
Only way to decrypt your files, is buy the decrypter program.
Your user key: 6DAC0A84, write it down and use it to log in again.
The system is fully automated. After payment you will automatically be able to download the decrypter.
Invoice for payment
You have left 3 days 9 hours 28 minutes 20 seconds
Status: Waiting for payment
You can buy the decrypter program for your network.
The amount before the increase is 250000$ (26.50830000 BTC).
If there is no payment before 07.05.20 [15:07], the price will increase by x2 times and will be 500000$ (53.01660000 BTC)
Decrypter for: ALL NETWORK / ALL COMPUTERS / ALL FILES
Bitcoin address: 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN
Amount for payment: 26.50830000 BTC
You payed: 0.00000000 BTC

 

"Free decrypt" tab:


For test we can upload and decrypt 3 images or document files free
File must be less than 3 megabyte.
Allow formats: .jpg, jpeg, .png, .bmp, .doc, .docx

Choose a file or drag it here


"FAQ" tab:


1. Where to buy bitcoin?
1) The fastest and most reliable way is to use the help of Cyber Security IT company, they will be able to solve all questions for you.
2) Buy bitcoins with cash, use google to search for sellers.
You will need a bitcoin wallet, we recommend using it: hxxps://login.blockchain.com/#/signup
3) The slowest way is to buy bitcoin on the exchange. The exchange requires verification, this process may take several days.
List of exchanges:
1) hxxps://localbitcoins.com
2) hxxps://blockchain.com
3) hxxps://www.coindesk.com
4) Other exchange.

 

2. How long after payment will I be able to get the decrypter program?
You will be able to download the decrypter program as soon as Your transaction has more 4 of confirmations.
This usually takes between 30 minutes and 3 hours.
(Depending on the size of the commission. Never specify a zero сommission, use an average/high сommission.)

 

3. I sent a message to the chat, how long to wait for a response?
The average response time to messages is 2 hours.
The maximum response time is 12 hours.

 

4. How can I make sure that you can decrypt my files?
When you log in, your user code or user key is checked and your keys are searched.
If you are logged in, your keys are found.
To make sure, you can decrypt 3 of photos (images) and document files for free in the "free decrypt" section

 

5. How can I make sure That you will give me the decrypter program after payment?
It's just business. We value our name, so after payment you are guaranteed to get the decrypter program.

 

6. How long does it take to decrypt files?
Decryption of files is a very fast process, it all depends on the number of encrypted files, as well as their location HDD/Network.

 

7. What if I can 't decrypt my files after receiving the decrypter program?
This is excluded, Your files will be 100% decrypted.
After payment, you will receive instructions for decryption along with the decrypter program.
We will answer any questions about decrypting files in the chat.
Along with the decrypt program, you get technical support.

 

"Chat" tab:

 

First, read the FAQ. If you still have questions, you can ask them to the operator.

Operator:
Hello! Can i help you?


You:
Hi
I am fail to do payment kindly help me do you have any other address where I can pay

Operator:
I update payment page. Now 1 invoice:
Bitcoin address: 3GJsUPkJpjo3ULFvio9N7Q81yShqQAfxXN
Amount for payment: 26.50830000 BTC

Capture d'écran de fichiers cryptés par NetWalker (extension de chaîne aléatoire) :

Files encrypted by NetWalker ransomware (random string extension)

Suppression du rançongiciel NetWalker :

Suppression instantanée automatique de Virus NetWalker: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Malwarebytes est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus NetWalker. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Malwarebytes Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide : 

Etape 1

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Safe Mode with Networking

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur redémarre dans le menu "Options de démarrage avancées". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Windows 8 Safe Mode with networking

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :

Utilisateurs Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" enfoncé sur votre clavier. Dans la fenêtre "Choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec la mise en réseau.

windows 10 safe mode with networking

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :

Etape 2

Connectez-vous au compte infecté par le virus NetWalker. Démarrez votre naviNetWalkerur Internet et téléchargez un programme anti-logiciel espion légitime. Mettez à jour le logiciel anti-logiciel espion et lancez une analyse complète du système. Supprimer toutes les entrées détectées.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau, essayez d'effectuer une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant "Mode sans échec avec invite de commande" et "Restauration système" :

1. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec invite de commandes dans la liste et appuyez sur ENTREE.

Boot your computer in Safe Mode with Command Prompt

2. Lorsque le mode Invite de commandes se charge, entrez la ligne suivante : cd restore et appuyez sur ENTREE.

system restore using command prompt type cd restore

3. Ensuite tapez : rstrui.exe et appuyez sur ENTREE.

system restore using command prompt rstrui.exe

4. Dans la fenêtre qui s'ouvre, cliquez sur "suivant".

restore system files and settings

5. Sélectionnez l'un des points de restauration disponibles et cliquez sur "Suivant" (ceci restaurera votre système informatique à une date et une heure antérieures, avant que le virus NetWalker ne se soit infiltré dans votre PC).

select a restore point

  1. Dans la fenêtre qui s'ouvre, cliquez sur "Oui".

run system restore

7. Après avoir restauré votre ordinateur à une date antérieure, téléchargez et scannez votre PC avec le logiciel de suppression des maliciels recommandé afin d'éliminer tous les fichiers NetWalker restants.

Pour restaurer des fichiers individuels cryptés par ce rançongiciel, essayez d'utiliser la fonction Versions précédentes de Windows. Cette méthode n'est efficace que si la fonction Restauration du système a été activée sur un système d'exploitation infecté. Notez que certaines variantes de NetWalker sont connues pour supprimer les copies Shadow Volume des fichiers, cette méthode peut donc ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquez avec le bouton droit de la souris, allez dans Propriétés et sélectionnez l'onglet Versions précédentes. Si le fichier concerné possède un point de restauration, sélectionnez-le et cliquez sur le bouton "Restaurer".

Restoring files encrypted by CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec avec Mise en réseau (ou avec Invite de commandes), démarrez votre ordinateur en utilisant un disque de secours. Certaines variantes de rançongiciel désactivent le mode sans échec, ce qui complique sa suppression. Pour cette étape, vous devez avoir accès à un autre ordinateur.

Pour reprendre le contrôle des fichiers cryptés par NetWalker, vous pouvez également essayer d'utiliser un programme appelé Shadow Explorer. Plus d'informations sur l'utilisation de ce programme sont disponibles ICI.

shadow explorer screenshot

Pour protéger votre ordinateur d'un tel rançongiciel de chiffrement de fichiers, utilisez des programmes antivirus et anti-logiciels espions réputés. Comme méthode de protection supplémentaire, vous pouvez utiliser les programmes HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des objets de stratégie de groupe dans le registre pour bloquer les programmes malveillants tels que le rançongiciel NetWalker.

Notez que Windows 10 Fall Creators Update inclut une fonction "Controlled Folder Access" qui bloque les tentatives de chiffrement de vos fichiers par un rançongiciel. Par défaut, cette fonction protège automatiquement les fichiers stockés dans les dossiers Documents, Images, Vidéos, Musique, Favoris ainsi que les dossiers du Bureau.

Controll Folder Access

Les utilisateurs de Windows 10 doivent installer cette mise à jour pour protéger leurs données contre les attaques par rançongiciel. Voici plus d'informations sur la façon d'obtenir cette mise à jour et d'ajouter une couche de protection supplémentaire contre les infections des rançongiciels.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralise toute tentative sans intervention de l'utilisateur :

hitmanproalert ransomware prevention application

Malwarebytes Anti-rançongiciel Beta utilise une technologie proactive avancée qui surveille l'activité du rançongiciel et y met fin immédiatement - avant d'atteindre les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages causés par les infections des rançongiciels est de maintenir des sauvegardes régulières et à jour. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données ICI.

D'autres outils connus pour supprimer le rançongiciel NetWalker :

Source: https://www.pcrisk.com/removal-guides/17729-netwalker-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Virus NetWalker Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Virus NetWalker sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Virus NetWalker aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Malwarebytes

Plateforme: Windows

Note de l’éditeur pour Malwarebytes:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.