Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilRechercherDernières imagesS'enregistrerConnexion
Le Deal du moment : -34%
-34% LG OLED55B3 – TV OLED 4K 55″ 2023 ...
Voir le deal
919 €

 

 Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage

Aller en bas 
2 participants
AuteurMessage
Morbak
Administrateur (Fondateur)
Morbak


Messages : 3215
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage Empty
MessageSujet: Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage   Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage Icon_minitimeVen 1 Aoû - 0:05

Cryptowall est un malware très embêtant puisqu'il fait partie des infections qui rendent inutilisables les fichiers des personnes infectées (il crypte les données). Cette version (comme CTB-Locker) n'a malheureusement pas de solution pour décrypter les fichiers, mais le lien suivant traite plusieurs points qui pourraient vous aider à récupérer vos fichiers ou vous protéger contre cette infection.

Je n'ai pas testé la récupération des fichiers,  mais plusieurs solutions sont données ici (le site est une source fiable) : http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
L'article est en anglais donc il vous faudra quelques connaissances pour comprendre les explications fournies mais globalement voila ce qui est dit :
L'infection arrive par l'intermédiaire d'un fichier zip reçu par mail. Il contient un fichier exécutable déguisé en fichier PDF. Le mail se fait passer pour un mail de livraison,confirmation d'achat, une facture, etc... Le faux fichier PDF devrait donc être reconnaissable en affichant les extensions de fichier, ce qui afficherait par exemple fichier.pdf.exe et non pas fichier.pdf

Il n'existe actuellement aucun moyen de décrypter les données infectées par CryptoWall et ces successeurs mais certaines manipulations peuvent parfois vous permettre de récupérer vos données :
- les clichés instantanés qui permettent de restaurer un fichier à une version précédente
- les images système pour récupérer une copie intégrale du disque
- les programmes de récupération de fichier supprimés

Les clichés instantanés sont des enregistrement des fichiers qui permettent de restaurer un fichier à une version précédente via un onglet dans les propriétés du fichier. Ca fonctionne avec la restauration système (il faut donc que l'option soit bien réglée dans les paramètres de la restauration). Un programme nommé Shadow explorer est proposé pour restaurer d'un coup un ou plusieurs dossiers.
Pöur le télécharger : http://www.shadowexplorer.com/downloads.html

Les images système sont simplement des sauvegardes effectuées avec la fonction Sauvegarder et Restaurer par exemple ou un logiciel tiers comme CloneZilla. Les restaurer permet donc de récupérer les fichiers qui sont sur les sauvegardes.

Les programmes de récupération de fichiers comme Photorec, Recuva etc... peuvent être efficace avec certaines variantes de cette infection puisque le malware supprime le fichier original et en recrée un autre crypté. Il est donc potentiellement possible de récupérer les originaux supprimés selon la version du malware qui a infecté le système.

A noter que ce malware est vicieux, il semblerait que payer la rançon permette parfois de recevoir la clé de décryptage, mais le prix de la rançon augmente avec le temps. Tout commence avec 500 dollars et le montant passe à $750 au bout de quelques jours pour monter jusqu’à 1500 en 1 semaine. La version CTB-Locker quant à elle donne un compte à rebours pour payer le décryptage (90h).

Attention, l'astuce concernant les versions précédentes de fichiers risque de ne pas fonctionner si l'infection est traitée trop tard. En effet celle-ci supprime les versions précédentes des fichiers après avoir analysé le disque dur. Votre meilleure arme reste donc la copie. Faites une image système ou des sauvegardes de vos données importantes sur disque externe, ne téléchargez pas n'importe quoi, et analysez vos téléchargements à l'aide de virustotal, même s'ils proviennent d'une personne de confiance!!!

Petit point positif, le site bleepingcomputer indique que les développeurs de FoolishIT LLC ont créé un outil simple d'utilisation nommé CryptoPrevent pour créer des restrictions dans le registre de Windows. Ces restrictions empêchent les programmes d'être exécutés si ils sont situés dans des dossiers spécifiques (les dossiers préférés des infections) à savoir :
- la racine du disque système
- le dossier de fichiers temporaires
- le dossier utilisateur
- le dossier ProgramData
- la corbeille, etc...

Il est possible d'activer la liste blanche qui permettra de ne pas appliquer les interdictions à tous les programmes qui sont déjà installés sur le système. Le programme est téléchargeable gratuitement ici : https://www.majorgeeks.com/index.php?ct=files&action=download&

Dans le cas où CryptoPrevent bloque l'exécution d'un programme légitime, BleepingComputer donne la manipulation à faire pour autoriser le programme en utilisant l'éditeur de stratégie de groupe, malheureusement cet outil n'est pas disponible avec les versions Familiales de Windows.
Quelques infos sur l'Editeur de Stratégie de groupe : http://windows.microsoft.com/fr-fr/windows7/group-policy-management-for-it-pros#BKMK_GroupPolicyObjectEditor

Edit : Une mise à jour de CryptoPrevent semble avoir corrigé ce soucis, et le programme demande désormais l'autorisation d’exécuter les fichiers bloqués. Il est évident que cette autorisation ne sert à rien si vous cliquez sur OUI sans vous assurer que le programme concerné est légitime.

Petit exemple de blocage quand on essaye de modifier l'heure (extension .cpl qui peut être bloquée par cryptoprevent) :
Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage Preven10

J'ai testé CryptoPrevent, et plusieurs échantillons de Cryptowall, et aucun ne s'est exécuté lorsque CryptoPrevent protégeait le système.


Dernière édition par Morbak le Sam 11 Aoû - 12:43, édité 6 fois
Revenir en haut Aller en bas
http://morbak-home.ddns.net
Hornet
Administrateur/Contributeur désinfection
Hornet


Messages : 3542
Réputation : 153

Feuille de personnage
Nom:
Race:

Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage Empty
MessageSujet: Re: Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage   Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage Icon_minitimeSam 7 Mar - 17:59

Toujours dans la lignée cryptolocker, voilà des liens intéressants :
https://www.supprimer-virus.com/cryptofortress/
https://www.supprimer-virus.com/ransomware-fudindia-com-virus-encoder/
http://korben.info/pages/Cryptolocker/Cryptolocker.html
Comme vous pourrez le lire, il n'y a pas non plus de solutions de décryptez pour ces malwares, mais on peut toujours essayer de récupérer les données comme avec cryptowall, c'est a dire via les logiciels de récupérations de données et les versions précédentes de fichiers.

Edit : pour ceux qui veulent suivre l'actu de ce type d'infection vous pouvez par exemple suivre ce sujet : http://www.commentcamarche.net/forum/affich-33484536-ransomwares
et ca qui peut aussi être intéressant : http://www.commentcamarche.net/news/5868476-cryptodrop-une-solution-aux-ransomwares
Revenir en haut Aller en bas
 
Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage
Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Projet Anti-malwares /S'informer pour mieux se protéger
» le superman des malwares?
» [résolu] sécurité cryptage winrar
» [résolu]bios protéger

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Informations utiles :: Informations pratiques-
Sauter vers: