Ransomware extension XTBL

Si les extensions de vos fichiers documents ont été modifiées en .XTBL, il y a de forte chance que Windows ait été touché par ransomware chiffreurs de fichiers ou crypto-ransomware.
Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va bloquer l’accès à vos documents en chiffrant ces derniers (ou cryptant ces derniers en langage commun) et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.
Tous les documents touchés par ce rançongiciel voit l’extension changée en .XTBL

Il s’agit ici de ransomware de la famille Ransom:Win32/Criakl ou « virus encoder ».
Vous trouverez la fiche de ces ransomwares sur la page suivante : Ransomware « virus-encoder » (Crypto-Ransomware)

Ces ransomwares virus-encoder possèdent plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :

Ces ransomwares se caractérisent pas l’utilisation d’adresse email de contact en @aol.com et @india.com

Les fichiers chiffrés (cryptés en langage commun) porte un id, l’adresse email et l’extension .XTBL

Exemple :

id-6A406277.Vegclass@aol.com.xtbl

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_redshitline_extension_xtbl_2 ransomware_extension_XTBL_2

Le fond d’écran peut être changé avec les instructions de paiement contenant les adresses emails @aol.com et @india.com

ransomware_extension_XTBL ransomware_redshitline_extension_xtbl

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.

Certains de ces ransomwares embarquent des fonctionnalités de vol de mot de passe, il est impératif, une fois l’ordinateur désinfecté de changer tous vos mots de passe, ils ont été probablement récupéré par les cybercriminels.
Dans le cas d’un piratage RDP, vérifiez les comptes administrateurs et changer les mots de passe en conséquence.

Aussi, une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Continue reading “Ransomware extension XTBL” »

Trojan FileCryptor

Trojan FileCryptor ou Cheval de Troie FileCryptor est une détection de l’antivirus AVG qui se déclenche lorsqu’un malware de type crypto-Ransomware (rançongiciels en français) a été détecté et bloqué.
Pour rappel, les crypto-Ransomware ou ransomware chiffreurs de fichiers sont des malwares qui cherchent à rendre vos documents inaccessibles et réclament une rançon pour vous rendre leur accès.
Il s’agit donc d’une prise d’otage de vos documents afin de faire gagner de l’argent aux auteurs des ces ransomwares.
Lorsque les fichiers documents sont touchés, l’extension est modifiée et des fichiers instructions pour effectuer le payement sont placés sur le bureau de l’ordinateur.

Dans le langage courant, on dit que les fichiers sont cryptés mais le bon terme est chiffré.
Si l’algorithme de chiffrement et le ransomware est bien codé, il est impossible de récupérer les documents, ce qui rend ces menaces très dangereux surtout si aucune sauvegarde n’est disponible.

Depuis 2015 et surtout 2016, une exposition de ces menaces rançongiciels a eu lieu et divers familles existent (Locky Ransomware, TeslaCrypt, CryptoWall) etc.
Vous trouverez un dossier complet sur les ransomwares à la page : crypto-ransomware / rançongiciels chiffreurs de fichiers

Voici un exemple d’une détection AVG Cheval de troie FileCryptor

AVG_Cheval_Troie_Trojan_FileCryptor

Si vous ne constatez aucune modification de vos documents, alors AVG a fait le boulot et le  est bloqué.
Par contre, si vos documents sont inaccessibles, malheureusement, le mal a été fait.

Dans tous les cas, pour vous assurer que l’ordinateur est exempt de tout autre trojan et malware, vous pouvez suivre la procédure gratuite suivante qui vous explique comment désinfecter votre ordinateur.

Cette procédure est entièrement gratuite et ne cherche pas à vous refourguer des antispywares payants comme c’est le cas de beaucoup de sites de désinfection.
En outre, un forum d’aide spécialisé vous ait donné si vous avez besoin d’une aide efficace ou pour répondre à vos questions.

Continue reading “Trojan FileCryptor” »

virus-encoder info@cryptedfiles.biz

virus-encoder info@cryptedfiles.biz est un ransomware chiffreurs de fichiers ou crypto-ransomware a fait son apparition vu sur ce sujet Trojan.FileCryptor.Trace – virus-encoder
Ces ransomwares virus-encoder possède plusieurs variantes et sont actifs depuis plusieurs, on retrouve notamment :

Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va rendre l’accès à vos documents impossible et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.

On reconnait ici le fond noir et le message assez similaire à la variante fud@india.com

Le message début par : Attention ! Your computer has been attacked by a virus-encoder
et vous indique que vous devez contacter les adresses emails info@cryptedfiles.biz ou salutem@protonmail.com afin de payer la rançon.

ransomware_info_cryptedfiles.biz

Le message indique que vous devez aussi donner l’id qui se trouve dans le nom du fichier, en effet, les noms des documents sont complètement modifiés avec un radical identique pour chaque fichier.
Exemple :

RELEVE D'INFORMATIONS.PDF.id-6654782581_info@cryptedfiles.biz

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_prontomail_decryptfiles_2

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup.

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Continue reading “virus-encoder info@cryptedfiles.biz” »

Ransomware how to recover (RSA-4096)

Depuis plusieurs jours, des campagnes d’emails malicieux pour le ransomware TeslaCrypt (Ransomware how to recover (RSA-4096)a lieu, ce dernier, une fois l’ordinateur infecté, modifie les documents avec les extensions.vvv, .mp3 ou extension .micro empêchant l’accès à ces derniers.
C’est ici, le but des ransomwares, à savoir bloquer l’accès à documents afin de demander ensuite de payer une rançon pour retrouver l’accès.
Les paiements peuvent s’élever à plusieurs centaines d’euros.
L’accès aux documents initiales est alors impossible.

La distribution de ce ransomware 4096 se fait par des mails dont les campagnes sont assez virulentes ces derniers.
Les pièces jointes sont au format .zip qui contiennent un fichier .js (JavaScript)

TeslaCrypt_Campagne_mail_JS

Si l’utilisateur tombe dans le panneau et ouvre la pièce jointe, le ransomware TeslaCrypt RSA-4096 est télécharge et s’installe sur l’ordinateur.
Ce ransomware va alors chiffrer tous les documents pour bloquer leur accès et modifier l’extension en .vvv, .mp3 ou extension .micro
Ensuite, un fichier how_recover sera déposé dans chaque dossier avec les instructions de paiements, ces fichiers instructions how_recover sont en différents formats .txt ou .html ou image .bmp avec un contenu identique.

TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES_2 TeslaCrypt_extension_vvv_HOW_TO_RESTORE_FILES_3A ce moment là, le mal est fait et il est impossible de récupérer l’accès aux documents.
Vous pouvez cependant remettre une sauvegarde, mais avant cela, il faut s’assurer que l’ordinateur est bien désinfecté, car si le ransomware RSA-406 .vvv, .mp3 ou .micro est encore actif, les sauvegardes peuvent être chiffrées à leurs tours.

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

Continue reading “Ransomware how to recover (RSA-4096)” »

virus-encoder helpme@freespeechmail.org

Le ransomware helpme@freespeechmail.org est une variante d’un ransomware qui se propage maintenant depuis plusieurs mois.
Les variantes précédentes :

Le ransomware va donc modifier vos documents pour les rendre illisible dans le but de vous demander de payer une rançon afin de récupérer l’accès à vos documents.
Dans le cas d’une entreprise, ces pratiques peuvent être dévastatrices puisque du jour au lendemain l’accès aux documents impossibles.

Deux cas sur le forum :

Dans cette nouvelle variante, les documents sont modifiés avec l’ajout d’une extension id-XXXX_helpme@freespeechmail.org ou XXX sont des chiffrés. Par exemple : monimage.jpg.id-4126721512_helpme@freespeechmail.org.

Puis le fond d’écran est modifié, toujours avec un fond d’écran noir et un message :

Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithim

Le ransomware vous donne l’adresse de contact afin de payer la rançon : helpme@freespeechmail.org

freespeechmail-ransomware

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Continue reading “virus-encoder helpme@freespeechmail.org” »

Ransomware extension .uaovhea

Si vos documents ont été modifiés avec une extension .uaovhea alors vous avez subi une attaque d’un ransomware.
Pour comprendre ce qu’est un ransomware ransomwares chiffreurs de fichiers, reportez-vous à notre dossier : Ransomware chiffreurs de fichiers

Ce dernier va empêcher l’accès à vos documents et vous réclamer une rançon à payer afin de récupérer l’accès à vos documents. Vos documents sont donc pris en otage, en payant, vous n’êtes pas non plus certains de récupérer l’accès à vos documents.
Tous les documents qui ont été touchés par ce ransomware auront une extension .uaovhea

Ransomware_extension_uaovhea

Ces malwares de type ransomware se propagent essentiellement de deux manières :

Dans un premier temps, ce qu’il faut faire, c’est de s’assurer que le ransomware n’est plus actif.
Bien souvent, ces ransomware se lance, chiffre les documents et se ferme, c’est à dire qu’il ne tente pas de rester résident sur l’ordinateur en se lançant à chaque démarrage.

Comment supprimer le  Ransomware extension .uaovhea ?

Malheureusement en général, il n’y a pas vraiment de solution pour récupérer les documents, si le malware est bien codé, c’est à dire sans erreur au niveau du chiffrement des fichiers, il est impossible de récupérer les documents.
Vous pouvez néanmoins tenter de récupérer les documents via les « versions précédentes » si ce dernier ne le supprime pas.

La procédure gratuite suivante vous explique comment vérifier que votre ordinateur n’est plus infecté par le ransomware  .uaovhea et de tenter de récupérer vos documents.

Continue reading “Ransomware extension .uaovhea” »

virus-encoder sos@decryptfiles.com

Un nouveau ransomware chiffreurs de fichiers a fait son apparition vu sur ce sujet Trojan.FileCryptor.Trace – virus-encoder
Ce dernier semble être une variante du Ransomware fud@india.com – virus-encoder

Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va rendre l’accès à vos documents impossible et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.

On reconnait ici le fond noir et le message assez similaire à la variante fud@india.com

Le message début par : Attention ! Your computer has been attacked by a virus-encoder
et vous indique que vous devez contacter les adresses emails sos@decryptfiles.com ou zuza@protonmail.com afin de payer la rançon.

Le message indique que vous devez aussi donner l’id qui se trouve dans le nom du fichier, en effet, les noms des documents sont complètement modifiés avec un radical identique pour chaque fichier.
Exemple :

1.doc.id-0028403174_email1_sos@decryptfiles.com_email2_zuza@protonmail.com_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_prontomail_decryptfiles_2

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()

Au moment où nous écrivons ces lignes, ce dernier est plutôt mal détecté :

SHA256: 409183e50ef1b6ad32075d500552cff0bcc53cebb9086ec7daafb0610371b809
Nom du fichier : E995.tmp
Ratio de détection : 3 / 55
Date d’analyse : 2015-09-29 14:08:25 UTC (il y a 14 minutes)
Antivirus Résultat Mise à jour
DrWeb Trojan.Encoder.567 20150929
Kaspersky Trojan-Ransom.Win32.Cryakl.aby 20150929
Rising PE:Malware.Obscure/Heur!1.9E03[F1] 20150928

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

EDIT : d’après ce lien Infection Trojan Cryptage fichier crypthelp12 – l’adresse email pour payer la rançon a changé en crypthelp12@gmail.com

Continue reading “virus-encoder sos@decryptfiles.com” »

Ransomware fud@india.com – virus-encoder

Le Ransomware fud@india.com est un nouvel ransomware/rançonlogiciels qui chiffre vos documents.
Pour comprendre ce qu’est un ransomware ransomwares chiffreurs de fichiers, reportez-vous à notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Ce dernier va empêcher l’accès à vos documents et vous réclame une rançon à payer.
Dans le cas de ce virus-encoder, le fond d’écran est modifié avec un fond noir et les instructions vous demandant d’envoyer un email à l’adresse fud@india.com d’où le nom de ce ransomware.

fud_india_ransomware

Voici quelques sujets de victimes sur le forum malekal :

Ce type de malwares se propagent essentiellement de deux manières :

Dans un premier temps, ce qu’il faut faire, c’est de s’assurer que le ransomware n’est plus actif.
Bien souvent, ces ransomware se lance, chiffre les documents et se ferme, c’est à dire qu’il ne tente pas de rester résident sur l’ordinateur en se lançant à chaque démarrage.

Voici les fichiers utilisés par ce ransomware, ESET NOD32 le détecte en Win32/FileCoder
Ce dernier peut s’installer dans %ALLUSER%\Microsoft0\auaucdlve.exe

filecoder_fud_india

Malheureusement en général, il n’y a pas vraiment de solution pour récupérer les documents, si le malware est bien codé, c’est à dire sans erreur au niveau du chiffrement des fichiers, il est impossible de récupérer les documents.
Vous pouvez néanmoins tenter de récupérer les documents via les « versions précédentes » si ce dernier ne le supprime pas.

La procédure gratuite suivante vous explique comment vérifier que votre ordinateur n’est plus infecté par le ransomware fud@india.com et de tenter de récupérer vos documents.

Continue reading “Ransomware fud@india.com – virus-encoder” »

CryptoFortress

CryptoFortress est un nouvel ransomware/rançonlogiciels qui chiffre vos documents.
Pour comprendre ce que sont les ransomwares chiffreurs de fichiers, nous vous recommandons de lire notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Ce type de malware a pour but de rendre vos documents inaccessible et vous demande de payer une rançon afin de récupérer l’accès à vos documents.

Dans le cas de CryptoFortress, les documents sont modifiés et l’extension extension .frtrss est ajoutée.
CryptoFortress
créé ensuite des fichiers READ IF YOU WANT YOUR FILES BACK.html qui contiennent les instructions pour payer la rançon.

CryptoFortress

CryptoFortress va essentiellement par :

Quelques exemples de sujets de victimes :

Dans le cas d’une infection CryptoFortress, la procédure consiste à désinfecter votre ordinateur puis de tenter de récupérer vos documents, soit par des backups de préférence, soit en tant la récupération par les versions précédentes (shadow copies).

La procédure gratuite suivante vous explique comment supprimer CryptoFortress.

Continue reading “CryptoFortress” »

CTB-Locker

CTB-Locker est un ransomware/rançonlogiciels qui chiffrent les documents, la famille de malware derrière ce ransomware est Critroni.
Les premières campagnes de CTB-Locker datent de Juin 2014 et visent toutes les versions de Windows.

Ce ransomware se propage essentiellement :

Une fois infecté, tous les documents contenus sur l’ordinateur sont chiffrés et le fond d’écran est modifié.
Les documents peuvent avoir une nouvelle extensions CTB, CTB2 ou encore une extension aléatoire.
Lorsque vous tentez d’ouvrir ces documents, cela peut vous rediriger vers la page du ransomware CTB-Locker.

Voici un exemple de message où vous explique qu’il faut se connecter sur le réseau TOR pour payer la rançon afin de récupérer les documents. Le fond d’écran peut être modifié.

CTB-Locker

CTB-Locker

CTB-Locker

CTB-Locker

Les fichiers chiffrés ont une extension à 7 caractères.

CTB_Locker_fichiers_chiffres

Un autre message vous informant que vos fichiers ont été chiffrés, ce dernier vous communiquent les numéros de séries et vous indique qu’il faut vous connecter sur un site sur le réseau TOR afin de pouvoir déchiffrer vos documents.
Bien sûr il faudra payer la rançon.

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://ohmva4gbywokzqso.onion.cab or http://ohmva4gbywokzqso.tor2web.org in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org.
2. In the Tor Browser open the http://ohmva4gbywokzqso.onion
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.
Copy and paste the following public key in the input form on server. Avoid missprints.
LFSWEK6-RHN4NRV-FVE5UNG-SFH2WFJ-7WYW5VJ-TY76CPZ-HE3GJOG-JVGVBYN
ITHN6JX-M3MS365-HPIGKA5-AKZZ455-HXWCL7Z-BO7ZDVV-FBLQRGU-PNSQTHL
L7KPDCP-NV6I6P7-HRXK6GU-O7EZPK4-K2RRMCA-VQ76JC7-TWJOMC4-WAIUHNH

Follow the instructions on the server.

The list of your encrypted files:

CTB_Locker_message

Il n’existe pas de programmes qui permet de récupérer les documents, la récupération est donc très compromis.
Vous devez néanmoins désinfecter votre ordinateur afin de supprimer toute infection résiduelle.
Normalement CTB-Locker n’est pas résident, actuellement, le ransomware n’embarque pas de fonctionnalité de stealer (vols de mot de passe etc), mais dans le futur ces fonctionnalités peuvent être ajoutées, il est donc recommandé de changer tous ses mots de passe à l’issu de la désinfection.

La procédure gratuite suivante vous guide dans cette désinfection.

En Février 2016, une nouvelle variante est apparue s’attaquant aux sites WEB en GNU/Linux (source : CTB-Locker (Critroni.A))

Continue reading “CTB-Locker” »

CryptoWall

Crytowall est un trojan de type ransomware chiffreurs de fichiers, ce dernier va chiffrer vous documents et demander de payer une rançon afin de les récupérer.
Vous trouvez des informations sur la page  CryptoWall / Cryptobir how decrypt  ainsi qu’un dossier générale sur les ransomwares chiffreurs de fichiers : Ransomware chiffreurs de fichiers.

Ce dernier créé un fichier HELP_DECRYPTION afin de vous donner les instructions pour payer une rançon qui consiste à récupérer la clef de déblocage qui permet de déchiffrer les fichiers.
Ce fichier HELP_DECRYPTION a tendance à se copier dans beaucoup de dossier de votre ordinateur, NOD32 le détecte en Win32/Filecoder.

Supprimer Cryptowall

Supprimer Cryptowall

Ce malware se propage de deux manières différentes :

La dernière version est Cryptowall 3.0 qui ouvre des fichiers HELP_DECRYPT.TXT

Cryptowall_3.0

Cryptowall_3.0_HELP_DECRYPT

 

 

 

Malwarebytes Anti-Malware détecte ce dernier en Ransom.CryptoWall

Malwarebytes_Ransom_CryptoWall

Les actualités autour du malware CryptoWall

Supprimer Cryptowall

Vous devez donc faire particulièrement attention aux pièces jointes que vous ouvrez par mail, même les emails en français mais aussi vous assurer que vos logiciels et notamment les plugins (Java, Adobe Flash/Reader) sont à jour pour ne pas être vulnérables aux exploits sur site WEB.

Cryptowall est l’un logiciel malveillant les plus répandus, on estime à environ 625 000 ordinateurs infectés en l’espance de 6 mois.

Voici les instructions pour supprimer CryptoWall.

Continue reading “CryptoWall” »