“Oups, vos fichiers importants sont chiffrés” est ce que les victimes du virus WannaDecryptorWannaCry voient après la contamination de leurs ordinateurs par ce virus. Une fois que cela s’est produit, l’infection ransomware commence à ajouter des algorithmes de cryptage et à rendre les documents sur les ordinateurs concernés illisibles. Après cela s’est produit, le fichier !Please Read Me!.txt est déposé sur l’ordinateur de l’utilisateur, qui vise à faire en sorte que les victimes téléchargent un décrypteur à partir d’un compte dropbox. Ensuite, le décrypteur exige 300 $ de compensation BTC pour récupérer les données. Dans le cas où vous êtes victime de la menace WannaDecryptor, nous vous recommandons de lire attentivement cet article.
Résumé du Virus
| Nom | Wanna Cry |
| Type | Ransomware |
| Brève description | Le software malveillant crypte les fichiers des utilisateurs en utilisant les chiffrages de chiffrement AES et RSA, en rendant le décryptage direct possible seulement via une clé de décodage unique possédée par les cybercriminels. |
| Symptômes | L’utilisateur peut être témoin des notes de rançon et des «instructions», appelés !Please Read Me!.txt qui mènent aux contact avec les cybercriminels. Ils modifient le fond d’écran avec un message demandant de télécharger un décrypteur de Dropbox. Le décrypteur veut 300 $ en BTC pour fonctionner. |
| Méthode de distribution | Via un kit Exploit, une attaque par fichier Dll, un JavaScript malveillant ou un téléchargement automatique du software malveillant lui-même d’une manière obscène. |
| Outil de détection |
Voir si votre système a été affecté par Wanna Cry
Télécharger
L’instrument d’élimination
|
| Outil de récupération de données | Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque. |
Le Ransomware Wanna Cry – Comment infecte-t-il?
Pour que l’infection de ce virus réussisse, les cybercriminels derrière la menace Wanna Decryptor peuvent utiliser une combinaison de différents outils et kits:
- Logiciel de spam pour l’e-mail.
- Une liste préétablie d’adresses de courrier électronique de spam, généralement achetés sur le marché noir.
- Logiciel responsable de la diffamation des fichiers afin que la détection par logiciel de sécurité soit évitée.
- Infection différente avec logiciels malveillants (Téléchargeurs, droppers, extracteurs, etc.)
- Serveurs de commande et de contrôle malveillants et hôtes de distribution.
La méthode la plus souvent employée laquelle les criminels comme ceux responsables pour le ransomware Wanna Decryptor utilisent est par courrier indésirable. Tels messages de courrier électronique ressemblent habituellement à des avis importants différents, pour inciter les utilisateurs à ouvrir des pièces jointes malveillantes ou à cliquer sur des liens qui redirigent vers des hôtes malveillants.
Après que la menace Wanna Decryptor a déjà causé une infection en convainquant l’utilisateur d’ouvrir la pièce jointe malveillante, le virus commence à supprimer ses fichiers malveillants sur l’ordinateur infecté. Les dossiers qui ont été détectés par les chercheurs sont les suivants:
- !WannaDecryptor!.exe
- !WannaDecryptor!.exe.lnk
- !WannaCryptor!.bmp
- !Please Read Me!.txt
Le Ransomware Wanna Cry – Qu’est-ce qu’il fait?
L’activité de WannaDecryptor est relativement similaire à celle de la plupart des virus de ransomware. Le virus exécute une commande administrative qui supprime tous les fichiers sauvegardés (copies d’ombre) sur les machines Windows infectées:
→ HKEY_CURRENT_USER\Control Panel\Desktop\
HKEY_USERS\.DEFAULT\Control Panel\Desktop\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Fond d’écran du bureau changements a !WannaCryptor!.bmp:
The web link, leading to drop box may download a decryptor which looks like the following:
Le Ransomware Wanna Cry – Le processus de cryptage
Deux algorithmes de cryptage puissants peuvent être utilisés pour le processus de cryptage effectué par WannaDecryptor. L’un d’eux est connu sous le nom de Advanced Encryption Standard et est un décrypteur très fréquent dans la plupart des virus de ransomware. Le chiffrement est également utilisé par certaines agences gouvernementales des États-Unis pour chiffrer les documents secrets. Son utilisation dans ce virus est principalement axée sur le cryptage des fichiers et la génération de la clé symétrique (FEK) qui rend le fichier non lisible.
Ensuite, un autre algorithme de cryptage, appelé Rivest-Shamir-Adleman ou RSA, est utilisé pour générer une clé publique correspondant à la clé symétrique et à ajouter la clé dans les données du fichier. Étant donné que WannaDecryptor ransomware peut utiliser des clés uniques pour un ensemble de fichiers ou pour chaque fichier, la découverte d’une méthode de décryptage par ingénierie inverse ne peut réussir que s’il y a une erreur lors du codage de la procédure de cryptage, ce qui n’est pas probable.
Supprimer le Ransomware Wanna Cry
Pour supprimer Wanna Cry, il est conseillé de suivre les instructions ci-dessous. Ils sont conçus pour une efficacité maximale. Dans le cas où vous n’avez pas l’expérience de la suppression manuelle des logiciels malveillants, nous vous recommandons également d’utiliser un logiciel avancé contre logiciels malveillants pour effectuer l’enlèvement automatiquement.
Supprimez manuellement Wanna Cry Ransomware de votre ordinateur
Remarque! Avis important concernant la menace du Wanna Cry: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.
1. Pour Windows 7, XP et Vista.
2. Pour Windows 8, 8.1 et 10.Pour les systèmes d’exploitation WindowsXP, Vista et 7:
1. Supprimer tous les CD et DVD et puis redémarrez votre ordinateur depuis le menu « Démarrer ».
2. Sélectionnez l’une des deux options ci-dessous:
– pour les ordinateurs avec un seul système d’exploitation: Appuyez plusieurs fois sur la touche “F8”, lors du redémarrage de votre ordinateur, après l’apparition du premier écran de démarrage. Au cas que vous voyez le logo de Windows à l’écran, vous devrez répéter les mêmes actions.
– pour les ordinateurs avec plusieurs systèmes d’exploitation : Les touches fléchées vous aideront à sélectionner le système d’exploitation que vous souhaitez démarrer en « mode sans échec ». Appuyez sur la touche « F8 » de la même manière que celle décrite ci-dessus pour les ordinateurs à un seul système d’exploitation.
3. Après l’affichage de l’écran avec les « Options de démarrage avancées », sélectionnez l’option de Mode sans échec souhaitée, à l’aide des touches fléchées. Une fois que vous avez fait votre choix, appuyez sur « Enter ».
4. Ouvrez une session sur votre ordinateur en utilisant votre compte d’administrateur.
Alors que votre ordinateur est en Mode sans échec, les mots « Mode sans échec » vont apparaitre dans chacun des quatre coins de votre écran.
Étape 1: Ouvrez le menu “Démarrage”.
Étape 2: En maintenant la touche Maj (Shift), cliquez sur la Puissance, puis Redémarrage Étape 3: Après le redémarrage, il apparaîtra sous le menu mentionne. À partir de là, vous devez sélectionner “Dépannage”.
Étape 3: Vous verrez le menu “Dépannage”. À partir de là, vous pouvez sélectionner la „Options avancées“.
Étape 4: Vous verrez le menu “Dépannage”. À partir de là, vous pouvez sélectionner la „Options avancées“.
Étape 5: Une fois le que le menu « Options avancées » apparaît, cliquez sur « Paramètres de démarrage».
Étape 6: Cliquez sur “Redémarrage”.
Étape 7: Un menu de redémarrage s’affiche. Vous devriez sélectionner Mode sans échec en appuyant sur le numéro correspondant, et de cette manière la machine va redémarrer.
Trouvez les fichiers malveillants créés par Wanna Cry
1. Pour Windows 8, 8.1 et 10Pour les Systèmes d’Exploitation Windows plus récents
Étape 1:
Sur votre clavier appuyez sur + R et écrivez explorer.exe dans la zone de texte Run et puis appuyez sur le bouton Ok.
Étape 2:
Cliquez sur your PC de la barre d’accès rapide. Cela est généralement une icône avec un moniteur et son nom est “My Computer”, “My PC” ou bien “This PC” ou ce que vous l´avez nommé.
Étape 3:
Accédez à la zone de recherche en haut à droite de l’écran de votre ordinateur et tapez “fileextension:” puis tapez l’extension de fichier. Si vous cherchez des malveillants exécutables, un exemple peut être “fileextension:exe”. Après avoir fait cela, laissez un espace et tapez le nom de fichier que vous croyez que le malware a créé. Voici comment cela peut apparaître si votre fichier a été trouvé:
N.B. Nous vous recommandons d’attendre le chargement complet de la barre verte dans la zone de navigation au cas où l´ordinateur est à la recherche du fichier et il ne l’a pas encore trouvé.
Supprimer automatiquement Wanna Cry en téléchargeant un programme anti-malware sophistiqué.
Installer SpyHunter, afin d’analyser et d’éliminer Wanna Cry.
1. Installer SpyHunter, afin d’analyser et d’éliminer Wanna Cry.2. Analysez avec SpyHunter, afin de detecter et supprimer Wanna Cry.Etape 2: Guidez-vous par les instructions de téléchargement fournies pour chaque navigateur.
Etape 3: Une fois que vous avez installé SpyHunter, attendez pour qu’il se mette à jour lui-même.
Etape 1: Une fois que la mise à jour soit terminée, cliquez sur le bouton « Analyser l’ordinateur maintenant »
Etape 2: Après que Spy Hunter ait finit avec l’analyse de votre ordinateur pour les fichiers d’ Wanna Cry cliquez sur le bouton “ « Fixer les menaces » afin de les éliminer automatiquement et en permanence.
Etape 3: Après que les infiltrations sur votre ordinateur sont supprimées, il est fortement recommandé de le redémarrer
STOPZilla Anti MalwareÉtape 1: Télécharger STOPZilla en cliquant ici..
Étape 2: Une fenêtre contextuelle apparaîtra. Cliquez sur le bouton «Enregistrer le fichier». Dans le cas où il n’est pas enregistré, cliquez sur le bouton Télécharger et ensuite et le sauvegardez ensuite. .
Étape 3:Une fois que vous avez téléchargé la configuration, il est nécessaire uniquement de l’ouvrir.
Étape 4: Il devrait apparaitre une pour l’installation. Cliquez sur le bouton «Suivant».
Étape 5: Marquez le cercle corespondant de « J’accepte l’accord », si vous avez examiné et acceptez les termes et conditions. Puis appuyez à nouveau sur le bouton « Suivant ».
Étape 6: Accédez à nouveau et puis cliquez sur le bouton ‘Installation’.
Étape 7: Une fois l’installation terminée, cliquez sur la touche ‘Finish’.
2. Analysez votre ordinateur avec STOPZilla Anti Malware, afin d’éliminer complètement tous les fichiers associés le Wanna Cry
Étape 1: Demarrer le STOPZilla, si vous ne l’avez pas déjà fait après le processus d’installation.
Étape 2: Attendez que le logiciel de se mettre à jour automatiquement et puis cliquez sur le touché “Réparer maintenant”. Dans le cas où l’analyse automatique ne commence pas, cliquez sur « Scan maintenant ».
Étape 3: Après l’élimination de toutes les menaces et objets en rapport avec les logiciels malveillants, il est préférable de redémarrer votre ordinateur.
