Table des matières
Ces dernières années, les cybercriminels ont diffusé un nouveau type de virus capable de crypter les fichiers de votre ordinateur (ou de votre réseau) dans le but de soutirer de l'argent facile à leurs victimes. Ce type de virus est appelé "Ransomware" et peut infecter les systèmes informatiques si l'utilisateur de l'ordinateur ne fait pas attention lorsqu'il ouvre des pièces jointes ou des liens provenant d'expéditeurs inconnus ou de sites qui ont été piratés par des tiers.Selon mon expérience, le seul moyen sûr de se protéger contre ce type de virus est d'avoir des sauvegardes propres de vos fichiers, stockées dans un endroit séparé de votre ordinateur, par exemple sur un disque dur USB externe débranché ou sur des DVD-Rom.
Cet article contient des informations importantes sur certains virus ransomware -crypt- connus pour crypter des fichiers critiques, ainsi que les options et utilitaires disponibles pour décrypter vos fichiers cryptés après l'infection. J'ai écrit cet article afin de conserver toutes les informations sur les outils de décryptage disponibles en un seul endroit et j'essaierai de maintenir cet article à jour. Veuillez partager.avec nous votre expérience et toute autre nouvelle information que vous pourriez connaître afin de nous aider mutuellement.
Comment décrypter les fichiers cryptés par un ransomware - Description et outils de décryptage connus - Méthodes :
- NOM DE RANSOWARE CryptowallCryptoDefense & How_DecryptCryptorbit ou HowDecryptCryptolocker (Troj/Ransom-ACP", "Trojan.Ransomcrypt.F)CryptXXX V1, V2, V3 (Variantes : .crypt , crypz, ou 5 caractères hexadécimaux)Locky & AutoLocky (Variantes : .locky)Trojan-Ransom.Win32.RectorTrojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.VandevTrojan-Ransom.Win32.RakhniTrojan-Ransom.Win32.Rannoh ou Trojan-Ransom.Win32.Cryakl.TeslaCrypt(Variantes : .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)TeslaCrypt 3.0 (Variantes : .xxx, .ttt, .micro, .mp3)TeslaCrypt 4.0 (Nom de fichier et extension inchangés)
Mises à jour en juin 2016 :
Trend Micro a publié un outil de décryptage des fichiers de ransomware pour tenter de décrypter les fichiers cryptés par les familles de ransomware suivantes :
CryptXXX V1, V2, V3* .crypt , crypz, ou 5 caractères hexadécimaux
CryptXXX V4, V5 .5 Caractères hexadécimaux
TeslaCrypt V1 .ECC
TeslaCrypt V2 .VVV, CCC, ZZZ, AAA, ABC, XYZ
TeslaCrypt V3 .XXX ou TTT ou MP3 ou MICRO
TeslaCrypt V4 . SNSLocker .RSNSLocked
AutoLocky .locky
BadBlock 777 .777
XORIST .xorist ou extension aléatoire
XORBAT .crypté
CERBER V1 <10 Caractères aléatoires>.cerber
Stampado .verrouillé
Nemucod .crypté
Chimère .crypt
* Note : S'applique à CryptXXX V3 ransomware : En raison du cryptage avancé de ce Crypto-Ransomware particulier, seul un décryptage partiel des données est actuellement possible sur les fichiers affectés par CryptXXX V3, et vous devez utiliser un outil de réparation tiers pour réparer vos fichiers comme : http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Pour télécharger l'outil Ransomware File Decrypter de Trend Micro (et lire les instructions d'utilisation), rendez-vous sur cette page : Téléchargement et utilisation du Trend Micro Ransomware File Decryptor
2. Kasperky a publié les outils de décryptage suivants :
A. L'outil RakhniDecryptor de Kaspersky est conçu pour décrypter les fichiers affectés par* :
Remarque : l'utilitaire RakhniDecryptor est toujours mis à jour pour décrypter les fichiers de plusieurs familles de ransomware.
Rakhni
Agent.iih
Aura
Autoit
Pletor
Rotor
Lamer
Lortok
Cryptokluchen
Démocratie
Bitman - TeslaCrypt version 3 et 4
B. L'outil RannohDecryptor de Kaspersky est conçu pour décrypter les fichiers affectés par le :
Rannoh
AutoIt
Fury
Crybola
Cryakl
CryptXXX versions 1 et 2
Cryptowalll - Informations sur le virus et options de décryptage.
Le site Cryptowall (ou " Cryptowall Decrypter ") est la nouvelle variante du virus Cryptodefense Lorsqu'un ordinateur est infecté par un virus de type ransomware. Cryptowall tous les fichiers essentiels de l'ordinateur (y compris les fichiers sur les lecteurs mappés -réseau- si vous êtes connecté à un réseau) sont cryptés avec un cryptage fort qui rend leur décryptage pratiquement impossible. Cryptowall Ensuite, les criminels informent leurs victimes que tous leurs fichiers importants sont cryptés et que la seule façon de les décrypter est de payer une rançon de 500 $ (ou plus) dans un délai déterminé, sinon la rançon sera doublée ou leurs fichiers seront perdus.en permanence.
Comment décrypter les fichiers infectés par Cryptowall et récupérer vos fichiers :
Si vous voulez décrypter Cryptowall fichiers cryptés et récupérer vos fichiers, alors vous avez ces options :
A. La première option est de payer la rançon. Si vous décidez de le faire, procédez au paiement à vos risques et périls car, d'après nos recherches, certains utilisateurs récupèrent leurs données et d'autres pas. Gardez à l'esprit que les criminels ne sont pas les personnes les plus dignes de confiance de la planète.
B. La deuxième option consiste à nettoyer l'ordinateur infecté, puis à restaurer vos fichiers infectés à partir d'une sauvegarde propre (si vous en avez une).
C. Si vous ne disposez pas d'une sauvegarde propre, la seule option qui reste est de restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "Notez que cette procédure ne fonctionne que dans les systèmes d'exploitation Windows 8, Windows 7 et Vista et seulement si l'option " Restauration du système La fonction " " a été précédemment activée sur votre ordinateur et n'a pas été désactivée après l'installation de l'outil de gestion des données. Cryptowall l'infection.
- Lien de référence : Comment restaurer vos fichiers à partir de Shadow Copies.
Une analyse détaillée de Cryptowall L'infection par le ransomware et sa suppression sont décrites dans cet article :
- Comment supprimer le virus CryptoWall et restaurer vos fichiers ?
CryptoDefense & How_Decrypt - Information sur les virus et décryptage.
Cryptodefense est un autre virus de type ransomware qui peut crypter tous les fichiers de votre ordinateur, quelle que soit leur extension (type de fichier), avec un cryptage fort qui rend pratiquement impossible leur décryptage. Le virus peut désactiver la fonction " Restauration du système "sur l'ordinateur infecté et peut supprimer tous les " Copies de volume fantôme "En cas d'infection, vous ne pouvez pas restaurer vos fichiers dans leur version précédente. Cryptodefense ransomware virus, crée deux fichiers sur chaque dossier infecté ("How_Decrypt.txt" et "How_Decrypt.html") avec des instructions détaillées sur la façon de payer la rançon afin de décrypter vos fichiers et envoie la clé privée (mot de passe) à un serveur privé afin d'être utilisé par le criminel pour décrypter vos fichiers.
Une analyse détaillée de Cryptodefense L'infection par le ransomware et sa suppression sont décrites dans cet article :
- Comment supprimer le virus CryptoDefense et restaurer vos fichiers ?
Comment décrypter les fichiers cryptés par Cryptodefense et récupérer vos fichiers :
Afin de décrypter Cryptodefense les fichiers infectés, vous disposez des options suivantes :
A. La première option est de payer la rançon. Si vous décidez de le faire, procédez au paiement à vos risques et périls car, d'après nos recherches, certains utilisateurs récupèrent leurs données et d'autres pas. Gardez à l'esprit que les criminels ne sont pas les personnes les plus dignes de confiance de la planète.
B. La deuxième option consiste à nettoyer l'ordinateur infecté, puis à restaurer vos fichiers infectés à partir d'une sauvegarde propre (si vous en avez une).
C. Si vous ne disposez pas d'une sauvegarde propre, vous pouvez essayer de restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "Notez que cette procédure ne fonctionne que dans les systèmes d'exploitation Windows 8, Windows 7 et Vista et seulement si l'icône " Restauration du système La fonction " " a été précédemment activée sur votre ordinateur et n'a pas été désactivée après l'installation de l'outil de gestion des données. Cryptodefense l'infection.
- Lien de référence : Comment restaurer vos fichiers à partir de Shadow Copies.
D. Enfin, si vous ne disposez pas d'une sauvegarde propre et que vous n'êtes pas en mesure de restaurer vos fichiers à partir de " Copies fantômes ", alors vous pouvez essayer de décrypter Cryptodefense les fichiers cryptés en utilisant le Le décrypteur d'Emsisoft utilité. Pour faire ça :
Avis important : Cet utilitaire ne fonctionne que pour les ordinateurs infectés avant le 1er avril 2014.
1. télécharger “ Emsisoft Decrypter " sur votre ordinateur (par exemple, votre ordinateur de bureau). Bureau ).
2. Une fois le téléchargement terminé, accédez à votre Bureau et " Extrait " le " decrypt_cryptodefense.zip " fichier.
3. Maintenant double-cliquez sur pour exécuter le " décryptage_cryptodefense " utilitaire.
4. Enfin, appuyez sur le bouton " Décryptage "pour décrypter vos fichiers.
Source - Informations complémentaires : Un tutoriel détaillé sur la façon de décrypter les fichiers cryptés de CryptoDefense en utilisant les outils suivants Le décrypteur d'Emsisoft L'utilité peut être trouvée ici : http://www.bleepingcomputer.com/virus-removal/cryptodefense-ransomware-information#emsisoft
Cryptorbit ou HowDecrypt - Information sur les virus et décryptage.
Cryptorbit ou HowDecrypt est un virus ransomware qui peut crypter tous les fichiers de votre ordinateur. Une fois que votre ordinateur est infecté par le virus Cryptorbit tous vos fichiers essentiels sont cryptés, quelle que soit leur extension (type de fichier), avec un cryptage fort qui rend leur décryptage pratiquement impossible. Le virus crée également deux fichiers dans chaque dossier infecté de votre ordinateur (" HowDecrypt.txt " et " HowDecrypt.gif ") avec des instructions détaillées sur la façon dont vous pouvez payer la rançon et décrypter vos fichiers.
Une analyse détaillée de Cryptorbit L'infection par le ransomware et sa suppression sont décrites dans cet article :
- Comment supprimer le virus Cryptorbit (HOWDECRYPT) et restaurer vos fichiers
Comment décrypter les fichiers infectés par Cryptorbit et récupérer vos fichiers :
Afin de décrypter Cryptorbit fichiers cryptés, vous avez ces options :
A. La première option est de payer la rançon. Si vous décidez de le faire, procédez au paiement à vos risques et périls car, selon nos recherches, certains utilisateurs récupèrent leurs données et d'autres non.
B. La deuxième option consiste à nettoyer l'ordinateur infecté, puis à restaurer vos fichiers infectés à partir d'une sauvegarde propre (si vous en avez une).
C. Si vous ne disposez pas d'une sauvegarde propre, vous pouvez essayer de restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "Notez que cette procédure ne fonctionne que dans les systèmes d'exploitation Windows 8, Windows 7 et Vista et seulement si l'option " Restauration du système La fonction " " a été précédemment activée sur votre ordinateur et n'a pas été désactivée après l'installation de l'outil de gestion des données. Cryptorbit l'infection.
- Lien de référence : Comment restaurer vos fichiers à partir de Shadow Copies.
D. Enfin, si vous ne disposez pas d'une sauvegarde propre et que vous n'êtes pas en mesure de restaurer vos fichiers à partir de " Copies fantômes ", alors vous pouvez essayer de décrypter Cryptorbit's les fichiers cryptés en utilisant le Anti-CryptorBit utilité. Pour faire ça :
1. télécharger “ Anti-CryptorBit " sur votre ordinateur (par exemple, votre ordinateur de bureau). Bureau )
2. Une fois le téléchargement terminé, accédez à votre Bureau et " Extrait " le " Anti-CryptorBitV2.zip " fichier.
3. Maintenant double-cliquez sur pour exécuter le Anti-CryptorBitv2 utilitaire.
4. Choisissez le type de fichiers que vous voulez récupérer (par exemple, "JPG").
5. Choisissez enfin le dossier qui contient les fichiers corrompus/chiffrés (JPG) et appuyez sur le bouton " ". Début "pour les corriger.
Cryptolocker - Information sur les virus et décryptage.
Cryptolocker (également connu sous le nom de " Troj/Ransom-ACP ", " Trojan.Ransomcrypt.F ") est un méchant virus Ransomware (TROJAN) et lorsqu'il infecte votre ordinateur, il crypte tous les fichiers indépendamment de leur extension (type de fichier). La mauvaise nouvelle avec ce virus est que, une fois qu'il a infecté votre ordinateur, vos fichiers critiques sont cryptés avec un cryptage fort et il est pratiquement impossible de les décrypter. Une fois qu'un ordinateur est infecté par le virus Cryptolocker, alors un message d'informationapparaît sur l'ordinateur de la victime et exige un paiement (rançon) de 300$ (ou plus) afin de décrypter vos fichiers.
Une analyse détaillée de Cryptolocker L'infection par le ransomware et sa suppression sont décrites dans cet article :
- Comment supprimer CryptoLocker Ransomware et restaurer vos fichiers ?
Comment décrypter les fichiers infectés par Cryptolocker et récupérer vos fichiers :
Afin de décrypter Cryptolocker les fichiers infectés, vous disposez des options suivantes :
A. La première option est de payer la rançon. Si vous décidez de le faire, procédez au paiement à vos risques et périls car, selon nos recherches, certains utilisateurs récupèrent leurs données et d'autres non.
B. La deuxième option consiste à nettoyer l'ordinateur infecté, puis à restaurer vos fichiers infectés à partir d'une sauvegarde propre (si vous en avez une).
C. Si vous ne disposez pas d'une sauvegarde propre, vous pouvez essayer de restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "Notez que cette procédure ne fonctionne que dans les systèmes d'exploitation Windows 8, Windows 7 et Vista et seulement si l'option " Restauration du système La fonction " " a été précédemment activée sur votre ordinateur et n'a pas été désactivée après l'installation de l'outil de gestion des données. Cryptolocker l'infection.
- Lien de référence : Comment restaurer vos fichiers à partir de Shadow Copies.
D. En août 2014, FireEye et Fox-IT ont publié un nouveau service qui récupère la clé de décryptage privée pour les utilisateurs infectés par le ransomware CryptoLocker. Ce service s'appelle DecryptCryptoLocker ' (le service a été interrompu), il est disponible dans le monde entier et ne nécessite pas que les utilisateurs s'inscrivent ou fournissent des informations de contact pour l'utiliser.
Pour utiliser ce service, vous devez vous rendre sur ce site (le service a été interrompu) et télécharger un fichier CryptoLocker crypté à partir de l'ordinateur infecté (remarque : téléchargez un fichier qui ne contient pas d'informations sensibles et/ou privées). Ensuite, vous devez indiquer une adresse électronique afin de recevoir votre clé privée et un lien pour télécharger l'outil de décryptage. Enfin, lancez le programmeTéléchargez l'outil de décryptage CryptoLocker (en local sur votre ordinateur) et entrez votre clé privée pour décrypter vos fichiers cryptés par CryptoLocker.
Vous trouverez plus d'informations sur ce service ici : FireEye et Fox-IT annoncent un nouveau service pour aider les victimes de CryptoLocker.
CryptXXX V1, V2, V3 (Variantes : .crypt , crypz, ou 5 caractères hexadécimaux).
- CryptXXX V1 & CryptXXX V2 ransomware crypte vos fichiers et ajoute l'extension ".crypt" à la fin de chaque fichier après l'infection. CryptXXX v3 ajoute l'extension ".cryptz" après le cryptage de vos fichiers.
Le cheval de Troie CryptXXX crypte les types de fichiers suivants :
.3DM, .3DS, .3G2, .3GP, .7Z, .ACCDB, .AES, .AI, .AIF, .APK, .APP, .ARC, .ASC, .ASF, .ASM, .ASP, .ASPX, ASX, .AVI, .BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .CLASS, .CMD, .CPP, .CRT, .CS, .CSR, .CSS, .CSV, .CUE, .DB, .DBF, .DCH, .DCU, .DDS, .DIF, .DIP, .DJV, .DJVU, .DOC, .DOCB, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DTD, .DWG, .DXF, .EML, .EPS, .FDB, .FLA, .FLV, .FRM, .GADGET, .GBK, .GBR,.GED, .GIF, .GPG, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .IBD, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .JKS, .JPG, .JS, .JSP, .KEY, .KML, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, .M3U, .M4A, .M4V, .MAX, .MDB, .MDF, .MFD, .MID, .MKV, .MML, .MOV, .MP3, .MP4, .MPA, .MPG, .MS11, .MSI, .MYD, .MYI, .NEF, .NOTE, .OBJ, .ODB, .ODG, .ODP, .ODS, .ODT, .OTG, .OTP, .OTS, .OTT, .P12, .PAGES, .PAQ, .PAS, .PCT, .PDB, .PDF,.PEM, .PHP, .PIF, .PL, .PLUGIN, .PNG, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIV, .PRIVAT, .PS, PSD, .PSPIMAGE, .PY, .QCOW2, .RA, .RAR, .RAW, .RM, .RSS, .RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK, .SLN, .SQL, .SQLITE, .SQLITE, .SRT, .STC, .STD, .STI, .STW, .SVG, .SWF, .SXC, .SXD, .SXI, .SXM, .SXW, .TAR, .TBK, .TEX, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .TMP, .TXT,.UOP, .UOT, .VB, .VBS, .VCF, .VCXPRO, .VDI, .VMDK, .VMX, .VOB, .WAV, .WKS, .WMA, .WMV, .WPD, .WPS, .WSF, .XCODEPROJ, .XHTML, .XLC, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .YUV, .ZIP, .ZIPX
Comment décrypter les fichiers CryptXXX.
Si vous êtes infecté par CryptXXX Version 1 ou Version 2, utilisez l'outil RannohDecryptor de Kaspersky pour décrypter vos fichiers.
Si vous êtes infecté par CryptXXX Version 3, utilisez le Ransomware File Decryptor de Trend Micro *.
Note : En raison du cryptage avancé du virus CryptXXX V3, seul un décryptage partiel des données est actuellement possible et vous devez utiliser un outil de réparation tiers pour réparer vos fichiers comme : http://www.stellarinfo.com/file-repair/file-repair-toolkit.php.
Locky & AutoLocky (Variantes : .locky)
Locky crypte vos fichiers à l'aide des techniques de cryptage RSA-2048 et AES-128. Après l'infection, tous vos fichiers sont renommés avec un nom de fichier unique de 32 caractères portant l'extension ".locky" (par exemple, ".locky"). 1E776633B7E6DFE7ACD1B1A5E9577BCE.locky "). Locky peut infecter des lecteurs locaux ou en réseau et, pendant l'infection, crée un fichier nommé " _HELP_instructions.html "sur chaque dossier infecté, avec des instructions sur la façon de payer la rançon et de décrypter vos fichiers à l'aide du navigateur TOR.
AutoLocky est une autre variante du virus Locky. La principale différence entre Locky et Autolocky est qu'Autolocky ne modifie pas le nom original du fichier pendant l'infection (par exemple, si un fichier est nommé " Document1.doc "avant l'infection, l'Autolocky le renomme en " Document1.doc.locky ")
Comment décrypter les fichiers .LOCKY :
- La première option consiste à nettoyer l'ordinateur infecté, puis à restaurer vos fichiers infectés à partir d'une sauvegarde propre (si vous en avez une). La deuxième option, si vous n'avez pas de sauvegarde propre, consiste à restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "Comment restaurer vos fichiers à partir de Shadow Copies. La troisième option est d'utiliser le Decrypter for AutoLocky d'Emsisoft pour décrypter vos fichiers. Autolocky ) .
Trojan-Ransom.Win32.Rector - Information sur les virus et décryptage.
Le site Recteur de Troie crypte les fichiers avec les extensions suivantes : .doc , .jpg , .pdf .rar , et après l'infection il les rend inutilisables. Une fois que vos fichiers sont infectés avec Recteur troyen, alors les extensions des fichiers infectés sont changées en .VSCRYPT , .INFECTÉ , . KORREKTOR ou .BLOC et cela les rend inutilisables. Lorsque vous essayez d'ouvrir les fichiers infectés, un message en caractères cyrilliques s'affiche sur votre écran, contenant la demande de rançon et les détails du paiement. Le cybercriminel qui fait le Recteur de Troie appelé "††† KOPPEKTOP †† et demande de communiquer avec lui par e-mail ou ICQ (EMAIL : [email protected] / ICQ : 557973252 ou 481095) pour lui donner des instructions sur la façon de débloquer vos fichiers.
Comment décrypter les fichiers infectés par Trojan Rector et récupérer vos fichiers :
Conseil : Copiez tous les fichiers infectés dans un répertoire distinct et fermez tous les programmes ouverts avant de procéder à l'analyse et au décryptage des fichiers concernés.
1. Télécharger Rector Decryptor (de Kaspersky Labs) sur votre ordinateur.
2. Lorsque le téléchargement est terminé, exécutez RectorDecryptor.exe.
3. Appuyez sur la touche " Démarrer le scan Le bouton " " permet de rechercher les fichiers cryptés sur vos disques.
4. Laissez le RectorDecryptor pour analyser et décrypter les fichiers cryptés (avec des extensions .vscrypt, .infected, .bloc, .korrektor) puis sélectionnez l'option " Suppression des fichiers cryptés après décryptage " si le décryptage a réussi. *
Après le décryptage, vous pouvez trouver un journal de rapport du processus de numérisation/décryptage à la racine de votre lecteur C:\ (par exemple " C:\RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt ").
5. Enfin, continuez à vérifier et à nettoyer votre système des programmes malveillants qui peuvent s'y trouver.
Source - Informations complémentaires : http://support.kaspersky.com/viruses/disinfection/4264#block2
Trojan-Ransom. Win32.Xorist, Trojan-Ransom.MSIL.Vandev - Informations sur le virus et décryptage.
Le site Trojan Ransom Xorist & Trojan Ransom Valdev crypte les fichiers avec les extensions suivantes :
doc, xls, docx, xlsx, db, mp3, waw, jpg, jpeg, txt, rtf, pdf, rar, zip, psd, msi, tif, wma, lnk, gif, bmp, ppt, pptx, docm, xlsm, pps, ppsx, ppd, tiff, eps, png, ace, djvu, xml, cdr, max, wmv, avi, wav, mp4, pdd, html, css, php, aac, ac3, amf, amr, mid, midi, mmf, mod, mp1, mpa, mpga, mpu, nrt, oga, ogg, pbf, ra, ram, raw, saf, val, wave, wow, wpk, 3g2, 3gp, 3gp2, 3mm, amx, avs, bik, bin, dir,divx, dvx, evo, flv, qtq, tch, rts, rum, rv, scn, srt, stx, svi, swf, trp, vdo, wm, wmd, wmmp, wmx, wvx, xvid, 3d, 3d4, 3df8, pbs, adi, ais, amu, arr, bmc, bmf, cag, cam, dng, ink, jif, jiff, jpc, jpf, jpw, mag, mic, mip, msp, nav, ncd, odc, odi, opf, qif, qtiq, srf, xwd, abw, act, adt, aim, ans, asc, ase, bdp, bdr, bib, boc, crd, diz, dot, dotm, dotx, dvi, dxe, mlx, err, euc, faq, fdr, fds, gthr,idx, kwd, lp2, ltr, man, mbox, msg, nfo, now, odm, oft, pwi, rng, rtx, run, ssa, text, unx, wbk, wsh, 7z, arc, ari, arj, car, cbr, cbz, gz, gzig, jgz, pak, pcv, puz, r00, r01, r02, r03, rev, sdn, sen, sfs, sfx, sh, shar, shr, sqx, tbz2, tg, tlz, vsi, wad, war, xpi, z02, z04, zap, zipx, zoo, ipa, isu, jar, js, udf, adr, ap, aro, asa, ascx, ashx, asmx, asp, aspx, asr, atom, bml, cer, cms, crt, dap,htm, moz, svr, url, wdgt, abk, bic, big, blp, bsp, cgf, chk, col, cty, dem, elf, ff, gam, grf, h3m, h4r, iwd, ldb, lgp, lvl, map, md3, mdl, mm6, mm7, mm8, nds, pbp, ppf, pwf, pxp, sad, sav, scm, scx, sdt, spr, sud, uax, umx, unr, uop, usa, usx, ut2, ut3, utc, utx, uvx, uxx, vmf, vtf, w3g, w3x, wtd, wtf, ccd, cd, cso, disk, dmg, dvd, fcd, flp, img, iso, isz, md0, md1, md2, mdf, mds, nrg, nri, vcd,vhd, snp, bkf, ade, adpb, dic, cch, ctt, dal, ddc, ddcx, dex, dif, dii, itdb, itl, kmz, lcd, lcf, mbx, mdn, odf, odp, ods, pab, pkb, pkh, pot, potx, pptm, psa, qdf, qel, rgn, rrt, rsw, rte, sdb, sdc, sds, sql, stt, t01, t03, t05, tcx, thmx, txd, txf, upoi, vmt, wks, wmdb, xl, xlc, xlr, xlsb, xltx, ltm, xlwx, mcd, cap, cc, cod, cp, cpp, cs, csi, dcp, dcu, dev, dob, dox, dpk, dpl, dpr, dsk, dsp,eql, ex, f90, fla, for, fpp, jav, java, lbi, owl, pl, plc, pli, pm, res, rnc, rsrc, so, swd, tpu, tpx, tu, tur, vc, yab, 8ba, 8bc, 8be, 8bf, 8bi8, bi8, 8bl, 8bs, 8bx, 8by, 8li, aip, amxx, ape, api, mxp, oxt, qpx, qtr, xla, xlam, xll, xlv, xpt, cfg, cwf, dbb, slt, bp2, bp3, bpl, clr, dbx, jc, potm, ppsm, prc, prt, shw, std, ver, wpl, xlm, yps, md3.
Après l'infection, Trojan Ransom Xorist compromet la sécurité de votre ordinateur, le rend instable et affiche sur votre écran des messages réclamant une rançon afin de décrypter les fichiers infectés. Ces messages contiennent également des informations sur la manière de payer la rançon afin d'obtenir l'utilitaire de décryptage des cybercriminels.
Comment décrypter les fichiers infectés par le Trojan Win32.Xorist ou le Trojan MSIL.Vandev :
Conseil : Copiez tous les fichiers infectés dans un répertoire distinct et fermez tous les programmes ouverts avant de procéder à l'analyse et au décryptage des fichiers concernés.
1. Télécharger Décrypteur de Xorist (de Kaspersky Labs) sur votre ordinateur.
2. Lorsque le téléchargement est terminé, exécutez XoristDecryptor.exe .
Note : Si vous souhaitez supprimer les fichiers cryptés une fois le décryptage terminé, cliquez sur le bouton " ". Modifier les paramètres "et vérifiez l'option " Suppression des fichiers cryptés après décryptage "La case à cocher sous " Options supplémentaires ”.
3. Appuyez sur la touche " Démarrer le scan bouton ".
4. Saisissez le chemin d'accès d'au moins un fichier crypté, puis attendez que l'utilitaire décrypte les fichiers cryptés.
5. Si le décryptage a réussi, redémarrez votre ordinateur, puis analysez et nettoyez votre système des programmes malveillants qui peuvent s'y trouver.
Source - Informations complémentaires : http://support.kaspersky.com/viruses/disinfection/2911#block2
Trojan-Ransom.Win32.Rakhni - Information sur le virus et décryptage.
Le site Trojan Ransom Rakhni crypte les fichiers en modifiant les extensions des fichiers comme suit :
... ... ... ... ... ... ... ..pizda@qq_com
Après le cryptage, vos fichiers sont inutilisables et la sécurité de votre système est compromise. De même, le Trojan-Ransom.Win32.Rakhni crée un fichier sur votre %APPDATA% dossier nommé " sortie.hhr.oshit "qui contient le mot de passe crypté des fichiers infectés.
Attention : Le site Trojan-Ransom.Win32.Rakhni crée le " sortie.hhr.oshit "Si ce fichier reste sur l'ordinateur, il sera décrypté à l'aide de la fonction RakhniDecryptor Si le fichier a été supprimé, il peut être récupéré à l'aide d'utilitaires de récupération de fichiers. Une fois le fichier récupéré, mettez-le dans le dossier de l'utilisateur. %APPDATA% et lancez à nouveau l'analyse avec l'utilitaire.
%APPDATA% l'emplacement du dossier :
- Windows XP : C:\Documents and Settings\\N- Application Data Windows 7/8 : C:\Users\\\N- AppData\N- Roaming
Comment décrypter les fichiers infectés par le Trojan Rakhni et récupérer vos fichiers :
1. Télécharger Décrypteur de Rakhni (de Kaspersky Labs) sur votre ordinateur.
2. Lorsque le téléchargement est terminé, exécutez RakhniDecryptor.exe .
Note : Si vous souhaitez supprimer les fichiers cryptés une fois le décryptage terminé, cliquez sur le bouton " ". Modifier les paramètres "et vérifiez l'option " Suppression des fichiers cryptés après décryptage "La case à cocher sous " Options supplémentaires ”.
3. Appuyez sur la touche " Démarrer le scan Le bouton " " permet de rechercher les fichiers cryptés sur vos disques.
4. Entrez le chemin d'accès d'au moins un fichier crypté (par exemple " fichier.doc.verrouillé "), puis attendez que l'utilitaire récupère le mot de passe à partir du " sortie.hhr.oshit "(attention au fichier Avertissement ) et décrypte vos fichiers.
Source - Informations complémentaires : http://support.kaspersky.com/viruses/disinfection/10556#block2
Trojan-Ransom.Win32.Rannoh (Trojan-Ransom.Win32.Cryakl) - Information sur le virus et décryptage.
Le site Trojan Rannoh ou Trojan Cryakl crypte tous les fichiers de votre ordinateur de la manière suivante :
- En cas de Trojan-Ransom.Win32.Rannoh infection, les noms de fichiers et les extensions seront modifiés en fonction du modèle verrouillé... En cas d'une Trojan-Ransom.Win32.Cryakl la balise {CRYPTENDBLACKDC} est ajoutée à la fin des noms de fichiers.
Comment décrypter les fichiers infectés par le Trojan Rannoh ou le Trojan Cryakl et récupérer vos fichiers :
Important : Le site Décrypteur de Rannoh décrypte les fichiers en comparant un fichier crypté et un fichier décrypté. Ainsi, si vous souhaitez utiliser l'utilitaire Décrypteur de Rannoh pour décrypter les fichiers, vous devez posséder une copie originale d'au moins un fichier crypté avant l'infection (par exemple, à partir d'une sauvegarde propre).
1. Télécharger Décrypteur de Rannoh sur votre ordinateur.
2. Lorsque le téléchargement est terminé, exécutez RannohDecryptor.exe
Note : Si vous souhaitez supprimer les fichiers cryptés une fois le décryptage terminé, cliquez sur le bouton " ". Modifier les paramètres "et vérifiez l'option " Suppression des fichiers cryptés après décryptage "La case à cocher sous " Options supplémentaires ”.
3. Appuyez sur la touche " Démarrer le scan bouton ".
4. Lire la " Informations requises "et cliquez ensuite sur " Continuer "et indiquez le chemin d'accès à une copie originale d'au moins un fichier crypté avant l'infection (clean - original - file) et le chemin d'accès au fichier crypté (infected - encrypted -file).
5. Après le décryptage, vous pouvez trouver un journal de rapport du processus de numérisation/décryptage à la racine de votre lecteur C:³ (par exemple " C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt ").
Source - Informations complémentaires : http://support.kaspersky.com/viruses/disinfection/8547#block1
TeslaCrypt (Variantes : .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv)
Le site TeslaCrypt ransomware ajoute les extensions suivantes à vos fichiers : .ecc, .ezz, .exx, .xyz, .zzz,. aaa, .abc, .ccc, & .vvv.
Comment décrypter les fichiers TeslaCrypt :
Si vous êtes infecté par le virus TeslaCrypt, utilisez l'un de ces outils pour décrypter vos fichiers :
- TeslaDecoder : Plus d'informations et d'instructions sur l'utilisation de la technologie TeslaDecoder. TeslaDecoder se trouve dans cet article : http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/Trend Micro Ransomware File Decryptor.
TeslaCrypt V3.0 (Variantes : .xxx, .ttt, .micro, .mp3)
Le site TeslaCrypt 3.0 Le virus ransomware ajoute les extensions suivantes à vos fichiers : .xxx, .ttt, .micro et .mp3.
Comment décrypter les fichiers TeslaCrypt V3.0 :
Si vous êtes infecté par TeslaCrypt 3.0 puis essayez de récupérer vos fichiers avec :
- Outil de décryptage de fichiers Ransomware de Trend's Micro.RakhniDecryptor (Guide d'utilisation)Tesla Decoder (Guide d'utilisation)Tesladecrypt - McAfee
TeslaCrypt V4.0 (Le nom et l'extension du fichier sont inchangés)
Pour décrypter les fichiers TeslaCrypt V4, essayez l'un des utilitaires suivants :
- Trend's Micro Ransomware File Decryptor tool.RakhniDecryptor (Guide d'utilisation)Tesla Decoder (Guide d'utilisation)
Andy Davis
Blog d'un administrateur système sur Windows
