CryptoWall le prévenir, l’éliminer et comment faire pour récupérer les données cryptées
CryptoWall est un virus de type rançon. Il s’installe et démarre en arrière-plan un processus caché, sans qu’il soit possible de l’arrêter lorsqu’en opération. Ce processus cherche tous les fichiers de type Microsoft (Word, Excel, courriel, photos, etc..) présent sur tous les disques durs connectés à l’unité infectée. Ceci inclut les connexions réseau à des disques externes, les disques externes branchés physiquement à l’ordi et toute clef USB ou mémoire photo présente au moment de l’infection.
Tous les fichiers trouvés seront cryptés avec une clef publique suivant la méthode de cryptages RSA-2048. En même temps une clef de cryptages privée est générée et envoyée sur un serveur à l’extérieur de votre PC. Tous les fichiers d’origine sont supprimés pour contrecarrer les tentatives de récupération. Il est possible de décrypter les données avec des outils appropriés, mais cela est extrêmement long : des jours ou des mois pour y parvenir. Mais les arnaqueurs ont ajouté une date d’expiration à la clef publique, ce qui fait en sorte qu’il est pratiquement impossible d’y parvenir dans les délais accordés de 7 jours.
Un fichier d’instruction s’ouvrira automatiquement sur l’ordinateur infecté montrant les opérations à effectuer pour retrouver ses données. Il faudra alors payer une rançon de 500$ dans un délai prescrit par la suite le montant augmente. Je vous suggère d’oublier ce processus vous allez perdre de l’argent et ne pas retrouver vos données. Voir ci dessous l’image du message de CryptoWall
Comment le prévenir : avoir en place un système de protection efficace incluant antivirus, antimalware, et anti espions. Ce virus sera détecté et éradiqué avant de pouvoir procéder à son travail de destruction. Ne pas cliquer sur des liens dans les courriels que vous n’attendez pas. Ne pas autoriser à procéder si votre protection vous donne une alerte. Avoir en place une stratégie de sauvegarde de données efficace – sauvegarde en ligne – qui ne sera pas touché dans toutes ses versions par l’infection, car non présente physiquement dans l’appareil. Installer avant l’avènement de cette situation un logiciel de récupération de fichiers supprimés comme Récuva (inutile si installé après le cryptage). Activer le versionnage de fichiers dans Windows.
Comment l’éliminer : mettre à jour vos protections si vous possédez des versions payantes. Achetez des versions complètes si vos protections sont gratuites, elles ne sont pas en mesure d’effectuer toutes les vérifications requises. Ou encore, utiliser un outil spécialisé pour l’enlever de Norton ou de Malwerebytes
Récupérer ses données : comme les données sont maintenant illisibles, tout dépend des configurations initiales présentes dans votre ordi. Le fichier d’origine est supprimé dans le processus : avez-vous Récuva, si oui procéder avec ce logiciel les chances sont bonnes. Sinon passez à l’étape suivante.
Le versionnage est-il activé, si oui servez-vous-en, les chances sont bonnes, sinon l’activation après les dommages est totalement inutile. Passez à l’étape suivante.
Rendu à cette étape il vous faut des sauvegardes externes à votre ordi, sinon c’est inutile ils seront encryptés aussi. Restaurez les sauvegardes des fichiers désirés et le tour est joué.
Assurez-vous d’avoir complètement éliminé ce virus avant de tenter une de ces étapes sinon c’est peine perdue. La prévention est votre meilleur gage de réussite, sans elle le taux de récupération s’approche de zéro, alors…