Ransomware

Tutoriel en image – Windows 10 : comment protéger vos fichiers des ransomwares

Avec Windows 10, Microsoft propose désormais une protection contre les ransomwares, baptisée « Dispositif d’accès contrôlé aux dossiers ».
Son principe de fonctionnement est assez simple : toute application suspecte sera bloquée par défaut en écriture sur un ensemble de dossiers à protéger.
Ainsi, un ransomware qui aurait réussi à se frayer un chemin vers votre système ne pourra pas chiffrer en douce les fichiers qui vous tiennent à cœur.

Pour bénéficier de cette fonction, il faut fouiller dans les réglages de Windows.

Rendez-vous dans « Paramètres -> Mise à jour et sécurité -> Windows Defender » et ouvrez le « Centre de sécurité Windows Defender ».
Ensuite, allez dans la rubrique « Protection contre les virus et menaces » et cliquez sur « Paramètres de protection contre les virus et menaces ».

Vous tombez alors sur une page présentant une multitude d’options dans laquelle il faut activer le fameux « Dispositif d’accès contrôlé aux dossiers ».

Deux types de réglages sont alors possibles.

Le premier : les dossiers à protéger. Par défaut, Windows protège les dossiers systèmes et les dossiers liés aux utilisateurs :
Bureau, Documents, Images, Musique, etc. Dans la plupart des cas, cela devrait suffire. Sinon, il est possible d’en définir d’autres, en cliquant sur « Ajouter un dossier protégé ».

Second réglage : les applications à autoriser. Cette liste blanche contient par défaut toutes les applications de Microsoft, ainsi que celles que l’éditeur juge dignes de confiance.
Celles-ci, d’ailleurs, n’apparaissent pas et ne peuvent donc pas être supprimées de la liste. Le jour où une application que vous utilisez se trouve bloquée,
il suffira d’aller dans ce menu, de cliquer sur « Ajouter une application autorisée » et de sélectionner l’exécutable correspondant. Celui-ci se trouve généralement dans le dossier
« Program Files (x86) » à la racine du lecteur C.

Quand une application est bloquée, elle ne peut pas créer ou modifier de fichier dans les dossiers protégés. Une telle action génère une alerte d’erreur plus ou moins compréhensible, ainsi qu’un message dans le centre de notification (situé en bas à droite). Ainsi, vous serez donc prévenu.

@+ Suricate

Solution contre les ransomwares avec RansomFree

Dès l’installation, RansomFree va disséminer des fichiers leurres aux quatre coins de votre HDD.
Si un ransomware tente de chiffrer vos données, il ira aussi s’attaquer à ces fichiers et déclenchera l’alerte.
Vous n’avez rien à faire ni aucun réglage à effectuer. RansomFree fonctionnera aussi si un HDD réseau est attaqué.
Notez que le logiciel sera actif au démarrage de Windows (pour les Mac, utilisez RansomWhere)
même s’il ne figure pas dans la liste du « Gestionnaire des tâches« .

1/ En cas d’alerte, le processus incriminé est suspendu.
Vous pouvez voir la liste des fichiers attaqués « View affected files« ,
choisir de laisser faire « No, Let it run »
ou au contraire
bloquer définitivement le processus et faire le ménage « Yes, Stop & clean the threat« .

Tutoriel en image – RansomFree – Pour protéger votre PC des ransomwares

Télécharge ransomfree (de cybereason) sur ton Bureau >>> Clique ici

Miroir : http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/138195.html

@+ Suricate

Télécharger No More Ransom (Crypto Sheriff), pour essayer d’éliminer le ransomware

Si vous avez un problème de ransomware. Le site « No More Ransom » centralise tout ce qu’il faut savoir
sur ces malwares au niveau de la prévention, mais il dispose aussi d’un service de détection en ligne
(pour savoir de quel mal vous avez hérité) et de plusieurs outils de désencryption.
Ce sont plus de 25 ransomwares qui peuvent être éradiqués avec ces outils :
Wildfire, Teslacrypt (v3 et v4), Shade (extensions .xtbl, .ytbl, .breaking_bad et .heisenberg),
CryptXXX, Crybola, etc.), Rakhni (plus Chimera, Rotor).
Bien sûr, dés, qu’une solution est disponible elle est mise en ligne gratuitement.

Pour nous aider à définir le type de ransomware affectant votre appareil, veuillez remplir le formulaire ci-dessous.
Cela nous permettra de vérifier s’il existe une solution disponible. S’il y en a, nous vous fournirons le lien pour télécharger la solution de déchiffrement.

Tutoriel en image – Télécharger No More Ransom « Crypto Sheriff », pour essayer d’éliminer le ransomware

@+ Suricate

CryptoLocker – Si vous avez été infecté, voici comment déchiffrer vos fichiers

Tutoriel en image – CryptoLocker – Si vous avez été infecté, voici comment déchiffrer vos fichiers

Tutoriel en image – FireEye – Fox IT Scanner

=======================================================================================

Avant toute infection (Ransomware) vous pouvez Vacciner votre Pc avec CryptoPrevent …

https://www.foolishit.com/cryptoprevent-malware-prevention/

=======================================================================================

Pour connaître l’étendue des dégâts, vous pouvez utiliser CryptoLocker Scan Tool
qui vous dira quels fichiers ont été chiffrés (attention, il ne fonctionne pas pour toutes les variantes) …

http://omnispear.com/cryptolocker-scan-tool/

=======================================================================================

Certains Ransomware ne sont pas très sophistiqué, certains fonctionnent en fait avec la même
clé de chiffrement pour toutes les victimes qui a déjà payé !
le site Ransomware Decryptor :
Tutoriel en image – Ransomware decryptor
contient des clés privées saisies lors de descentes de police chez les méchants … Pourquoi ne pas essayer ?

=======================================================================================

Le site Malware Tips dispose d’une section entière sur les ransomwares et propose des protocoles de désinfections :
https://malwaretips.com/blogs/category/ransomware/

Si vous avez payé, il arrive que certains fichiers ne soient pas correctement déchiffrés (clé de registre obsolète, etc.).
La solution consiste alors à les déchiffrer « à la main » avec Crypto-un-Locker
https://github.com/kyrus/crypto-un-locker
un script Python qui détectera et déchiffrera les fichiers récalcitrants.

=======================================================================================

@+ Suricate

Anti-CryptorBitV2

Ok, pour tester maintenant les fichiers à décrypter.

Prépare un dossier dans lequel tu mettras quelques copies des fichiers crypté
Ces copies doivent toutes être du même type (Jpeg, ou MP3 ou fichier Office, etc …)

Puis télécharge ceci :
http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBitV2.zip

Décompresse le dossier (clic-droit -> extraire tout)
Lance l’outil Anti-CryptorBitV2

Sélectionne le type de fichier crypté que tu as choisis
Indique le dossier avec les copies

Lance la procédure, et patiente.

Va voir dans le dossier : si des fichiers sont toujours présent, teste leur ouverture
Si les copies de fichiers ont disparu, c’est que l’outil ne peut pas les décrypter.

@+ Suricate

RannohDecryptor

Il faut un fichier sain non crypté et son homologue crypté pour que l’outil puisse déterminer la clé de cryptage

Par exemple si tu as un fichier monimage.jpg, il faut son homologue crypté locked-monimage.jpg.<xxxx>
<xxxx> étant 4 lettres aléatoires

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau >>> Clique ici

Miroir: http://support.kaspersky.com/faq/?qid=208286527

Miroir: http://support.kaspersky.com/viruses/disinfection/10556#pagemax

Miroir: http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe

Tutoriel en image – Votre ordinateur est bloqué en raison du délit de la loi France

● Exécute RannohDecryptor par un double-clic
● Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
● Clic sur Start scan

● L’utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d’un fichier non crypté quand demandé
● L’outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
● Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
● Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr s’il est trop long et indique le lien
● Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l’option Delete crypted files after decryption dans Change parameters -> Additional options

@+ Suricate

Fiche Dr.Web qui explique bien le mécanisme de l’infection (et explication à la suite) …
Tutoriel en image – Etude sur le fonctionnement du Trojan.Matsnu.1 codant les données des utilisateurs

Pour récupérer les fichiers qui ont été locked par l’infection,
et utiliser un des 2 outils Fix Dr.Web – matsnu1decrypt ou Kaspersky – RannohDecryptor,
il faut impérativement que l’utilisateur possède au moins un original d’un des fichiers cryptés,
peu importe l’extension.

Par exemple, si l’utilisateur a un fichier locked-mon_image.jpg.<*** aléatoire>,
il faudra l’homologue original du fichier (sauvegarde récente) du fichier mon_image.jpg

C’est par comparaison des 2 fichiers (l’original et son homologue crypté)
que l’outil va déterminer la clé d’encryptage et va ainsi pouvoir l’appliquer
à tous les autres fichiers locked trouvés, quelque soit leur extension.

Apparemment, les utilisateurs arrivent à récupérer tous leurs fichiers,
la procédure de récupération peut être assez longue.

@+ Suricate

Tutoriel en image – Suppression virus Gendarme

/!\ATTENTION/!\ Les ransomwares locked (ne sont pas la même chose que EnCiPhErEd) …
Tutoriel en image – Trojan:W32/Ransomcrypt / Trojan.Encoder : Prise en otage des documents

Tutoriel en image – Cryptorbit et DecrypterFixer de Nathan Scott

Tutoriel en image – Coinvault : récupérer ses documents

Tutoriel en image – Free Ransomware Decryption Tool

>>> Pour héberger les rapports trop longs, rend toi sur ce site et clic ici <<<
>>> ou bien sur celui-là <<<

Revenir en haut