virus-encoder helpme@freespeechmail.org

virus-encoder helpme@freespeechmail.org
5 (100%) 4 votes

Le ransomware helpme@freespeechmail.org est une variante d’un ransomware qui se propage maintenant depuis plusieurs mois.
Les variantes précédentes :

Le ransomware va donc modifier vos documents pour les rendre illisible dans le but de vous demander de payer une rançon afin de récupérer l’accès à vos documents.
Dans le cas d’une entreprise, ces pratiques peuvent être dévastatrices puisque du jour au lendemain l’accès aux documents impossibles.

Deux cas sur le forum :

Dans cette nouvelle variante, les documents sont modifiés avec l’ajout d’une extension id-XXXX_helpme@freespeechmail.org ou XXX sont des chiffrés. Par exemple : monimage.jpg.id-4126721512_helpme@freespeechmail.org.

Puis le fond d’écran est modifié, toujours avec un fond d’écran noir et un message :

Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithim

Le ransomware vous donne l’adresse de contact afin de payer la rançon : helpme@freespeechmail.org

freespeechmail-ransomware

Ce type de malwares se propagent essentiellement de deux manières :

Vous devez dans un premier temps désinfecter l’ordinateur afin que le ransomware ne soit plus actif et ne chiffre plus les nouveaux documents créés.
Ce dernier se lance par une simple clef Startup :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()

Une fois l’ordinateur désinfecté, vous pouvez tenter de récupérer vos documents, bien qu’en général, si le malware ne comporte pas d’erreur dans la partie chiffrement, aucune solution n’est possible.

Nous attirons aussi votre attention que des sites de désinfection proposant des procédures de désinfection ne sont en réalité que des vitrines pour vous faire installer des antispywares payants.

La procédure de désinfection suivant se base sur des logiciels gratuits, vous n’avez pas besoin de débourser un centime, celle-ci devrait vous permettre de supprimer le ransomware de l’ordinateur.

Nettoyer sur Malwarebytes Anti-Malware


Une fois l’ordinateur désinfecté, il est fortement conseillé de changer tous vos mots de passe : Facebook, FTP, mail, jeux en ligne etc.

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

Récupérer vos documents

il n’y a pas vraiment de solution pour récupérer les documents.

RakhniDecryptor de Kaspersky

Tentez le programme RakhniDecrypt de Kaspersky : Décrypter Ransomware helpme@freespeechmail.org

Téléchargez et lancez RakhniDecryptor
Ce dernier va analyser vos disques et tenter de récupérer les documents qui ont été chiffrés par le ransomware.
Le bouton « Change parameters » permet de choisir les locations à analyser, il est possible de scanner le réseau.

Shadow Copies

Vous pouvez cependant tenter de récupérer des documents à partir des versions précédentes.
Se reporter à la page : Windows : Les versions précédentes des fichiers.
Malheureusement les dernières variantes suppriment les Shadow Copies.

Récupération de fichiers effacés

Vous pouvez tenter des logiciels de récupérations de fichiers effacés tels que PhotoRec ou R-Studio
Se reporter au : Tutoriel PhotoRec

Tutoriel_Photorec_8

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com :http://forum.malekal.com/