Ransomware extension .uaovhea

Si vos documents ont été modifiés avec une extension .uaovhea alors vous avez subi une attaque d’un ransomware.
Pour comprendre ce qu’est un ransomware ransomwares chiffreurs de fichiers, reportez-vous à notre dossier : Ransomware chiffreurs de fichiers

Ce dernier va empêcher l’accès à vos documents et vous réclamer une rançon à payer afin de récupérer l’accès à vos documents. Vos documents sont donc pris en otage, en payant, vous n’êtes pas non plus certains de récupérer l’accès à vos documents.
Tous les documents qui ont été touchés par ce ransomware auront une extension .uaovhea

Ransomware_extension_uaovhea

Ces malwares de type ransomware se propagent essentiellement de deux manières :

Dans un premier temps, ce qu’il faut faire, c’est de s’assurer que le ransomware n’est plus actif.
Bien souvent, ces ransomware se lance, chiffre les documents et se ferme, c’est à dire qu’il ne tente pas de rester résident sur l’ordinateur en se lançant à chaque démarrage.

Comment supprimer le  Ransomware extension .uaovhea ?

Malheureusement en général, il n’y a pas vraiment de solution pour récupérer les documents, si le malware est bien codé, c’est à dire sans erreur au niveau du chiffrement des fichiers, il est impossible de récupérer les documents.
Vous pouvez néanmoins tenter de récupérer les documents via les « versions précédentes » si ce dernier ne le supprime pas.

La procédure gratuite suivante vous explique comment vérifier que votre ordinateur n’est plus infecté par le ransomware  .uaovhea et de tenter de récupérer vos documents.

Continue reading “Ransomware extension .uaovhea” »

Your personal files are encrypted

Your personal files are encrypted est un message qui s’affiche provenant d’un ransomware qui chiffre les fichiers.
Les ransomwares chiffrant les fichiers sont des malwares qui ont pour but de rendre vos fichiers inaccessibles afin de vous faire payer une rançon pour les rendre à nouveau accessibles (ou pas).

Pour comprendre ce que sont les ransomwares chiffreurs de fichiers, nous vous recommandons de lire notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Voici le messageYour personal files are encrypted, ce dernier contient les instructions pour payer la rançon en vous indiquant de vous connecter sur le réseau TOR.

Your_Personal_files_encrypted

Le fond d’écran est aussi modifié avec un message sur fond blanc qui contient aussi les instructions.

Your_Personal_files_encrypted_fond_ecran

Enfin un fichier HELP_RESTORE_FILES.txt est créé sur le bureau avec aussi les instructions dont voici une copie :

All your documents, photos, databases and other important files have been encrypted
with strongest encryption RSA-2048 key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.
If you see the main encryptor red window, examine it and follow the instructions.
Otherwise, it seems that you or your antivirus deleted the encryptor program.
Now you have the last chance to decrypt your files.
Open http://34r6hq26q2h4jkzj.42kjb11.net or https://34r6hq26q2h4jkzj.tor2web.fi in your browser.
They are public gates to the secret server.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14gADzm8p4uKXYZV2Kn7f4U7yVTyisfzyy
Follow the instructions on the server.
If you have problems with gates, use direct connection:
1. Download Tor Browser from http://torproject.org
2. In the Tor Browser open the http://34r6hq26q2h4jkzj.onion/ 
 Note that this server is available via Tor Browser only.
 Retry in 1 hour if site is not reachable.
Copy and paste the following Bitcoin address in the input form on server. Avoid missprints.
14gADzm8p4uKXYZV2Kn7f4U7yVTyisfzyy
Follow the instructions on the server.

Enfin l’extension des fichiers chiffrés est modifié et remplacé par .ecc

Your_Personal_files_encrypted_fond_fichiers_ecc

Dans le cas observé, deux fichiers sont créés :

HKLM-x32\...\Run: [mscfg] => C:\Users\Contre-Temps\AppData\Roaming\cnytdmk.exe [304128 2015-03-20] ()
 HKLM-x32\...\RunOnce: [*mscfg] => C:\Users\Contre-Temps\AppData\Roaming\cnytdmk.exe [304128 2015-03-20] ()

Nous avons soumis l’analyse à des antivirus dont certains le détecte en Win32/Filecoder :

SHA256: ed8cc662d0c20019e1b62fa5a94ccd52b2b7933c9b9b2cee72d6051d473cf108
Ratio de détection : 13 / 57
Date d’analyse : 2015-03-21 23:05:59 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVG SHeur4.CIPX 20150321
Ad-Aware Gen:Variant.Graftor.180649 20150321
Avira TR/FileCoder.304128 20150321
BitDefender Gen:Variant.Graftor.180649 20150321
ESET-NOD32 Win32/Filecoder.EM 20150321
Emsisoft Gen:Variant.Graftor.180649 (B) 20150321
F-Secure Gen:Variant.Graftor.180649 20150321
GData Gen:Variant.Graftor.180649 20150321
Kaspersky Backdoor.Win32.Androm.gmln 20150321
Malwarebytes Trojan.Agent.ED 20150321
MicroWorld-eScan Gen:Variant.Graftor.180649 20150321
Qihoo-360 Win32/Trojan.171 20150322
Tencent Trojan.Win32.Qudamah.Gen.2 20150322

La procédure gratuite suivante vous explique comment supprimer le ransomware et donne aussi une procédure qui peut peut-être vous aider à récupérer vos documents.

Cette procédure est totalement gratuite et repose sur des logiciels gratuits et efficaces.

 

Continue reading “Your personal files are encrypted” »

TeslaCrypt

(Pour la campagne extensions .vvv – se reporter à la page : https://www.supprimer-virus.com/ransomware-extension-vvv/)

TeslaCrypt est un ransomware qui va chiffrer vos documents et demander de payer une rançon afin de récupérer l’accès à ces derniers.

Pour comprendre ce qu’est un ransomware ransomwares chiffreurs de fichiers, reportez-vous à notre dossier : Les Ransomwares chiffreurs de fichiers.

Une fois vos documents chiffrés, TeslaCrypt, affiche un message : All your important files are encrypted qui contient les instructions pour payer la rançon.

TeslaCryptVous trouverez un exemple d’un utilisateur touché par le ransomware TeslaCrypt sur le forum malekal.com : http://forum.malekal.com/attaque-teslacrypt-que-faire-t51083.html

Bref, vous l’aurez compris, ces ransomwares sont de vrais saloperies et diffusent par deux vecteurs principaux :

Voici un exemple d’emails malicieux « invoice » avec une pièce jointe zip renformant un Trojan.Downloader.JS (Trojan en JavaScript)

Microsoft peut aussi détecter les JavaScript malicieux (souvent le lendemain de la campagne) utilisés en pièce jointe d’emails pour télécharger TeslaCrypt en TrojanDropper:JS/Nemucod :

TrojanDropper_JS_Nemucod

Une fois l’ordinateur touché, il faut le désinfecter et éventuellement tenter de récupérer les documents, malheureusement, en général, c’est impossible.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur et tenter une procédure pour récupérer les documents.

Microsoft peut détecter ce dernier en Ransom:Win32/Tescrypt

Ransom_Win32_Tescrypt

ou en Ransom:Win32/Crowti

Ransom_Win32_Crowti

 

Les actualités relatives à TeslaCrypt :

Continue reading “TeslaCrypt” »

Cryptolocker (TorrentLocker)

Voici une nouvelle variante d’un ransomware relativement fréquent.
Ce Ransomware fait partie de la famille TorrentLocker (une autre variante est CryptoFortress) qui se fait passer pour Cryptolocker qui avait fait pas mal de bruit médiatiquement lors de sa sortie en 2014.
Ces derniers sont détectés en Trojan FileCoder par les antivirus.

Pour rappel, les ransomware sont un type de malware qui ont pour but de rendre vos documents inaccessibles et vous demande de payer une rançon afin de récupérer l’accès à vos documents.

Pour comprendre ce que sont les ransomwares chiffreurs de fichiers, nous vous recommandons de lire notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Dans le cas de cette variante TorrentLocker (Cryptolocker), les fichiers sont tous renommés et l’extension .encrypted est ajoutée.

Cryptolocker_torrentlocker_encrypted

 

Deux fichiers « INSTRUCTIONS_DE_DECRYPTAGE » au format texte et html sont ajoutés qui contiennent les informations pour payer la rançon.
Une page WEB s’ouvre au démarrage de l’ordinateur et ne peut être fermé. Celle-ci affiche aussi les instructions pour payer la rançon, en titre on trouve : « AVERTISSEMENT, nous avons crypté vos fichiers avec le virus Cryptolocker ».

Cryptolocker_torrentlocker2

 

Le contenu au format texte, le paiement se fait en se connectent sur un site WEB via le réseau TOR.
Cryptolocker_torrentlockerNotez qu’il existe beaucoup de copycat qui reprenne le nom CryptoLocker très médiatisé, avec leur instructions de paiement et montant propre à chacun :

Vous trouverez une liste de Crypto-Ransomware sur la page : Les ransomwares

Les ransomwares se propagent essentiellent de deux manières différentes :

Dans le cas observé, cette variante de TorrentLocker reste résident en chargeant le fichier malicieux depuis le dossier Windows :

HKLM\...\Run: [alaketag] => C:\WINDOWS\etabomit.exe [671232 2015-03-11] (EFT Software)

Si votre ordinateur a été infecté par ce ransomware, vous devez dans un premier temps désinfecter l’ordinateur avant de tenter de récupérer vos documents.
Malheureusement, il n’existe pas vraiment de solutions pour récupérer les documents.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur, cette procédure s’appuie sur des logiciels gratuits et efficaces.

Continue reading “Cryptolocker (TorrentLocker)” »

Ransomware fud@india.com – virus-encoder

Le Ransomware fud@india.com est un nouvel ransomware/rançonlogiciels qui chiffre vos documents.
Pour comprendre ce qu’est un ransomware ransomwares chiffreurs de fichiers, reportez-vous à notre dossier : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html

Ce dernier va empêcher l’accès à vos documents et vous réclame une rançon à payer.
Dans le cas de ce virus-encoder, le fond d’écran est modifié avec un fond noir et les instructions vous demandant d’envoyer un email à l’adresse fud@india.com d’où le nom de ce ransomware.

fud_india_ransomware

Voici quelques sujets de victimes sur le forum malekal :

Ce type de malwares se propagent essentiellement de deux manières :

Dans un premier temps, ce qu’il faut faire, c’est de s’assurer que le ransomware n’est plus actif.
Bien souvent, ces ransomware se lance, chiffre les documents et se ferme, c’est à dire qu’il ne tente pas de rester résident sur l’ordinateur en se lançant à chaque démarrage.

Voici les fichiers utilisés par ce ransomware, ESET NOD32 le détecte en Win32/FileCoder
Ce dernier peut s’installer dans %ALLUSER%\Microsoft0\auaucdlve.exe

filecoder_fud_india

Malheureusement en général, il n’y a pas vraiment de solution pour récupérer les documents, si le malware est bien codé, c’est à dire sans erreur au niveau du chiffrement des fichiers, il est impossible de récupérer les documents.
Vous pouvez néanmoins tenter de récupérer les documents via les « versions précédentes » si ce dernier ne le supprime pas.

La procédure gratuite suivante vous explique comment vérifier que votre ordinateur n’est plus infecté par le ransomware fud@india.com et de tenter de récupérer vos documents.

Continue reading “Ransomware fud@india.com – virus-encoder” »