Table des matières
CryptoWall est un autre méchant virus ransomware qui infecte les systèmes d'exploitation Windows. Il s'agit de la version mise à jour du virus CryptoDefense ransomware. Comme un bon "enfant", il conserve ses capacités d'origine, ainsi que certaines nouvelles. CryptoWall crypte tous vos fichiers et les maintient verrouillés. Il est impossible de les utiliser tant que vous n'avez pas payé la rançon demandée. CryptoWall peut crypter tous les types de fichiers connus (documents, PDF, photos, vidéos, etc.) sur tous les lecteurs ou emplacements de stockage connectés. Cela signifie qu'il peut infecter (crypter) tous les fichiers du ou des lecteurs locaux ou du réseau, même dans les systèmes de stockage en nuage (par exemple Google Drive, Dropbox, Box, etc.). Cryptowall le fait en ajoutant un cryptage fort (RSA 2048) sur chaque fichier. En d'autres termes, vous ne pouvez plus ouvrir - ou travailler avec - vos fichiers.
Après Cryptowall l'infection, le virus crée plusieurs fichiers dans chaque dossier infecté, nommés D ECRYPT_INSTRUCTION.txt , DECRYPT_INSTRUCTION.html et DECRYPT_INSTRUCTION.url qui contiennent des notes sur la façon de payer la rançon afin de décrypter les fichiers cryptés en suivant une procédure spécifique utilisant le navigateur Internet Tor.
Le site Cryptowall' La rançon est fixée à 500$ (en BitCoins), si vous la payez dans le délai imparti, sinon la rançon sera augmentée à 1000$. Après paiement, les pirates vous enverront votre clé de décryptage privée qui peut - soi-disant - décrypter vos fichiers. Le problème ici est que même si vous payez la rançon, vous ne pouvez pas être sûr que vos fichiers seront restaurés. La seule garantie est que votre argent ira à un pirate.qui continueront à faire la même chose aux autres victimes.
L'intégralité CryptoWall Le message d'information est le suivant :
“
Qu'est-il arrivé à vos fichiers ?
Tous vos fichiers ont été protégés par un cryptage fort avec RSA-2048 en utilisant CryptoWall.
Plus d'informations sur les clés de chiffrement utilisant RSA-2048 peuvent être trouvées ici : http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Qu'est-ce que cela signifie ?
Cela signifie que la structure et les données de vos fichiers ont été irrévocablement modifiées. Vous ne pourrez plus travailler avec eux, les lire ou les voir,
c'est la même chose que de les perdre pour toujours, mais avec notre aide, vous pouvez les restaurer.
Comment cela est-il arrivé ?
Spécialement pour vous, sur notre serveur a été générée la paire de clés secrètes RSA-2048 - publique et privée.
Tous vos fichiers ont été cryptés avec la clé publique, qui a été transférée sur votre ordinateur via Internet.
Le décryptage de vos fichiers n'est possible qu'avec l'aide de la clé privée et du programme de décryptage, qui se trouve sur notre serveur secret.
Que dois-je faire ?
Hélas, si vous ne prenez pas les mesures nécessaires dans le délai imparti, les conditions d'obtention de la clé privée seront modifiées.
Si vous tenez vraiment à vos données, nous vous suggérons de ne pas perdre un temps précieux à chercher d'autres solutions, car elles n'existent pas.
Pour des instructions plus spécifiques, veuillez consulter votre page d'accueil personnelle. Il existe plusieurs adresses différentes qui pointent vers votre page ci-dessous :
1. https://kpa2i8ycr9jxqwilp.torexplorer.com/xxxx
2. https://kpa2i8ycr9jxqwilp.tor2web.org/xxxx
3. https://kpa2i8ycr9jxqwilp.onion.to/xxxx
Si, pour une raison quelconque, les adresses ne sont pas disponibles, suivez les étapes suivantes :
1.télécharger et installer tor-browser : http://www.torproject.org/projects/torbrowser.html.en 2.après une installation réussie, lancer le navigateur et attendre l'initialisation.
3. tapez dans la barre d'adresse : kpa2i8ycr9jxqwilp.onion/xxxx
4. suivez les instructions sur le site.
INFORMATIONS IMPORTANTES :
Votre page personnelle : kpa2i8ycr9jxqwilp.torexplorer.com /xxxx
Votre page personnelle (en utilisant TOR) : kpa2i8ycr9jxqwilp.onion/xxxx
Votre numéro d'identification personnel (si vous ouvrez le site (ou TOR's) directement) : xxxx
“
Comment prévenir l'infection par CryptoWall.
- La précaution est toujours le moyen le plus sûr de garder votre PC indemne. Vous devez être très prudent lorsque vous ouvrez un e-mail inconnu, en particulier si cet e-mail contient une fausse notification (par exemple, "Notification d'exception UPS") ou des pièces jointes de type .EXE, .SCR ou .ZIP. Vous devez faire attention aux sites d'escroquerie qui vous invitent à installer des logiciels dont vous êtes censé avoir besoin et NE PAS INSTALLER de tels logiciels. La meilleure façon de procéder est la suivantepour faire face à tous les types d'infections par des logiciels malveillants est de toujours avoir une sauvegarde propre et aussi récente que possible de vos fichiers importants sur un autre support HORS LIGNE (débranché) (par exemple, un disque dur externe USB, un DVD ROM, etc.).
Info : Pour cette tâche, j'utilise un logiciel de sauvegarde fiable, intelligent et GRATUIT (pour un usage personnel) appelé "SyncBackFree". Un article détaillé sur la façon d'utiliser SyncBackFree pour sauvegarder vos fichiers importants peut être trouvé ici. Les techniciens de réseau d'entreprise peuvent utiliser un logiciel d'imagerie disque (comme "Acronis True Image") pour prendre des sauvegardes d'image de l'état des stations de travail (ou des serveurs) à des moments programmés. En faisant cela, la restaurationest beaucoup plus facile et rapide et n'est limité que par la capacité de stockage disponible lors du processus d'imagerie.
Comment récupérer vos fichiers après une infection par Cryptowall.
Malheureusement, un outil de décryptage GRATUIT ou une méthode pour décrypter les fichiers cryptés par Cryptowall N'EXISTE PAS (jusqu'au jour de la rédaction de cet article - fin juin 2014). Les seules options dont vous disposez pour récupérer vos fichiers sont donc les suivantes :
- La première option est de payer la rançon*, après quoi vous recevrez des criminels votre outil de décryptage privé pour décrypter vos fichiers.
* Note : Si vous décidez de payer la rançon, vous le faites à vos risques et périls, car les criminels ne sont pas les personnes les plus dignes de confiance au monde. La deuxième option consiste à désinfecter votre ordinateur, puis à restaurer vos fichiers à partir d'une sauvegarde propre (si vous en avez une). Enfin, si vous avez un système d'exploitation Windows 8, 7 ou Vista et que l'icône " Restauration du système "n'a pas été désactivée sur votre système (par exemple après une attaque de virus), alors après avoir désinfecté votre système, vous pouvez essayer de restaurer vos fichiers dans les versions précédentes à partir de " Copies fantômes "(Voir plus bas dans cet article pour savoir comment faire).
Comment supprimer le virus Cryptowall et restaurer vos fichiers à partir des copies d'ombre.
Partie 1. Comment enlever Infection par le Cryptowall.
Attention : Si vous voulez supprimer Cryptowall de votre ordinateur, vous devez savoir que vos fichiers resteront cryptés, même si vous désinfectez votre ordinateur de ce méchant malware.
ENCORE UNE FOIS : NE CONTINUEZ PAS À ENLEVER VIRUS CRYPTOWALL À MOINS QUE :
VOUS AVEZ UNE COPIE DE SAUVEGARDE PROPRE DE VOS FICHIERS STOCKÉS DANS UN ENDROIT DIFFÉRENT (comme un disque dur portable débranché).
or
VOUS N'AVEZ PAS BESOIN DES FICHIERS CRYPTÉS CAR ILS NE SONT PAS SI IMPORTANTS POUR VOUS.
or
VOUS VOULEZ ESSAYER DE RESTAURER VOS FICHIERS EN UTILISANT LA FONCTION SHADOW COPIES (Partie 2 de ce post).
Donc, si vous avez pris votre décision finale, alors procédez d'abord à l'enlèvement Cryptowall de l'infection par le ransomware de votre ordinateur, puis essayez de restaurer vos fichiers en suivant la procédure ci-dessous :
Étape 1 : Démarrez votre ordinateur en "Mode sans échec avec mise en réseau".
Pour ce faire,
1. éteignez votre ordinateur.
2. démarrez votre ordinateur (Power On) et, pendant que votre ordinateur démarre, presse le " F8 "avant que le logo Windows n'apparaisse.
3. À l'aide des flèches de votre clavier, sélectionnez l'option " Mode sans échec avec mise en réseau "et appuyez sur "Enter".
Étape 2. Arrêtez et supprimez les processus en cours de Cryptowall avec RogueKiller.
RogueKiller est un programme anti-malware conçu pour détecter, arrêter et supprimer les malwares génériques et certaines menaces avancées telles que les rootkits, les rogues, les vers, etc.
1. télécharger et sauver l'utilitaire "RogueKiller" sur votre ordinateur* (par exemple, sur votre Bureau)
Avis* : Télécharger version x86 ou X64 selon la version de votre système d'exploitation. Pour trouver la version de votre système d'exploitation, " Clic droit "sur l'icône de votre ordinateur, choisissez " Propriétés "et regarder " Type de système section ".
2. double-clic à exécuter RogueKiller.
3. Attendez que le pré-balayage soit terminé, puis lisez et " Accepter " les termes de la licence.
4. Appuyez sur la touche " Scanner Le bouton " " permet d'analyser votre ordinateur à la recherche de menaces malveillantes et d'entrées de démarrage malveillantes.
5. Enfin, lorsque le balayage complet est terminé, appuyez sur la touche "Supprimer" pour supprimer tous les éléments malveillants trouvés.
6. fermer “ RogueKiller "et passez à l'étape suivante.
Étape 3 : supprimer l'infection Cryptowall avec Malwarebytes Anti-Malware Free .
Télécharger et installer L'un des programmes anti-malware GRATUITS les plus fiables aujourd'hui pour nettoyer votre ordinateur des menaces malveillantes restantes. Si vous voulez rester constamment protégé contre les menaces de malware, existantes et futures, nous vous recommandons d'installer Malwarebytes Anti-Malware Premium :
Protection MalwarebytesTM
Supprime les logiciels espions, les logiciels publicitaires et les logiciels malveillants.
Commencez votre téléchargement gratuit maintenant ! 
Téléchargement rapide et instructions d'installation :
- Après avoir cliqué sur le lien ci-dessus, appuyez sur la touche " Commencez mon essai gratuit de 14 jours "pour commencer votre téléchargement.
- Pour installer le Version GRATUITE de ce produit étonnant, décochez la case " Activer l'essai gratuit de Malwarebytes Anti-Malware Premium "dans le dernier écran d'installation.
Analysez et nettoyez votre ordinateur avec Malwarebytes Anti-Malware.
1. Run " Malwarebytes Anti-Malware" et permettre au programme de se mettre à jour vers sa dernière version et sa base de données malveillante si nécessaire.
2. Lorsque le processus de mise à jour est terminé, appuyez sur la touche " Scanner maintenant Le bouton " " permet de lancer l'analyse de votre système à la recherche de logiciels malveillants et de programmes indésirables.
3. Attendez maintenant que Malwarebytes Anti-Malware finisse de rechercher les logiciels malveillants sur votre ordinateur.
4. Lorsque la numérisation est terminée, appuyez d'abord sur la touche " Mettre tout en quarantaine "pour supprimer toutes les menaces trouvées.
5. Attendez que Malwarebytes Anti-Malware supprime toutes les infections de votre système, puis redémarrez votre ordinateur (si le programme le demande) pour supprimer complètement toutes les menaces actives.
6. Après le redémarrage du système, Exécutez à nouveau l'anti-malware de Malwarebytes. pour vérifier qu'aucune autre menace ne subsiste dans votre système.
Partie 2 : Comment restaurer les fichiers cryptés par Cryptowall à partir des copies d'ombre.
Après avoir désinfecté votre ordinateur de Cryptowall il est temps d'essayer de restaurer vos fichiers dans leur état antérieur à l'infection. Il existe deux (2) méthodes pour y parvenir :
Méthode 1 : Restaurez les fichiers cryptés par Cryptowall en utilisant la fonction "Restaurer les versions précédentes" de Windows.
Méthode 2 : Restaurez les fichiers cryptés par Cryptowall en utilisant l'utilitaire 'Shadow Explorer'.
Attention : Cette procédure ne fonctionne que sur les systèmes d'exploitation les plus récents (Windows 8, 7 & Vista) et uniquement si le Restauration du système n'a pas été désactivée sur l'ordinateur infecté.
Méthode 1 : Comment restaurer les fichiers cryptés par Cryptowall en utilisant la fonction "Versions précédentes".
1. Naviguez vers le dossier ou le fichier que vous voulez restaurer dans un état antérieur et Cliquez à droite sur sur elle.
2. Dans le menu déroulant, sélectionnez " Restaurer les versions précédentes ". *
3. Choisissez ensuite une version particulière du dossier ou du fichier, puis appuyez sur la touche :
- “ Ouvrir "pour afficher le contenu de ce dossier/fichier. " Copie " pour copier ce dossier/fichier à un autre emplacement sur votre ordinateur (par exemple, votre disque dur externe). " Restaurer "pour restaurer le fichier du dossier au même endroit et remplacer le fichier existant.
Méthode 2 : Comment restaurer les fichiers cryptés par Cryptowall en utilisant l'utilitaire "Shadow Explorer".
ShadowExplorer est un remplacement gratuit de la Versions précédentes de Microsoft Windows Vista, 7 et 8 et vous pouvez l'utiliser pour restaurer des fichiers perdus ou endommagés à partir des éléments suivants Copies fantômes .
1. Téléchargez l'utilitaire ShadowExplorer à partir d'ici. (Vous pouvez soit télécharger l'utilitaire Installation de ShadowExplorer ou le Version portable du programme).
2. Exécuter ShadowExplorer puis sélectionnez la date à laquelle vous souhaitez restaurer la copie fantôme de vos dossiers/fichiers.
3. Naviguez maintenant vers le dossier/fichier que vous voulez restaurer à sa version précédente, Cliquez à droite sur et sélectionnez " Exportation ”.
4. Enfin, indiquez l'endroit où la copie cachée de votre dossier/fichier sera exportée/sauvegardée (par exemple, votre bureau) et cliquez sur " ". OK ”.
Bonne chance !
Andy Davis
Blog d'un administrateur système sur Windows
