Virus Osiris

Locky est un raçongiciel qui chiffre/crypte vos fichiers en modifiant l’extension en .osiris
Un raçongiciel ou ransomware est un logiciel malveillant qui prend en otage vos documents et le rend illisible et vous demande de payer une rançon pour récupérer l’accès à ces derniers.

Locky est un crypto-ransomware, dit « Ransomware RSA-2048 and AES-128″, qui cherche à chiffrer vos documents, le but est de prendre en otage vos documents et de vous demander de payer une rançon pour récupérer l’accès à ces derniers.

Dans le cas présent, l’extension des fichiers a été changée en .osiris

Un fichier OSIRIS-XXXX.html et le fond d’écran est aussi modifié pour vous donner les instructions de paiements.

Le virus Locky en vidéo :

La distribution de ce ransomware Ransom:Win32/Locky se fait par des mails dont les campagnes sont assez virulentes ces derniers mais aussi par des exploits sur site WEB.
Dans ce dernier cas, cela indique que votre ordinateur est mal sécurisé et que ce dernier comporte des logiciels vulnérables et non à jour qui permettent sont infection.
Voici un exemple d’un email malicieux Invoice contenant une pièce jointe au format Word. Si l’utilisateur ouvre ce dernier et que la macro s’exécute, le ransomware Ransom:Win32/Locky sera téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word

A ce stade là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware .locky est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Microsoft peut détecter ce dernier en Ransom:Win32/Locky

 

Continue reading “Virus Osiris” »

Ransomware Aesir

Locky est un ransomware qui chiffre/crypte vos fichiers en modifiant l’extension en .aesir
Un Ransomware est un malware qui prend en otage vos documents et le rend illisible et vous demande de payer une rançon pour récupérer l’accès à ces derniers.

Locky est un crypto-ransomware, dit »Ransomware RSA-2048 and AES-128″, qui cherche à chiffrer vos documents, le but est de prendre en otage vos documents et de vous demander de payer une rançon pour récupérer l’accès à ces derniers.

Dans le cas présent, l’extension des fichiers a été changée en .aesir

Un fichier_What_Is.html et le fond d’écran est aussi modifié pour vous donner les instructions de paiements.

ransomware_aesir

Le virus Locky en vidéo :

La distribution de ce ransomware Ransom:Win32/Locky se fait par des mails dont les campagnes sont assez virulentes ces derniers mais aussi par des exploits sur site WEB.
Dans ce dernier cas, cela indique que votre ordinateur est mal sécurisé et que ce dernier comporte des logiciels vulnérables et non à jour qui permettent sont infection.
Voici un exemple d’un email malicieux Invoice contenant une pièce jointe au format Word. Si l’utilisateur ouvre ce dernier et que la macro s’exécute, le ransomware Ransom:Win32/Locky sera téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word

A ce stade là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware .locky est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Microsoft peut détecter ce dernier en Ransom:Win32/Locky

 

Continue reading “Ransomware Aesir” »

Zepto

Zepto est un ransomware/rançongiciel Zepto ou Virus Zepto en langage commun.
Un Ransomware est un logiciel malveillant qui prend en otage vos documents et le rend illisible et vous demande de payer une rançon pour récupérer l’accès à ces derniers.
Avec le Virus Zepto, l’extension des fichiers a été changée en .zepto

zepto_ransomware_3

Un fichier _Zepto_recover_instructions.txt et le fond d’écran est aussi modifié pour vous donner les instructions de paiements.

zepto_ransomware_2 zepto_ransomware

Le virus Zepto en vidéo :

La propagation du ransomware Zepto se fait par des mails dont les campagnes sont assez virulentes ces derniers mais aussi par des exploits sur site WEB.
Voici un exemple d’une campagne d’emails malicieux poussant le virus Zepto, beaucoup contiennentdes pièces jointes au format Word. Si l’utilisateur ouvre ce dernier et que la macro s’exécute, le ransomware Zepto sera téléchargé et installé sur l’ordinateur.

zepto_ransomware_email_malicieux

A ce stade là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware Zepto est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Il existe des programmes qui permet de sécuriser son ordinateur des emails malicieux et notamment le programme Marmiton.
Pour plus d’informations, rendez-vous sur la page : Comment se protéger des scripts malicieux sur Windows

Continue reading “Zepto” »

crypz

crypz est une extension qui peut apparaître à la suite de l’attaque d’un ransomware sur Windows.
Ce ransomware, du nom de UltraDecrypter, sévit depuis Juin 2016, mais n’est pas vraiment nouveau en soit, puisqu’il s’agit du ransomware CryptXXX, qui initialement utilisait l’extension .crypt
La modification concernant surtout donc, une nouvelle extension .crypz

Pour information, un rançongiciel est un virus informatique qui vise à rendre l’accès à vos documents impossible en chiffrant ces derniers (ou crypté si vous préférez)… Les documents deviennent inexpoitables.
Le malware vous demande alors de payer une somme d’argent, plusieurs centaines d’euros pour récupérer l’accès à ces derniers.
Les ransomwares visent les documents bureautique (Word, Excel etc), les fichiers multimédia (format vidéo, images etc) et éventuellement les fichiers de base de données.

ransomware_crypz

Le fonctionnement est donc exactement identique que CryptXXX – seul l’extension crypz change et le site où vous effectuez les paiements.

Une fois l’ordinateur infecté par crypz, les extensions des fichiers touchés changent et des fichiers contenant les instructions de paiements sont placés un peu partout sur l’ordinateur et au démarrage de la session. Cela se fait en créant des fichiers dans le dossier Démarrage (Menu Démarrer / tous les programmes / Démarrages)
Une fois les documents rendus inexploitables,le ransomware s’auto-supprime et ne devient plus actif.

Le site de paiement est accessible via le réseau TOR nommé le « Decrypt service » :

Vous l’aurez compris, une fois les documents touchés, il n’y a pas de solution pour récupérer ces derniers à part payer.
C’est là toute la force des ransomwares.

Tout ce que vous pouvez faire, c’est de vous assurer que le crypz n’est plus actif et supprimer tous les fichiers instructions afin qu’ils ne s’ouvrent plus au démarrage de la session Windows.

Continue reading “crypz” »

RSA-4096

RSA-4096 est une mention qui apparaît sur les messages d’instructions de deux familles de ransomware / rançongiciels à savoir :

Pour rappel, un ransomware est un logiciel malveillant qui cherche à rendre l’accès à vos documents impossibles afin de vous demander de payer une rançon pour récupérer son accès.
Les documents sont chiffrés (en langage commun crypté), la structure de ces derniers est donc modifiée. Seul la clef de déchiffrement permet de rétablir les documents dans leur état initial.
En général, l’extension des documents sont modifiés comme .crypz, .crypted, etc.

Voici un exemple des instructions de paiement du Ransomware RSA-4096 – la mention vient du message :

All of your files were protected by a strong encryption with RSA4096
Ransomware-RSA-4096_crypt

Si ces messages mentionnent un cryptage utilisant l’algorithme RSA pouvant d’ailleurs être cracké, actuellement, les deux variantes utilisent des méthodes plus complexes.
Souvent le fichier est chiffré en AES avec une clef public elle même chiffré en RSA.

Voici une vidéo de la variante CryptXXX – Ransomware RSA4096 :

et la variante TeslaCrypt – Ransomware RSA-4096 :

Ces malwares RSA 4096 sont de vrais saloperies et se diffusent par deux vecteurs principaux :

Une fois Windows touché, tous les documents du disque locaux et amovibles vont être chiffrés, ainsi que ceux accessibles par des ressources réseaux.
Ransomware-RSA-4096_crypt_4

Le paiement se fait sur le réseau TOR en Bitcoin.
Le site WEB du ransomware RSA 4096 fournit après paiement le programme pour déchiffrer les documents.

Ransomware-RSA-4096_crypt_3

Comme vous pouvez le comprendre ces menaces sont vicieuses et peuvent être dramatiques, si vous n’avez pas de sauvegardes des documents.
En effet, il n’y a pas vraiment de solution pour récupérer vos documents.
La bonne attitude à avoir face au malware RSA-4096 est de désinfecter l’ordinateur, une fois le ransomware rendu inactif, vous pouvez alors remettre vos fichiers en place partir d’un backup.

A cet effet, la fiche suivante vous fournit le mode d’emploi pour supprimer le virus RSA 4096.
Cette fiche est entièrement gratuite et ne vise pas à vous faire installer et acheter des solutions payantes.

Continue reading “RSA-4096” »

Ransomware extension XTBL

Si les extensions de vos fichiers documents ont été modifiées en .XTBL, il y a de forte chance que Windows ait été touché par ransomware chiffreurs de fichiers ou crypto-ransomware.
Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va bloquer l’accès à vos documents en chiffrant ces derniers (ou cryptant ces derniers en langage commun) et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.
Tous les documents touchés par ce rançongiciel voit l’extension changée en .XTBL

Il s’agit ici de ransomware de la famille Ransom:Win32/Criakl ou « virus encoder ».
Vous trouverez la fiche de ces ransomwares sur la page suivante : Ransomware « virus-encoder » (Crypto-Ransomware)

Ces ransomwares virus-encoder possèdent plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :

Ces ransomwares se caractérisent pas l’utilisation d’adresse email de contact en @aol.com et @india.com

Les fichiers chiffrés (cryptés en langage commun) porte un id, l’adresse email et l’extension .XTBL

Exemple :

id-6A406277.Vegclass@aol.com.xtbl

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_redshitline_extension_xtbl_2 ransomware_extension_XTBL_2

Le fond d’écran peut être changé avec les instructions de paiement contenant les adresses emails @aol.com et @india.com

ransomware_extension_XTBL ransomware_redshitline_extension_xtbl

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.

Certains de ces ransomwares embarquent des fonctionnalités de vol de mot de passe, il est impératif, une fois l’ordinateur désinfecté de changer tous vos mots de passe, ils ont été probablement récupéré par les cybercriminels.
Dans le cas d’un piratage RDP, vérifiez les comptes administrateurs et changer les mots de passe en conséquence.

Aussi, une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Continue reading “Ransomware extension XTBL” »

Ransom:Win32/Cerber

Ransom:Win32/Cerber est une détection de l’éditeur de sécurité Microsoft qui correspond au ransomware Cerber visant les systèmes Windows.
Le ransomware Cerber est un rançongiciel chiffreur de fichiers ou en anglais Crypto-Ransomware, c’est à dire qu’il va chiffrer les documents (ou crypter les documents en langage commun) contenus sur l’ordinateur. L’extension des documents touchés par ce ransomware porteront l’extension .cerber
Le but final, est de vous faire payer une rançon pour rendre vos documents à nouveau accessibles.

Plus d’informations sur ce malware, sur la page du ransomware Cerber : Fiche Ransomware Cerber

Un fichier contenu les instructions de paiement du Ransomware Ceber sera alors ouvert et lancé au démarrage de Windows, afin de vous donner les indications pour payer en ligne la rançon.
Ces fichiers portent les noms :

# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

Voici un exemple de détection Ransom:Win32/Cerber :

Ransom_Win32_Cerber

et un exemple des instructions de paiements de Cerber :

Côté distribution, ces malwares de type ransomware se propagent essentiellement de deux manières :

L’attitude à tenir est dans un premier temps de désinfecter l’ordinateur pour vous assurer que le ransomware Cerber n’est plus actif.
Une fois le ransomware Cerber supprimé, vous pouvez remettre une sauvegarde des documents.
si vous n’avez pas de sauvegarde de vos documents, malheureusement, ils sont perdus puisqu’il n’existe aucun méthode pour récupérer les documents chiffrés par le ransomware Cerber.

Nous vous proposons de suivre cette procédure de désinfection afin de supprimer Cerber.
En outre, nous vous donnons le lien vers un forum d’entraide informatique spécialisé dans ce genre de menaces informatiques.

Continue reading “Ransom:Win32/Cerber” »

Trojan FileCryptor

Trojan FileCryptor ou Cheval de Troie FileCryptor est une détection de l’antivirus AVG qui se déclenche lorsqu’un malware de type crypto-Ransomware (rançongiciels en français) a été détecté et bloqué.
Pour rappel, les crypto-Ransomware ou ransomware chiffreurs de fichiers sont des malwares qui cherchent à rendre vos documents inaccessibles et réclament une rançon pour vous rendre leur accès.
Il s’agit donc d’une prise d’otage de vos documents afin de faire gagner de l’argent aux auteurs des ces ransomwares.
Lorsque les fichiers documents sont touchés, l’extension est modifiée et des fichiers instructions pour effectuer le payement sont placés sur le bureau de l’ordinateur.

Dans le langage courant, on dit que les fichiers sont cryptés mais le bon terme est chiffré.
Si l’algorithme de chiffrement et le ransomware est bien codé, il est impossible de récupérer les documents, ce qui rend ces menaces très dangereux surtout si aucune sauvegarde n’est disponible.

Depuis 2015 et surtout 2016, une exposition de ces menaces rançongiciels a eu lieu et divers familles existent (Locky Ransomware, TeslaCrypt, CryptoWall) etc.
Vous trouverez un dossier complet sur les ransomwares à la page : crypto-ransomware / rançongiciels chiffreurs de fichiers

Voici un exemple d’une détection AVG Cheval de troie FileCryptor

AVG_Cheval_Troie_Trojan_FileCryptor

Si vous ne constatez aucune modification de vos documents, alors AVG a fait le boulot et le  est bloqué.
Par contre, si vos documents sont inaccessibles, malheureusement, le mal a été fait.

Dans tous les cas, pour vous assurer que l’ordinateur est exempt de tout autre trojan et malware, vous pouvez suivre la procédure gratuite suivante qui vous explique comment désinfecter votre ordinateur.

Cette procédure est entièrement gratuite et ne cherche pas à vous refourguer des antispywares payants comme c’est le cas de beaucoup de sites de désinfection.
En outre, un forum d’aide spécialisé vous ait donné si vous avez besoin d’une aide efficace ou pour répondre à vos questions.

Continue reading “Trojan FileCryptor” »

FileRepMalware

FileRepMalware est une détection de l’antivirus Avast! qui fonctionne un peu comme FileRepMetagen, c’est à dire qu’il s’agit d’une détection du Cloud Avast! Antivirus.
FileRepMalware signifie File Reputation, c’est la réputation de fichiers du Cloud Avast!
Les détections du Cloud ne nécessite pas de mise à jour du client Antivirus et sont en permanence mise à jour par l’éditeur, le client Antivirus pioche en temps réel dans ces définitions, ce qui permet de ne pas perdre de temps entre la mise en place de nouvelle définition virales et la mise à jour du client.
En d’autre terme, le client Antivirus Avast! est en permanence mise à jour et protège plus efficacement l’utilisateur.

Ci-dessous une infection de type FileRepMalware bloquée par Avast!, avec une adresse WEB.
Il s’agit ici d’un script VBE lié au Trojan Dridex.

Avast_FileRepMalware

Autre exemple ci-dessous avec une autre menace bloquée par Avast! liée cette fois-ci au ransomware Locky.

Ransomware_Locky_Avast_FileRepMalware

et en vidéo des mails malicieux Locky détecté en FileRepMalware par Avast! :

Comme vous pouvez donc le voir, ces détections sont très génériques et vous ne pouvez pas vraiment savoir à quelle type de menaces vous avez affaire, bien qu’en général, il s’agit plutôt de Trojan ou Ransomware.

Si Avast! émet une détection FileRepMalware, la menace a été bloquée et Windows n’est normalement pas touché et infecté.
Néanmoins, si vous pensez qu’un Trojan ou autre malware est actif dans le système ou si vous désirez effectuer une simple vérification, vous pouvez suivre le tutoriel suivant.
Seul des programmes gratuits de désinfection sont proposés, en outre, un forum d’entraide spécialisé est aussi donné si vous désirez obtenir une aide personnalisée.

Continue reading “FileRepMalware” »

Ransom:Win32/Locky

Ransom:Win32/Locky est une détection Microsoft qui vise le ransomware/rançongiciel Locky ou Virus Locky en langage commun.
Un Ransomware est un malware qui prend en otage vos documents et le rend illisible et vous demande de payer une rançon pour récupérer l’accès à ces derniers.
Dans le cas présent, l’extension des fichiers a été changée en .locky

Ransom_Win32_Locky

Un fichier _Locky_recover_instructions.txt et le fond d’écran est aussi modifié pour vous donner les instructions de paiements.

Locky_Ransomware_3 Locky_Ransomware

et voici un exemple de document chiffrés (ou crypté en langage commun) avec l’extension modifiée en .locky

Locky_Ransomware_4

Le virus Locky en vidéo :

La distribution de ce ransomware Ransom:Win32/Locky se fait par des mails dont les campagnes sont assez virulentes ces derniers mais aussi par des exploits sur site WEB.
Dans ce dernier cas, cela indique que votre ordinateur est mal sécurisé et que ce dernier comporte des logiciels vulnérables et non à jour qui permettent sont infection.
Voici un exemple d’un email malicieux Invoice contenant une pièce jointe au format Word. Si l’utilisateur ouvre ce dernier et que la macro s’exécute, le ransomware Ransom:Win32/Locky sera téléchargé et installé sur l’ordinateur.

Locky_Ransomware_spam_mail_word

A ce stade là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware .locky est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Microsoft peut détecter ce dernier en Ransom:Win32/Locky

 

Continue reading “Ransom:Win32/Locky” »

virus-encoder info@cryptedfiles.biz

virus-encoder info@cryptedfiles.biz est un ransomware chiffreurs de fichiers ou crypto-ransomware a fait son apparition vu sur ce sujet Trojan.FileCryptor.Trace – virus-encoder
Ces ransomwares virus-encoder possède plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :

Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va rendre l’accès à vos documents impossible et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.

On reconnait ici le fond noir et le message assez similaire à la variante fud@india.com

Le message début par : Attention ! Your computer has been attacked by a virus-encoder
et vous indique que vous devez contacter les adresses emails info@cryptedfiles.biz ou salutem@protonmail.com afin de payer la rançon.

ransomware_info_cryptedfiles.biz

Le message indique que vous devez aussi donner l’id qui se trouve dans le nom du fichier, en effet, les noms des documents sont complètement modifiés avec un radical identique pour chaque fichier.
Exemple :

RELEVE D'INFORMATIONS.PDF.id-6654782581_info@cryptedfiles.biz

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_prontomail_decryptfiles_2

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Continue reading “virus-encoder info@cryptedfiles.biz” »

Ransom:Win32/Crowti

Ransom:Win32/Crowti est une détection de l’antivirus Microsoft qui vise le ransomware TeslaCrypt.
Si Windows Defender ou Microsoft Security Essentials détecte Ransom:Win32/Crowti, cela peut être positif dans le sens où l’antivirus a bloqué l’exécution du malware et empécher de chiffrer les documents.
Un ransomware est un malware qui va chiffrer vos documents et demander de payer une rançon afin de récupérer l’accès à ces derniers.

Ransom_Win32_Crowti

Le ransomware Crowti se propage de deux manières :

Une fois l’ordinateur touché, il faut le désinfecter et éventuellement tenter de récupérer les documents, malheureusement, en général, c’est impossible.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur et supprimer Ransom:Win32/Crowti

Continue reading “Ransom:Win32/Crowti” »

Ransomware fichiers en extension .micro

Les fichiers et documents .micro sont des fichiers qui ont été chiffrés par un ransomware.
Un Ransomware est un malware qui prend en otage vos documents et le rend illisible et vous demande de payer une rançon pour récupérer l’accès à ces derniers.
Dans le cas présent, l’extension des fichiers a été changée en .micro, ce ransomware se nomme TeslaCrypt.

Un fichier help_recover_instructions est ensuite créé et s’ouvre au démarrage de Windows pour vous donner les instructions de paiements.

La distribution de ce ransomware se fait par des mails dont les campagnes sont assez virulentes ces derniers mais aussi par des exploits sur site WEB.
Dans ce dernier cas, cela indique que votre ordinateur est mal sécurisé et que ce dernier comporte des logiciels vulnérables et non à jour qui permettent sont infection.

TeslaCrypt_Campagne_mail_JS

Si l’utilisateur tombe dans le panneau et ouvre la pièce jointe ou si l’ordinateur est vulnérable aux WebExploits, le ransomware TeslaCrypt RSA-4096 est télécharge et s’installe sur l’ordinateur.
Ce ransomware va alors chiffrer tous les documents pour bloquer leur accès et modifier l’extension en .micro

TeslaCrypt_extensions_micro

A ce stade là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware .micro est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

Continue reading “Ransomware fichiers en extension .micro” »

Win32:Crypt [Trj]

Win32:Crypt est une détection de l’antivirus Avast! qui désigne des Crypto-ransomwares.
Les Crypto-Ransomware sont des menaces informatiques qui vont chiffrer vos documents et vous réclamer de payer une rançon afin de récupérer l’accès à ces derniers.
C’est une prise en otage de vos documents afin de vous soutirer de l’argent.
Voici un exemple de détection Win32:Crypt :

Win32_Crypt

Généralement quand Win32:Crypt devient actif, les extensions des documents sont modifiés et un fichier contenant les instructions se lancent au démarrage de l’ordinateur.

Les menaces informatiques de type Win32:Crypt utilisent essentiellement deux méthodes pour se diffuser et atteindre les ordinateurs de leurs victimes :

La détection Win32:Crypt peut avoir plusieurs significations, Avast! a détecté une attaque et la bloquait, vos documents et vos ordinateurs ont été sauvés.
Vous avez fait un scan et Avast! détecte une ancienne attaque.
Votre ordinateur a été infecté par un ransomware, vu que les documents sont chiffrés, en général, vous êtes au courant qu’une telle attaque a lieu sur votre ordinateur.

Dans les deux premiers cas, vous pouvez vérifier avec la procédure gratuite suivante que votre ordinateur n’est pas infecté. En cas de doute, nous vous fournissons aussi le lien d’un forum d’entraide informatique qui peut vous dépanner gratuitement.

Continue reading “Win32:Crypt [Trj]” »

Permanent MFC Application

Permanent MFC Application est la mention qui peut apparaître devant un ransomware bloquant l’accès au bureau et affichant le message suivante :

"Security Advisory FBI Warning on " Destructive " Malware
You may have heard about this malware i the news. It can cause data demange and loss, but your up-to-date Norton product helps protect against this threat.
Don't forget, your Norton protection also comes with data backup. You only need to configure it once, and you're set.
Backup Error (0098)"

Il s’agit ici de faire croire que l’ordinateur est infecté afin de faire téléphoner à un support en ligne, qui n’a qu’un seul but, vous faire acheter des logiciels de nettoyages à des prix plus élevés que ce qui se pratique sur le marché.
Ces arnaques sont bien connus et certains utilisateurs ont vu se faire dépouiller des centaines d’euros.

Plus d’informations sur ces arnaques sur notre dossier : Arnaques désinfection / support par téléphone

Tech_scam_trojan_Security_Advisor_FBI_Warning_Destructive_Malware

D’ordinaire, ces arnaques bloquaient le navigateur WEB afin d’afficher ces faux messages, celui-ci bloque entièrement l’accès au bureau.
Il s’agit donc d’un ransomware pour propager une arnaque.

Etant donné que le ransomware bloque le bureau, il n’est pas forcément facile de s’en débarrasser.
Nous vous proposons de suivre cette procédure générique, en espérant qu’elle vous permette de nettoyer votre ordinateur et supprimer ce ransomware.
En outre, ce ransomware étant distribué par des plate-formes d’indésirables, votre ordinateur est probablement infecté par des adwares, il est donc conseillé de suivre cette procédure gratuite qui devrait vous permettre de les supprimer aussi.

 

Fermer la fenêtre Permanent MFC Application

  • Appuyez sur CTRL+ALT+Suppr puis gestionnaire de tâches
  • Chercher dans la liste des fenêtres, la fenêtre relative à ce faux messages Security Advisory puis faites fin de tâches.
  • Normalement, vous devez avoir deux processus relatifs à ce ransomware, cela ne sert à rien de faire un fin de tâche dessus, il va se relancer.
    • en faisant un clic droit puis Terminer l’arborescence du processus sur un des deux, il ne devrait plus se relancer.

Permanent MFC Application

Continue reading “Permanent MFC Application” »

1 2 3