Nouvelles fenêtres de mise à jour du virus ransomware. Le virus ransomware continue de se propager. Vérifiez que tous les outils de sécurité disponibles sont exécutés et en état de marche sur votre ordinateur
Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?
Après avoir installé les mises à jour, l'ordinateur devra être redémarré.
Comment se remettre du virus ransomware Wana Decrypt0r ?
Lorsque l'utilitaire antivirus détecte un virus, il le supprime immédiatement ou vous demande si vous devez le traiter ou non ? La réponse est de traiter.
Comment récupérer des fichiers cryptés par Wana Decryptor ?
On ne peut rien dire de rassurant pour le moment. Aucun outil de décryptage de fichiers n'a encore été créé. Pour l’instant, il ne reste plus qu’à attendre que le décrypteur soit développé.
Selon Brian Krebs, expert en sécurité informatique, jusqu'à présent, les criminels n'ont reçu que 26 000 dollars, ce qui signifie que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.
Comment stopper la propagation d’un virus en ligne ?
Dans le cas de WannaCry, la solution au problème peut être de bloquer le port 445 du pare-feu, à travers lequel l'infection se produit.
Le 12 mai, on a appris l'existence d'un virus de cryptage qui se propageait à une vitesse record : en un week-end, il a infecté plus de 200 000 ordinateurs dans 150 pays. Après cela, la propagation du virus a été stoppée, mais en un jour, plusieurs autres versions du virus sont apparues et sa propagation continue. C'est pourquoi nous publions des réponses à quelques questions qui vous diront en termes généraux de quel type de virus il s'agit, d'où il vient et qui vous aideront à protéger votre ordinateur.
Kuzmich Pavel Alekseevich, Directeur du Laboratoire d'Informatique Forensique de l'Université ITMO.Le virus infecte-t-il les ordinateurs et autres appareils des utilisateurs individuels ?
Oui, le virus peut également infecter les ordinateurs des utilisateurs. Très probablement, les employés des organisations où l'infection a été détectée ont utilisé des ordinateurs pour recevoir du courrier et « surfer » sur Internet et, n'étant pas convaincus de la sécurité des lettres reçues et des sites qu'elles ouvraient, y ont téléchargé des logiciels malveillants. Cette méthode de fraude ne peut pas être qualifiée de nouvelle : le problème des virus dits de cryptage est d'actualité depuis plusieurs années, et le prix de 300 $ peut être considéré comme tout à fait « humain ». Ainsi, il y a un an et demi, une organisation a contacté notre laboratoire, à qui les attaquants ont exigé 700 $ en bitcoins pour décrypter un seul fichier client.
Que pouvez-vous faire pour éviter d’être exposé au virus ?
Tout d’abord, faites attention où vous allez sur Internet. Deuxièmement, surveillez attentivement votre courrier et, avant d'ouvrir des fichiers contenus dans les lettres, assurez-vous qu'il ne s'agit pas d'une lettre frauduleuse. Très souvent, les virus sont distribués dans des fichiers joints à des lettres prétendument de Rostelecom, où un employé aurait envoyé une facture de paiement. Souvent, les mêmes lettres frauduleuses commençaient à arriver de la part de la Sberbank, ainsi que des huissiers de justice. Afin d'éviter d'être victime d'attaquants, vous devez examiner attentivement où mène le lien dans la lettre, ainsi que l'extension du fichier joint à la lettre. Eh bien, il est également important de faire au moins parfois des copies de sauvegarde des documents importants sur des supports amovibles distincts.
Cela signifie-t-il que toutes les bases de données des organisations attaquées sont désormais bloquées ? Les attaquants pourront-ils les utiliser à leurs propres fins ? Les données personnelles de ces bases de données seront-elles affectées ?
Je pense que, bien sûr, il ne vaut pas la peine de parler de blocage du travail : il s'agit très probablement d'un problème de lieu de travail individuel. Cependant, le fait que les employés de divers départements utilisent des ordinateurs de travail non seulement pour travailler sur Internet est quelque peu alarmant. Il est tout à fait possible que les informations confidentielles de leurs clients soient ainsi compromises - dans le cas d'organisations commerciales, ainsi que de grandes quantités de données personnelles - dans le cas des services gouvernementaux. On espère que ces informations n’ont pas été traitées sur ces ordinateurs.
La situation affectera-t-elle les abonnés MegaFon ? Est-il dangereux d’utiliser l’Internet mobile maintenant ?
Très probablement pas, puisque les éléments d’infrastructure du réseau sont certainement protégés contre ce type d’attaque. De plus, avec un degré de probabilité élevé, nous pouvons dire que ce virus est conçu pour les vulnérabilités du système d'exploitation fabriqué par Microsoft, et que l'écrasante majorité des équipements réseau est contrôlée soit par son propre système d'exploitation, soit par des systèmes d'exploitation de la famille Linux.
Que se passe-t-il lorsqu’un virus pénètre dans un système ? Comment savoir si votre ordinateur est infecté ?
Le plus souvent, l'infection et la phase active du virus - le cryptage des données - se manifestent sous la forme d'une diminution significative des performances de l'ordinateur. Cela est dû au fait que le cryptage est un processus extrêmement gourmand en ressources. Cela peut également être remarqué lorsque des fichiers avec une extension inconnue apparaissent, mais généralement à ce stade, il est trop tard pour prendre des mesures.
Sera-t-il possible de récupérer les données verrouillées ?
Il est souvent impossible de restaurer. Auparavant, la clé était la même pour toutes les personnes infectées, mais une fois que le virus a été détecté et déchiffré et que les codes standard sont devenus largement connus (ils peuvent être trouvés sur les forums des fabricants de logiciels antivirus), les attaquants ont commencé à chiffrer les informations avec un nouvelle clé à chaque fois. À propos, les virus utilisent une version complexe du chiffre : il s'agit le plus souvent d'un cryptage asymétrique, et casser un tel chiffre est très difficile, extrêmement long et gourmand en ressources, ce qui devient en réalité impossible.
Combien de temps le virus va-t-il se propager sur Internet ?
Je pense que jusqu'à ce que ses auteurs le diffusent. Et cela se produira jusqu'à ce que les distributeurs soient arrêtés par les forces de l'ordre ou jusqu'à ce que les utilisateurs cessent d'ouvrir des e-mails contenant des virus et commencent à être plus attentifs à leurs actions sur Internet.
Grigori Sabline, analyste de virus, expert dans le domaine de la sécurité de l'information à l'Université ITMO, lauréat de concours internationaux de protection de l'information informatique (attention : vocabulaire des programmeurs !).
Les attaquants exploitent une vulnérabilité du protocole SMB MS17_010 – le correctif est déjà présent sur les serveurs Microsoft. Ceux qui n'ont pas mis à jour peuvent faire l'objet d'une distribution. Mais on peut dire que ces utilisateurs eux-mêmes sont à blâmer : ils ont utilisé des logiciels piratés ou n'ont pas mis à jour Windows. Je suis moi-même intéressé par l'évolution de la situation : il y a eu une histoire similaire avec le bug MS08_67, puis il a été utilisé par le ver Kido, puis de nombreuses personnes ont également été infectées. Que puis-je recommander maintenant : vous devez soit éteindre l'ordinateur, soit mettre à jour Windows. Vous pouvez vous attendre à ce que de nombreuses sociétés antivirus se disputent le droit de publier un utilitaire de décryptage. S’ils y parviennent, ce sera une brillante initiative de relations publiques, ainsi qu’une opportunité de gagner beaucoup d’argent. Ce n'est pas un fait qu'il sera possible de restaurer tous les fichiers verrouillés. Ce virus peut pénétrer n’importe où car de nombreux ordinateurs ne sont pas encore mis à jour. Soit dit en passant, cet exploit a été extrait d'une archive qui a été « divulguée » par la National Security Agency (NSA) des États-Unis, c'est-à-dire qu'il s'agit d'un exemple de la manière dont les services de renseignement peuvent agir dans toute situation d'urgence.
Selon le service de presse de l'Université ITMO
Depuis des décennies, les cybercriminels exploitent avec succès les failles et les vulnérabilités du World Wide Web. Cependant, ces dernières années, on a assisté à une nette augmentation du nombre d'attaques, ainsi qu'à une augmentation de leur niveau : les attaquants sont de plus en plus dangereux et les logiciels malveillants se propagent à un rythme jamais vu auparavant.
Introduction
Nous parlons des ransomwares, qui ont fait un bond incroyable en 2017, causant des dommages à des milliers d’organisations à travers le monde. Par exemple, en Australie, les attaques de ransomwares telles que WannaCry et NotPetya ont même suscité des inquiétudes au niveau gouvernemental.
Pour résumer les « succès » des ransomwares cette année, nous examinerons les 10 plus dangereux qui ont causé le plus de dégâts aux organisations. Espérons que l'année prochaine nous tirerons les leçons et éviterons que ce type de problème n'entre dans nos réseaux.
PasPetya
L'attaque de ce ransomware a commencé avec le programme comptable ukrainien M.E.Doc, qui a remplacé 1C, interdit en Ukraine. En quelques jours seulement, NotPetya a infecté des centaines de milliers d’ordinateurs dans plus de 100 pays. Ce malware est une variante de l'ancien ransomware Petya, la seule différence étant que les attaques NotPetya utilisaient le même exploit que les attaques WannaCry.
La propagation de NotPetya a touché plusieurs organisations en Australie, comme la chocolaterie Cadbury en Tasmanie, qui a dû temporairement fermer l'ensemble de son système informatique. Le ransomware a également réussi à infiltrer le plus grand porte-conteneurs du monde, propriété de Maersk, qui aurait perdu jusqu'à 300 millions de dollars de revenus.
Je veux pleurer
Ce ransomware, terrible par son ampleur, a pratiquement conquis le monde entier. Ses attaques ont utilisé le fameux exploit EternalBlue, qui exploite une vulnérabilité du protocole Microsoft Server Message Block (SMB).
WannaCry a infecté des victimes dans 150 pays et plus de 200 000 machines dès le premier jour. Nous avons publié ce malware sensationnel.
Verrouillage
Locky était le ransomware le plus populaire en 2016, mais il est resté actif en 2017. De nouvelles variantes de Locky, baptisées Diablo et Lukitus, sont apparues cette année en utilisant le même vecteur d'attaque (phishing) pour lancer des exploits.
C'est Locky qui était à l'origine du scandale de fraude par courrier électronique à Australia Post. Selon la Commission australienne de la concurrence et de la consommation, les citoyens ont perdu plus de 80 000 dollars à cause de cette arnaque.
CrySis
Cette instance se distinguait par son utilisation magistrale du Remote Desktop Protocol (RDP). RDP est l’une des méthodes les plus populaires de distribution de ransomwares, car elle permet aux cybercriminels de compromettre les machines qui contrôlent des organisations entières.
Les victimes de CrySis ont été obligées de payer entre 455 et 1 022 dollars pour récupérer leurs fichiers.
Némucod
Nemucod est distribué à l'aide d'un e-mail de phishing qui ressemble à une facture de services de transport. Ce ransomware télécharge des fichiers malveillants stockés sur des sites Web piratés.
En termes d'utilisation d'e-mails de phishing, Nemucod est juste derrière Locky.
Jaffa
Jaff est similaire à Locky et utilise des techniques similaires. Ce ransomware ne se distingue pas par ses méthodes originales de diffusion ou de cryptage de fichiers, mais au contraire, il regroupe les pratiques les plus performantes.
Les attaquants à l’origine de cette opération ont exigé jusqu’à 3 700 dollars pour accéder aux fichiers cryptés.
Spora
Pour diffuser ce type de ransomware, les cybercriminels piratent des sites Web légitimes en y ajoutant du code JavaScript. Les utilisateurs qui accèdent à un tel site recevront un avertissement contextuel les invitant à mettre à jour leur navigateur Chrome pour continuer à naviguer sur le site. Après avoir téléchargé le Chrome Font Pack, les utilisateurs ont été infectés par Spora.
Cerbère
L'un des nombreux vecteurs d'attaque utilisés par Cerber s'appelle RaaS (Ransomware-as-a-Service). Selon ce schéma, les attaquants proposent de payer pour la distribution du cheval de Troie, en promettant un pourcentage de l'argent reçu. Grâce à ce « service », les cybercriminels envoient des ransomwares et fournissent ensuite à d’autres attaquants les outils nécessaires pour les distribuer.
Cryptomix
Il s’agit de l’un des rares ransomwares à ne pas disposer d’un type spécifique de portail de paiement disponible sur le dark web. Les utilisateurs concernés doivent attendre que les cybercriminels leur envoient des instructions par courrier électronique.
Des utilisateurs de 29 pays ont été victimes de Cryptomix ; ils ont été contraints de payer jusqu'à 3 000 $.
Puzzle
Un autre malware de la liste qui a commencé son activité en 2016. Jigsaw insère une image du clown de la série de films Saw dans les courriers indésirables. Dès que l’utilisateur clique sur l’image, le ransomware non seulement crypte, mais supprime également les fichiers si l’utilisateur paie trop tard la rançon de 150 $.
Conclusions
Comme nous le constatons, les menaces modernes utilisent des exploits de plus en plus sophistiqués contre des réseaux bien protégés. Même si une sensibilisation accrue des employés peut aider à gérer l’impact des infections, les entreprises doivent aller au-delà des normes de base en matière de cybersécurité pour se protéger. Se défendre contre les menaces actuelles nécessite des approches proactives qui exploitent des analyses en temps réel alimentées par un moteur d'apprentissage qui inclut la compréhension du comportement et du contexte des menaces.
Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. Dans ce cas, rien de nouveau ou d’unique n’est apparu, juste une modification de la version précédente.
Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».
Description du virus rançongiciel CRYPTED000007
Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.
Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et d'informations importantes sur l'affaire dans la pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.
Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Un message d'information du système de contrôle de compte d'utilisateur Windows commence à apparaître constamment.
Si vous acceptez la proposition, les copies de sauvegarde des fichiers dans les clichés instantanés de Windows seront supprimées et la restauration des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.
Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les alertes de contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous le compte d'administrateur de l'ordinateur, sauf en cas de nécessité objective. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.
Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.
Dans le même temps, il y aura de nombreux fichiers texte avec le même contenu sur votre bureau.
Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez le navigateur Tor en utilisant le lien : https://www.torproject.org/download/download-easy.html.en Dans la zone d'adresse du navigateur Tor, entrez l'adresse : http ://cryptsen7fo43rr6 .onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers, vous devez envoyer le code suivant : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans la barre d'adresse : http:/ /cryptsen7fo43rr6.onion/ Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée. 2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/
L'adresse postale peut changer. Je suis également tombé sur les adresses suivantes :
Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.
Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage à la fois sur l'ordinateur local et sur les lecteurs réseau. Un virus ransomware peut crypter toutes les informations qu’il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le ransomware n'avait pas le temps de tout crypter sur un lecteur réseau d'une capacité d'environ 100 gigaoctets.
Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas forcément pour de l'argent pour certaines entreprises. Il faut juste une personne qui maîtrise bien les systèmes d’information. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.
Des actions incorrectes à ce stade peuvent compliquer considérablement le processus de décryptage ou de restauration des fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.
Comment le virus ransomware CRYPTED000007 crypte les fichiers
Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.
Dans une telle situation, il sera difficile d'évaluer l'ampleur du drame, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous aviez dans différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.
Et si vos dossiers réseau étaient cryptés et qu'il n'y avait pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.
Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007
Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous avez besoin à tout prix de récupérer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.
En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, ce qui rend plus difficile l'enquête sur l'incident et le décryptage des fichiers.
Il est difficile de décrire comment supprimer manuellement un virus, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela n'a aucun sens. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.
Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :
- Kaspersky Virus Removal Tool - un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
- Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
- Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.
Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :
- Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
- Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
- Nous effaçons la mention du processus viral par nom de fichier dans le registre.
- Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.
Où télécharger le décrypteur CRYPTED000007
La question d’un décrypteur simple et fiable se pose en premier lieu lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur la page principale, cliquez sur Oui :
Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:
Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.
Peut-être aurez-vous plus de chance. Vous pouvez également voir la liste des décrypteurs à télécharger sur une page séparée - https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications de chiffreurs sont apparus sur Internet. Et ces exemples se trouvent sur la page spécifiée.
Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.
Comment décrypter et récupérer des fichiers après le virus CRYPTED000007
Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci incluent :
- Outil clichés instantanés fenêtres.
- Programmes de récupération de données supprimées
Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.
Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression des fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.
Pour restaurer facilement des fichiers à partir de clichés instantanés, je suggère d'utiliser un programme gratuit pour cela - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.
La dernière copie des fichiers et la racine du lecteur C s'ouvriront dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez différentes copies pour les fichiers nécessaires. Comparez par date pour la version la plus récente. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.
J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai fait un clic droit, j'ai sélectionné Exporter et j'ai spécifié le dossier dans lequel les restaurer.
Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, les fichiers cryptés par le virus. Peut-être que certains d’entre eux seront une version plus ancienne que nous le souhaiterions, mais néanmoins c’est mieux que rien.
Si, pour une raison quelconque, vous ne disposez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération de fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.
Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez un lecteur flash ou un disque dur externe pour ce faire.
Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n'y a aucune garantie ici, ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.
Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de récupérer le nombre maximum de fichiers :
- R. économiseur
- Récupération de fichiers Starus
- Récupération JPEG Pro
- Professionnel de la récupération de fichiers actifs
Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.
L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.
Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED
Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.
Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Une nouvelle version du ransomware est publiée, mais les antivirus n'y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.
Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Il existe peut-être des nuances techniques à ce sujet qui ne nous permettent pas de réagir de manière adéquate et d'empêcher le cryptage des fichiers des utilisateurs. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.
Où aller pour un décryptage garanti
J'ai eu l'occasion de rencontrer une entreprise qui décrypte réellement les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un plan de travail approximatif :
- Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
- Lance le décrypteur et décrypte tous les fichiers.
- Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
- Le paiement est effectué uniquement en cas de résultats de décryptage réussis.
Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.
Méthodes de protection contre le virus CRYPTED000007
Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :
- Sauvegarde! Sauvegarde de toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde à laquelle il n'y a pas d'accès constant. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
- Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d’éviter l’infection si vous n’avez pas été inclus dans la première vague de distribution d’une nouvelle modification du ransomware.
- N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
- N'ouvrez pas inconsidérément les liens qui vous sont envoyés par vos amis via les réseaux sociaux ou les messageries instantanées. C’est aussi ainsi que les virus se propagent parfois.
- Activez Windows pour afficher les extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.
J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.
Vidéo sur le décryptage et la récupération de fichiers
Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.
Les 1er et 2 mai 2017, une attaque virale à grande échelle a eu lieu sur des ordinateurs fonctionnant sous Windows. Rien qu'en Russie, environ 30 000 ordinateurs ont été infectés. Parmi les victimes figuraient non seulement des utilisateurs ordinaires, mais également de nombreuses organisations et agences gouvernementales. Selon les informations du réseau, la Cour constitutionnelle du ministère de l'Intérieur de la Fédération de Russie et le réseau Magathon ont été partiellement infectés. En outre, un certain nombre d’autres organisations moins connues ont souffert de l’attaque WannaCry, ou comme on l’appelle plus souvent – WCry. On ne sait pas encore comment le virus ransomware a pénétré dans ces appareils protégés. Il n’est pas indiqué si cela était la conséquence d’une erreur de l’un des utilisateurs ou s’il s’agissait d’une vulnérabilité générale du réseau du ministère. Les premières informations sur RuNet sont apparues sur le site Web de Kaspersky (sous un formulaire), où il y a eu une discussion active sur le nouveau virus.
De quel genre de virus s'agit-il ?
Après avoir pénétré dans l'ordinateur, le virus se décompresse, installe ses propres codes de cryptage système pour les données utilisateur et commence en arrière-plan à crypter toutes les informations sur l'ordinateur avec ses propres codes du type nom de fichier.wncry. Voici ce qui se passe une fois que votre ordinateur est infecté par un virus :
- Immédiatement après son entrée dans le système, le virus commence à contrôler complètement le système, bloquant le lancement de tout logiciel, même sans installation,
- Les antivirus et utilitaires qui ne nécessitent pas d'installation, qui sont lancés immédiatement après la connexion du lecteur au système, ne donnent également aucun résultat et ne démarrent tout simplement pas,
- Tous les ports et lecteurs USB cessent de fonctionner,
- L'écran sera bloqué par la bannière Wana DecryptOr 2.0, vous informant que votre ordinateur est infecté par un virus, que toutes les données qu'il contient sont cryptées et que vous devez payer le ransomware.
Comment se protéger du virus.
Il n’y a pas lieu de paniquer ; le virus n’est pas nouveau et il est impossible de s’en protéger. Il s'agit d'un chiffreur ordinaire, dont nous avons déjà rencontré plusieurs fois les analogues. Pour éviter de contracter un virus informatique, soyez prudent lorsque vous utilisez tous les logiciels. Nous vous déconseillons de mettre à jour les logiciels, même les logiciels intégrés, jusqu'à ce que nous ayons déterminé avec précision comment le virus pénètre dans le système. Nous sommes enclins à croire que le virus pénètre dans l'ordinateur via les vulnérabilités de certains programmes. Et les vulnérabilités des programmes apparaissent le plus souvent après une mise à jour développée sans succès, dans laquelle se trouve un énorme « trou » qui permet aux virus de pénétrer dans le système. Si vous avez l'expérience et les capacités, installez un pare-feu tiers de haute qualité et renforcez la surveillance de l'activité du système et du réseau pendant un certain temps.
Aider les victimes
Le vendredi 12 mai, un client régulier, un designer, nous a contacté avec un ordinateur portable sur lequel étaient stockés ses mises en page, sources et autres fichiers graphiques. Ses ordinateurs étaient infectés par le virus WannaCryptor. Un certain nombre d’« expériences » ont été menées et ont donné des résultats ! Voici ce qui nous a aidé :
- Nous avons démonté l'ordinateur, retiré le disque dur avec les données,
- Connecté le lecteur à l'iMac,
- En recherchant parmi les décrypteurs, nous en avons trouvé plusieurs qui ont permis d’extraire certaines données du lecteur D.
- Le client a ensuite décidé de réinstaller le système et de supprimer les données restantes,
- Juste au cas où nous aurions créé une image système sur notre périphérique de stockage, dès qu'une solution au problème apparaîtrait, nous sauvegarderons les données restantes.