Supprimer le virus Wanacry

Un nouveau ransomware, appelé par les chasseurs de logiciels malveillants Wana Decrypt0r 2.0, a été signalé pour chiffrer les fichiers sur les ordinateurs infectés. Le virus de ransomware utilise l’extension de fichier .WNCRY et il est fondamentalement rapporté qu’il s’agit d’une nouvelle version de WannaCry, également connue sous le nom de famille de virus de ransomware WCry. L’infection dépose une note de rançon, appelée @[email protected] et modifie le fond d’écran en ajoutant un logiciel avec des instructions pour payer la rançon. Dans le cas où vous êtes devenu une victime de cette infection de ransomware, nous vous recommandons vivement de lire attentivement l’article suivant.

Résumé du Virus

Nom Le virus Wanacry
Type Ransomware
Brève description Nouvelle version (mai 2017) des virus ransomware WannaCry. Crypte les fichiers et demande ensuite aux victimes de payer une redevance de rançon lourde afin de restaurer les fichiers cryptés.
Symptômes Les fichiers sont cryptés avec l’extension de fichier .WNCRY ajoutée à eux. En plus de cela, il ajoute une note de rançon appelée @ Please_Read_Me @ .txt. Ajoute également un écran de verrouillage nommé “Wana Decrypt0r 2.0”.
Méthode de distribution Via un kit Exploit, une attaque par fichier Dll, un JavaScript malveillant ou un téléchargement automatique du software malveillant lui-même d’une manière obscène.
Outil de
détection
Voir si votre système a été affecté par Le virus Wanacry

Télécharger

L’instrument d’élimination

Outil de récupération de données Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque.

MISE À JOUR MAI 2017 Nous avons résumé les méthodes potentielles par lesquelles vous pourrez théoriquement essayer de restaurer vos fichiers. Nous avons également inclus de nouvelles informations sur la propagation de ce virus. Les instructions sont dans l’article suivant.

Le Virus .WNCRY – Comment se propage-t-il?

Semblable à la variante .wcry précédente, cette itération de ransomware peut également utiliser les mêmes méthodes pour se répandre. Ils sont liés à l’utilisation de différents types d’outils utilisés spécifiquement pour distribuer des fichiers malveillants et des URL sans être détectés:

  • Les exploits ETERNALBLUE et DOUBLEPULSARE ont été divulgués par les ShadowBrokers dans une fuite, appelée “Lost in Translation” qui est arrivé en avril 2017
  • Logiciel de Spamming (robots de spam, crawlers, etc.)
  • Liste pré-configurée d’adresses électroniques des victimes potentielles auxquelles le courrier indésirable peut être envoyé.
  • Logiciels malveillants intermédiaires pour effectuer l’infection.
  • Un ensemble de serveurs C2 et de domaines de distribution pour la commande et le contrôle et le téléchargement du payload du virus du fichier .WNCRY.

Bien que le ransomware WanaCrypt0r 2.0 puisse se répandre via des sites Web torrents, des mises à jour fausses ou d’autres configurations fausses et exécutables téléchargés sur des hots sombres, la principale méthode de propagation du virus peut se faire via des e-mails convaincants. Ces courriels visent à faire en sorte que les victimes cliquent sur une pièce jointe malveillante et soient donc infectées par le virus du fichier .WNCRY.

Les pièces jointes peuvent généralement être .js, .exe ou tout autre type de fichiers exécutables, mais dans certaines situations, ils sont également liées à des macros malveillantes. Ces macros malveillantes peuvent être activées une fois que l’utilisateur active le contenu d’un document.

Le virus de fichier .WNCRY Comment fonctionne-t-il ?

L’activité principale du virus de ransomware Wana Decrypt0r 2.0 après l’infection consiste à déposer un fichier intégré dans le dossier où se trouve le fichier d’infection. Le fichier est un .zip protégé par mot de passe, nommé wcry.zip. Il a les contenus suivants:

  • b.wnry
  • c.wnry
  • r.wnry
  • s.wnry
  • t.wnry
  • u.wnry
  • taskse.exe
  • taskdl.exe

Le fichier d’infection du ransomware Wana Decrypt0r 2.0 extraira alors ces fichiers compressés dans un dossier et commencera à se connecter à la page Web de téléchargement du navigateur Web TOR. De là, le virus .Wana Decrypt0r 2.0 peut se connecter à plusieurs serveurs de commande et de contrôle:

  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

En plus de l’activité de WanaCrypt0r, l’infection .WNCRY peut être de supprimer les copies de volume d’ombre et d’éradiquer toutes les chances de sauver vos fichiers via une sauvegarde sur l’ordinateur infecté. Cela se fait en exécutant les commandes administratives suivantes de Windows:

→ vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set boostatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

En plus de cette activité, WannaCry .WNCRY virus dépose également un programme nommé @[email protected] qui dispose d’une minuterie réelle avec des instructions avancées sur la façon de payer la rançon. Ce programme s’appelle “Wana Decrypt0r 2.0” et son message ressemble à ce qui suit:

Une fois que la minuterie sur ce programme est terminée, le coût du paiement de la rançon peut doubler, selon les messages scareware et la version précédente, qui utilise également ce logiciel.

Une autre action du programme est qu’il modifie également le fond d’écran sur l’ordinateur de la victime avec le message suivant:

Ooops, your important files are encrypted.
If you see this text, but don’t see the ”Wana Decrypt0r” window,
then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named “@[email protected]” in any folder or restore from the antivirus quarantine.
Run and follow the instructions!

Le virus de fichier .WNCRY – Processus de cryptage

Deux algorithmes de cryptage peuvent être utilisés pour cette infection spécifique de ransomware. L’un d’eux est connu sous le nom AES (Advanced Encryption Standard) et peut être utilisé en 128 bits. C’est l’un des chiffres les plus forts et ne peut être déchiffré que si les criminels font une erreur dans le code de cryptage. Il peut générer une clé symétrique, appelée clé FEK après le cryptage. Cette clé peut être la seule méthode pour décrypter les fichiers, car avec elle, le processus peut être inversé.

En plus de cela, un autre chiffre connu sous le nom de Rivers-Shamir-Adleman ou RSA est également utilisé en combinaison avec le chiffrement AES afin de générer des clés publiques et privées uniques pour chacun des fichiers. Cela rend le décryptage de chaque fichier séparé et le processus très difficile et unique.

Pour le processus de cryptage, le virus .WNCRY cible les fichiers largement utilisés. Ces fichiers sont habituellement les suivants:

→ .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar

Supprimer le virus de fichier .WNCRY

Pour supprimer Le virus Wanacry, il est conseillé de suivre les instructions ci-dessous. Ils sont conçus pour une efficacité maximale. Dans le cas où vous n’avez pas l’expérience de la suppression manuelle des logiciels malveillants, nous vous recommandons également d’utiliser un logiciel avancé contre logiciels malveillants pour effectuer l’enlèvement automatiquement.

Supprimez manuellement Le virus Wanacry Ransomware de votre ordinateur

Remarque! Avis important concernant la menace du Le virus Wanacry: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.

1. Chargez votre ordinateur en Mode sans échec dans le but d’isoler et d’éliminer les objets et les fichiers associés au Ransomware Le virus Wanacry
2.Trouvez les fichiers malveillants créés par Le virus Wanacry sur votre ordinateur

Supprimer automatiquement Le virus Wanacry en téléchargeant un programme anti-malware sophistiqué.

1. Installer SpyHunter, afin d’analyser et d’éliminer Le virus Wanacry.
2. Faites une sauvegarde de vos données pour les protéger contre les infections futures d'Le virus Wanacry
3. Restauration de fichiers chiffrés par le Le virus Wanacry
Optionnel: Utilisation des outils alternatifs anti-malware

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.