virus-encoder sos@decryptfiles.com

virus-encoder sos@decryptfiles.com
5 (100%) 4 votes

Un nouveau ransomware chiffreurs de fichiers a fait son apparition vu sur ce sujet Trojan.FileCryptor.Trace – virus-encoder
Ce dernier semble être une variante du Ransomware fud@india.com – virus-encoder

Pour rappel, un ransomware chiffreurs de fichiers est un malware qui va rendre l’accès à vos documents impossible et vous réclamer une rançon, en général de plusieurs centaines d’euros, pour vous rendre son accès.

On reconnait ici le fond noir et le message assez similaire à la variante fud@india.com

Le message début par : Attention ! Your computer has been attacked by a virus-encoder
et vous indique que vous devez contacter les adresses emails sos@decryptfiles.com ou zuza@protonmail.com afin de payer la rançon.

Le message indique que vous devez aussi donner l’id qui se trouve dans le nom du fichier, en effet, les noms des documents sont complètement modifiés avec un radical identique pour chaque fichier.
Exemple :

1.doc.id-0028403174_email1_sos@decryptfiles.com_email2_zuza@protonmail.com_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn

On retrouve dedans, l’id a indiqué aux cybercriminels ainsi qu’à nouveau les adresses emails de contacts.

ransomware_prontomail_decryptfiles_2

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()

Au moment où nous écrivons ces lignes, ce dernier est plutôt mal détecté :

SHA256: 409183e50ef1b6ad32075d500552cff0bcc53cebb9086ec7daafb0610371b809
Nom du fichier : E995.tmp
Ratio de détection : 3 / 55
Date d’analyse : 2015-09-29 14:08:25 UTC (il y a 14 minutes)
Antivirus Résultat Mise à jour
DrWeb Trojan.Encoder.567 20150929
Kaspersky Trojan-Ransom.Win32.Cryakl.aby 20150929
Rising PE:Malware.Obscure/Heur!1.9E03[F1] 20150928

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

EDIT : d’après ce lien Infection Trojan Cryptage fichier crypthelp12 – l’adresse email pour payer la rançon a changé en crypthelp12@gmail.com





Nettoyer sur Malwarebytes Anti-Malware

https://www.youtube.com/watch?feature=player_embedded&v=tR-udi9MGU4

Une fois l’ordinateur désinfecté, il est fortement conseillé de changer tous vos mots de passe : Facebook, FTP, mail, jeux en ligne etc.

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

Récupérer vos documents

il n’y a pas vraiment de solution pour récupérer les documents.

RakhniDecryptor de Kaspersky

Tentez le programme RakhniDecrypt de Kaspersky : Décrypter Ransomware helpme@freespeechmail.org

Téléchargez et lancez RakhniDecryptor
Ce dernier va analyser vos disques et tenter de récupérer les documents qui ont été chiffrés par le ransomware.
Le bouton « Change parameters » permet de choisir les locations à analyser, il est possible de scanner le réseau.

Shadow Copies

Vous pouvez cependant tenter de récupérer des documents à partir des versions précédentes.
Se reporter à la page : Windows : Les versions précédentes des fichiers.
Malheureusement les dernières variantes suppriment les Shadow Copies.

Récupération de fichiers effacés

Vous pouvez tenter des logiciels de récupérations de fichiers effacés tels que PhotoRec ou R-Studio
Se reporter au : Tutoriel PhotoRec

Tutoriel_Photorec_8

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/

Cet article vous a aidé?

Si cet article vous a permis de désinfecter votre ordinateur, merci de soutenir malekal.com en faisant un don !
Si vous désirez investir dans une protection payante, nous vous recommandons une des deux suivantes :
Kaspersky Antivirus_300x250