Alphacrypt (documents en .ezz)

Alphacrypt (documents en .ezz)
4.8 (95%) 8 votes

Alphacrypt est un ransomware qui va chiffrer vos documents pour les rendre inaccessible puis va vous demander de payer une rançon afin de récupérer l’accès à ces documents.
Alphacrypt est donc un ransomware chiffreurs de fichiers.

Tous les documents chiffrés ont l’extension .ezz

Les fichiers contenants les instructions pour payer se nomment : HELP_DECRYPT.URL  et  HELP_DECRYPT.HTML et sont copiés dans tous les dossiers du disque dur.
Le message comporte la mention :

Alpha Crypt

All your important files are encrypted.

Le fond d’écran peut aussi être modifié avec un message sur fond rouge et un logo reprenant CryptoLocker (boucle blanc et bleu).

AlphaCrypt AlphaCrypt2

All_your_important_files_are_encrypted

 

Ce dernier fait partie de la famille TeslaCrypt qui est le premier nom utilisé par ce ransomware (Ransom:Win32/Tescrypt.A) est peut aussi être détecté avec des détections génériques comme Trojan/Bitman ou TrojWare.Win32.Filecoder

SHA256: a79d1d1727c2ef415157da46d4afa89e1c8ff815af08c3932bf74acb12438913
Nom du fichier : VirusShare_9465ee00e3234ff267a50058d159cb07
Ratio de détection : 46 / 56
Date d’analyse : 2015-05-06 14:47:17 UTC (il y a 5 jours, 19 heures)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2249046 20150506
AVG SHeur4.CIVX 20150506
AVware Trojan.Win32.Generic!BT 20150506
Ad-Aware Trojan.GenericKD.2249046 20150506
Agnitum Trojan.Bitman! 20150505
AhnLab-V3 Trojan/Win32.Tescrypt 20150506
Antiy-AVL Trojan[Ransom]/Win32.Bitman 20150506
Avast Win32:Malware-gen 20150506
Baidu-International Trojan.Win32.Ransom.cw 20150506
BitDefender Trojan.GenericKD.2249046 20150506
Bkav W32.RansomBitmanB.Trojan 20150506
CAT-QuickHeal Ransom.TeslaCrypt.C9 20150506
ClamAV Win.Trojan.Agent-861293 20150506
Comodo TrojWare.Win32.Filecoder.a 20150506
Cyren W32/Trojan.INTY-7926 20150506
DrWeb Trojan.Packed.30395 20150506
ESET-NOD32 Win32/Filecoder.EM 20150506
Emsisoft Trojan.GenericKD.2249046 (B) 20150506
F-Secure Trojan.GenericKD.2249046 20150506
Fortinet W32/Bitman.BN!tr 20150506
GData Trojan.GenericKD.2249046 20150506
Ikarus Trojan.Win32.Filecoder 20150506
Jiangmin Trojan/Bitman.ac 20150505
K7AntiVirus Trojan ( 004b8ac71 ) 20150506
K7GW Trojan ( 004b8ac71 ) 20150506
Kaspersky Trojan-Ransom.Win32.Bitman.cw 20150506
Malwarebytes Trojan.CryptoLocker 20150506
McAfee RDN/Generic.bfr!ig 20150506
McAfee-GW-Edition RDN/Generic.bfr!ig 20150506
MicroWorld-eScan Trojan.GenericKD.2249046 20150506
Microsoft Ransom:Win32/Tescrypt.A 20150506
NANO-Antivirus Trojan.Win32.Bitman.dpujus 20150506
Norman Troj_Generic.ZRGCL 20150506
Panda Generic Suspicious 20150506
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150506
Sophos Troj/EccKrypt-C 20150506
Symantec Trojan.Gen.2 20150506
Tencent Trojan.Win32.Qudamah.Gen.7 20150506
TotalDefense Win32/Tnega.XAZI!suspicious 20150430
TrendMicro TROJ_TESCRYPT.KE 20150506
TrendMicro-HouseCall TROJ_TESCRYPT.KE 20150506
VBA32 Hoax.Bitman 20150506
VIPRE Trojan.Win32.Generic!BT 20150506
ViRobot Trojan.Win32.A.Bitman.182798.A[h] 20150506
Zillya Trojan.Bitman.Win32.14 20150505
nProtect Trojan.GenericKD.2249046 20150506

 

Alpha Crypt se propage par des exploits sur des sites WEB notamment par le web exploitkit : Angler EK.
Si vous avez été infecté, cela signifie que votre ordinateur est vulnérable aux exploits sur site WEB car des logiciels, notamment des plugins sur les navigateurs WEB, ne sont pas à jour et comportent des vulnérabilités.
La simple visite d’un site WEB peut permettre l’infection de votre ordinateur.

Vous devez :

Il existe deux programmes pour récupérer les documents que vous pouvez tester (tout dépend de la variante etc), un programme fourni par Cisco et un autre par Kaspersky.
Une discussion sur ces programmes est présente sur le forum malekal : Documents .ezz et RakhniDecryptor de Kapersky

Sachez aussi que des sites WEB proposent des procédures de désinfections qui ne sont que des prétextes pour vous faire installer des antispywares payants dans l’espoir de vous le vendre.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur gratuitement et sans arnaque.

Nettoyer sur Malwarebytes Anti-Malware

https://www.youtube.com/watch?feature=player_embedded&v=tR-udi9MGU4

Une fois l’ordinateur désinfecté, il est fortement conseillé de changer tous vos mots de passe : Facebook, FTP, mail, jeux en ligne etc.

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

Récupérer vos documents

il n’y a pas vraiment de solution pour récupérer les documents.

Programme de récupération Kaspersky et Cisco

Cisco : Entrée du blog qui parle de ce ransomware et du programme de désinfection en anglais  http://blogs.cisco.com/security/talos/teslacrypt – Lien direct vers le programme : https://github.com/vrtadmin/TeslaDecrypt/archive/master.zip

Dézippez le programme et lancer le fichier TeslaDecrypter.exe qui se trouve dans le dossier Windows.

 

Utilitaire RakhniDecryptor  de Kasperskyhttp://support.kaspersky.com/fr/10556
Lancez le programme et indiquez un fichier .ecc, si cela fonctionne, le programme scanne ensuite l’ordinateur afin de récupérer les documents.

Shadow Copies

Vous pouvez cependant tenter de récupérer des documents à partir des versions précédentes.
Se reporter à la page : Windows : Les versions précédentes des fichiers.
Malheureusement les dernières variantes suppriment les Shadow Copies.

Récupération de fichiers effacés

Vous pouvez tenter des logiciels de récupérations de fichiers effacés tels que PhotoRec ou R-Studio
Se reporter au : Tutoriel PhotoRec

Tutoriel_Photorec_8

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/