Archive | désinfection RSS feed for this section

CryptoWall comment il s’installe et meilleures pratiques pour le prévenir

Voici comment le ransomware cryptowall procède pour s’installer.

  1. Quand un lien infecté est cliqué, un Zbot est téléchargé sur l’ordinateur et le logiciel de rançon cryptowall est installé.
  1. Le malware est ajouté au démarrage automatique du système, tout en changeant son nom à chaque démarrage. Sa fonction est de rejoindre, par le biais d’internet, une communication avec un serveur dédié à ce sujet.
  1. Après avoir établi la communication avec succès le serveur envoie une clef d’encryptions publique pour encrypter les fichiers. De plus il importe une adresse Bitcoin correspondante qui permettra d’accepter le paiement.
  1. Utilisant cette clef le malware cherchera à modifier plus ou moins 70 différentes sortes de fichier sur votre système. Il faudra alors obligatoirement la clef d’encryptions pour ouvrir les fichiers. Celle-ci est situé sur le serveur et non sur votre poste. Voilà pourquoi il ne sera pas possible de détecter l’encryptions utilisé.
  1. Lorsque les fichiers sont encryptés par cryptowall, il vous sera présenté un écran (pour voir le visuel, consultez notre autre article à ce sujet)avec les instructions pour arriver à récupérer vos données et le compte à rebours commence. Si vous payé la rançon vous recevrez peut-être la clef d’encryptions permettant de renverser la situation et de récupérer vos données. Au moment d’écrire cet article je ne connais aucun individu qui est parvenu à récupérer ses données même après avoir payé le montant exigé, qui est la plupart du temps autour de 500.00$ et augmente d’heure en heure.

Les meilleures pratiques pour prévenir cette infection sont :

  1. Gardez votre système d’opération à jour.
  2. Sachez comment vos applications se mettent à jour. Certaines applications auront un pop up message à l’écran, d’autres vous aviseront par courriel, ou vous serez notifié pour certains seulement lorsque vous ouvrez le programme. Si vous obtenez un avis inhabituel, contactez la compagnie et informez vous.
  3. Si vous recevez un courriel dans ce but, et que vous n’êtes pas sur. Contactez le fabriquant en passant par son site web. Ne cliquez jamais sur ces liens contenus dans le courriel ou n’appelez surtout pas le numéro proposé dans le même courriel.
  4. Utilisez des programmes recommandés pour votre protection et les maintenir à jour.
  5. Ne cliquez pas sur les annonces pour des produits ou compagnies que vous ne connaissez pas. Si une de ces annonces est très attirante, abstenez vous, visitez directement le site web du supposé concepteur pour vérifier.
  6. Ne téléchargez des navigateurs web ou plug-in ou extensions que du site web du concepteur et non pas de site de téléchargement général. Même s’il y a mention que le téléchargement est gratuit…. justement rien n’est gratuit.
  7. Prenez ce que l’on appelle des snapshot de votre disque dur à tous les mois. Ceci conservera les données, les programmes, le Windows, autrement dit tout ce qui est présent. Enregistrez ces images système à l’extérieur de votre ordinateur sur un disque externe qu’il ne faudra pas laisser connecté à votre appareil, pour ne pas qu’il soit détecté et aussi encrypté.
  8. Effectuer une sauvegarde qui ne sera pas emmagasiné sur votre réseau, comme une sauvegarde en ligne d’Infortmic ou les données ne peuvent êtres accédé par ce ransomware.
  9. Vigilance est la clef de la sécurité. Votre responsabilité, comme usager, est de savoir ce qui arrive à votre ordinateur. Vous n’avez pas besoin d’être un expert en sécurité informatique, mais vous devez pratiquer ce que l’on appelle des clics responsables. En demeurant éduqué et alerte vous réduirez de beaucoup vos chances d’êtres infectés non seulement par cryptowall mais aussi par une multitudes de virus.
Lire la suite... · Commentaire { 0 }

CryptoWall le prévenir, l’éliminer et récupérer ses données

CryptoWall  le prévenir, l’éliminer et comment faire pour récupérer les données cryptées

CryptoWall est un virus de type rançon. Il s’installe et démarre en arrière-plan un processus caché, sans qu’il soit possible de l’arrêter lorsqu’en opération. Ce processus cherche tous les fichiers de type Microsoft (Word, Excel, courriel, photos, etc..) présent sur tous les disques durs connectés à l’unité infectée. Ceci inclut les connexions réseau à des disques externes, les disques externes branchés physiquement à l’ordi et toute clef USB ou mémoire photo présente au moment de l’infection.

Tous les fichiers trouvés seront cryptés avec une clef publique suivant la  méthode de cryptages RSA-2048. En même temps une clef de cryptages privée est générée et envoyée sur un serveur à l’extérieur de votre PC. Tous les fichiers d’origine sont supprimés pour contrecarrer les tentatives de récupération.  Il est possible de décrypter les données avec des outils appropriés, mais cela est extrêmement long : des jours ou des mois pour y parvenir. Mais les arnaqueurs ont ajouté une date d’expiration à la clef publique, ce qui fait en sorte qu’il est pratiquement impossible d’y parvenir dans les délais accordés de 7 jours.

Un fichier d’instruction s’ouvrira automatiquement sur l’ordinateur infecté montrant les opérations à effectuer pour retrouver ses données. Il faudra alors payer une rançon de 500$ dans un délai prescrit par la suite le montant augmente. Je vous suggère d’oublier ce processus vous allez perdre de l’argent et ne pas retrouver vos données. Voir ci dessous l’image du message de CryptoWall

Comment désinfecter Cryptowall

Comment le prévenir : avoir en place un système de protection efficace incluant antivirus, antimalware, et  anti espions. Ce virus sera détecté et éradiqué avant de pouvoir procéder à son travail de destruction. Ne pas cliquer sur des liens dans les courriels que vous n’attendez pas. Ne pas autoriser à procéder si votre protection vous donne une alerte. Avoir en place une stratégie de sauvegarde de données efficace – sauvegarde en ligne – qui ne sera pas touché dans toutes ses versions par l’infection, car non présente physiquement dans l’appareil. Installer avant l’avènement de cette situation un logiciel de récupération de fichiers supprimés comme Récuva (inutile si installé après le cryptage). Activer le versionnage de fichiers dans Windows.

Comment l’éliminer : mettre à jour vos protections si vous possédez des versions payantes. Achetez des versions complètes si vos protections sont gratuites, elles ne sont pas en mesure d’effectuer toutes les vérifications requises. Ou encore, utiliser un outil spécialisé pour l’enlever de Norton ou de Malwerebytes

Récupérer ses données : comme les données sont maintenant illisibles, tout dépend des configurations initiales présentes dans votre ordi. Le fichier d’origine est supprimé dans le processus : avez-vous Récuva, si oui procéder avec ce logiciel les chances sont bonnes. Sinon passez à l’étape suivante.

Le versionnage est-il activé, si oui servez-vous-en, les chances sont bonnes, sinon l’activation après les dommages est totalement inutile. Passez à l’étape suivante.

Rendu à cette étape il vous faut des sauvegardes externes à votre ordi, sinon c’est inutile ils seront encryptés aussi. Restaurez les sauvegardes des fichiers désirés et le tour est joué.

 

Assurez-vous d’avoir complètement éliminé ce virus avant de tenter une de ces étapes sinon c’est peine perdue. La prévention est votre meilleur gage de réussite, sans elle le taux de récupération s’approche de zéro, alors…

 

 

Lire la suite... · Commentaire { 0 }

Comment enlever l’infection search-milk.net du navigateur internet.

Lors de recherches avec Google, bing, Yahoo et autres, les résultats affichés sont détournés vers d’autres sites n’ayant pas rapport avec ce que vous désirez. Ceci est dû à une infection de votre ordinateur qui s’attaque à tous les navigateurs web, IE, google chrome, Firefox et autres…

Voici une méthode permettant de rétablir l’état des navigateurs internet. Démarrer votre ordinateur en mode sans échec. En passant par le panneau de configuration accédez à la rubrique options internet. Accédez à l’onglet – connexions – par la suite cliquez sur le bouton – paramètres réseau – vous trouverez une case à cocher sous la rubrique proxy server. Décocher cette case, car elle ne doit pas être activée. Refermez les fenêtres en acceptant les modifications.

Télécharger par la suite l’utilitaire nommé rkill et faire fonctionner le programme pour désinfecter l’ordinateur. Lorsque terminé télécharger et installer un programme nommé malwarebyte , le faire fonctionner et accepter de nettoyer les détections.

 

Il sera aussi nécessaire d’utiliser  l’outil suivant pour restaurer les paramètres proxy, DNS, IP et Winsock, télécharger MiniToolBox. Activer les cases à cocher suivantes :

  • Flush DNS
  • Report IE Proxy Settings
  • Reset IE Proxy Settings
  • Report FF Proxy Settings
  • Reset FF Proxy Settings
  • List content of Hosts
  • List IP configuration
  • List Winsock Entries
  • List last 10 Event Viewer log
  • List Installed Programs
  • List Users, Partitions and Memory size.

Cliquez sur go et attendez la fin.

En dernier lieu il est aussi recommandé d’utiliser Microsoft FixIt pour rétablir les valeurs par défaut du fichier hôtes. Si toutefois la situation persiste et que vous désirez de l’aide, contactez Infortmic pour retrouver l’état normal de vos navigateurs.

Lire la suite... · Commentaire { 0 }