Ransomwares

 

 

Ransomware Decryptors :

Trend Micro a conçu un utilitaire capable de restituer le contenu de fichiers cryptés par certains ransomware. Korben en parle ici :
23/03/2017 : Korben.info - Comment (peut-être) récupérer des fichiers lorsqu’on a été victime d’un ransomware ?
L'utilitaire est disponible sur le site de Trend Micro :
Success.trendmicro.com - Downloading and Using the Trend Micro Ransomware File Decryptor
Updated: 26 Jul 2017

Kaspersky propose également son outil :
noransom.kaspersky.com - Free Ransomware Decryptors

Avast :
avast.com - Free Ransomware Decryption Tools

avast.com - Les ransomwares : les connaître et les supprimer

Voir aussi le forum Malekal :

Forum.malekal.com - Decrypt Tools ou Decrypter de Ransomware
Plus généralement :
Forum.malekal.com - Ransomware

Forum.malekal.com - crypto-ransomware / rançongiciels chiffreurs de fichiers

Forum.malekal.com - ID-Ransomware
ID Ransomware est un site internet qui tente de vous indiquer à quelle variante de Crypto-ransomware vous êtes confronté. La reconnaissance se fait à partir d'un fichier chiffré ou d'un fichier d'instructions.

Le site supprimer-trojam.com :

Les fichiers de certains ransomwares sont malheureusement impossibles à décrypter.
Exemple : Osiris / Locky :
supprimer-trojan.com - Supprimer les virus gratuitement : OSIRIS
OSIRIS est une extension de fichier mise par le Ransomware Locky....
Actuellement, ce ransomware Locky est distribué à travers des campagnes d’emails malicieux contenant des pièces jointes au format Word...
supprimer-trojan.com - Supprimer les virus gratuitement : ransomware / rançongiciel
"Les ransomwares (rançongiciel en français) sont des menaces qui existent depuis années et qui depuis 2015, sont devenus une menace persistance sous la forme des Crypto-Ransomware...
Parmi les ransomware/rançongiciel les plus répandus et touchant la France, on trouve :
- CryptoWall : est distribué par des campagnes d’emails malicieux et Web Exploit.
- TeslaCrypt : qui a une forte propagation depuis Décembre 2015
- Locky : ce dernier est poussé par des campagnes d’emails malicieux.
supprimer-virus.com - Ransomwares

Sur Cnetfrance.fr :

cnetfrance.fr - Ransomware : 8 mesures pour se protéger et récupérer ses fichiers
En cas infection, que faire ?
5. Ne pas payer
6. Arrêter la propagation
7. Désinfecter l'ordinateur
.... Utilisez ensuite un autre CD bootable de sécurité comme ceux proposés par les antivirus (exemple avec Comodo ou BitDefender) pour tenter de désinfecter l'ordinateur. Si l'infection ne bloque pas l'ordinateur et que celui-ci est toujours en route et internet accessible, cherchez un outil de désinfection en vous faisant aider éventuellement en demandant de l'aide dans le forum désinfection.
8. Retrouver ses fichiers
Les éditeurs de logiciels et chercheurs spécialisés en sécurité ont mis au point des outils et mis la main sur des clés de cryptage de certains ransomware. Vérifiez avant tout en cherchant sur internet et en demandant conseil dans les forums. Si aucune solution n'existe vous pouvez tenter de récupérer quelques fichiers en cherchant dans les fichiers temporaires ou en utilisant des logiciels de récupération spécialisés : Solutions Locky et autres Ransomware (récupération de quelques fichiers)

 

Live CD sur Malekal.com :

Forum.Malekal.com - CD Live Récupération/Rescue système

malekal.com - Malekal Live CD

CD de désinfection pour les virus :

support.kaspersky.com - Kaspersky Rescue Disk 10

 

 

Les ransomwares :

La pire plaie d'Internet : le ransomware.
Cela consiste à crypter les données de l'ordinateur, et à demander le paiement d'une "rançon" pour les rendre accessibles
La seule parade à cela : Sauvegarder régulièrement ses données sur un autre support.

 

Malekal.com :

 

- Les ransomwares sur Malekal.com

 

Forum Malekal.com :

 

18/11/2014 : Forum.malekal.com - crypto-ransomware / rançongiciels chiffreurs de fichiers

 

 

BleepingComputer.com :

 

 

Différents ransomwares :

Il existe différents ransomwares : Locky, TeslaCrypt, Gomason, etc.

 

Locky :

26/02/2016 : Answers.microsoft.com - Attaque sur mes fichiers chiffrés avec les algorithmes RSA-2048 et AES-128
"Je viens de subir une attaque de Locky Ransomware avec tous mes fichiers chiffrés avec les algorithmes RSA-2048 et AES-128...
- La réponse est simple : Il n'y a pas de moyens actuellement !"

17/02/2016 : Malekal.com - Locky Ransomware

 

TeslaCrypt :

21/12/2015 : Malekal.com - how_recover/help_recover_instructions : TeslaCrypt extension .micro et .mp3

05/03/2016 : Forum.malekal.com - Windows 8.1 infecté par TeslaCrypt en .css

 

Gomasom :

23/12/2015 : Answers.microsoft.com - Gomasom .Crypt Ransomware Decrypté

 

 

Mode de contamination :

Il y a deux façons de se faire avoir.

1 - En cliquant sur un lien nocif, en ouvrant un fichier Word infecté, fichier zip, etc.

11/03/2016 : Silicon.fr - Le ransomware Locky mute pour multiplier ses victimes en France
"... Locky chiffre un grand nombre de fichiers, en particulier tous ceux ayant des extensions renvoyant à des vidéos, des images, des codes source et des fichiers Office. Une fois les données verrouillées, les cybercriminels demandent aux victimes de s’acquitter d’une rançon pour retrouver l’accès à leurs données devenues illisibles...
... Pour se propager, Locky se cache dans des e-mails (par exemple de fausses factures Free, l’opérateur vient d’ailleurs – tardivement – d’alerter ses abonnés du phénomène), mais également dans des notifications semblant émaner d’imprimantes ou de scanners situés sur le réseau de l’entreprise. Ces dernières comportent un fichier PDF renfermant du code Javascript.

 

2 - En affichant une page web :

Pire. Le simple affichage d'une page web peut déclencher l'infection.
A cause de ces s..ies de FlashPlayer et de Java qui permettent, par exemple, de lancer une vidéo automatiquement à l'ouverture d'une page web.

17/03/2016 : NextInpact.com - De grands sites ont diffusé un ransomware via des publicités contaminées
"Plusieurs réseaux publicitaires ont été victimes d’une injection de malware (malvertising). Des sites aussi connus et fréquentés que ceux du New York Times, de la BBC, MSN, et AOL ont servi de relais malheureux, les victimes récupérant alors un ransomware en cas de conditions réunies..."
Comment éviter le risque ?
... La situation permet de rappeler d’ailleurs que la protection des terminaux passe par la désinstallation de tout ce qui n’est pas nécessaire. Du moins quand cela est possible. On peut par exemple se débarrasser très facilement de composants comme Silverlight et Java, les sites l’utilisant étant devenus rarissimes.
Il n’en va pas de même pour Flash, Internet Explorer 10/11, Edge et Chrome l’intégrant même sans laisser l’utilisateur choisir s’il veut le garder ou pas. Il existe toutefois la possibilité de le désactiver, soit dans les options du côté de Microsoft, soit dans les « chrome://plugins » chez Google."

 

 

Protection :

 

Désactiver FlashPlayer :

Selon le navigateur.

 

Sur Firefox :

En haut à droite :
- cliquer sur le menu, sélectionner Modules
- aller dans Plugins
Pour Shockwave Flash : sélectionner "Demander pour activer"

Firefox : demander pour activer

 

Sur Google Chrome

Dans la barre d'adresses :
- taper : chrome://plugins
Dans Plugins, partie Adobe Flash Player,
- cliquer sur "Désactiver"

 

 

Désactiver Windows Script Host

Beaucoup d'infections proviennent de scripts.

01/03/2016 : Malekal.com - Comment se protéger des scripts malicieux sur Windows
Nous vous recommandons très vivement de désactiver Windows Script Host
10/04/2015 : Malekal.com - Malware par VBS / WSH

 

Windows Script Host dans les programmes par défaut :

Les fichiers .js, .jse, .vbe, .vbs, .wsf et .wsh sont ouverts par défaut par Windows Script Host

 

 

Malekal.com - AnalogX Script Defender
"AnalogX Script Defender permet d'intercepter les tentatives d'exécution de certains scripts
Les extensions de fichiers bloquées par défaut sont : .VBS | .VBE | .JS | .JSE | .HTA | .WSF | .WSH | .SHS | .SHB

 

 

 CD-ROM de désinfection  :
Malekal Live CD
Malekal Live CD
Avec RogueKiller et Malewarebytes.
Quand le démarrage de l'ordinateur est impossible

Voir aussi ma page :
- CD-ROM de désinfection
 Voir aussi mes pages :