Morbak's Home
Bienvenue sur Morbak's Home.

Ce pop-up a pour but de vous aider à utiliser le forum.

Voici donc quelques liens que nous vous conseillons de consulter :
Pour vous familiariser avec le forum, le règlement et notre équipe, cliquez ici

Si vous avez des problèmes informatiques, regardez cette catégorie.

Certains programmes de désinfection peuvent s'avérer dangereux, ne suivez pas aveuglément les indications d'autres sujets même s'ils sont similaires à votre cas. Exemples ici et ici

Si vous souhaitez faire désinfecter votre pc, lisez ce message et postez un nouveau sujet sur le forum (hébergez les rapports demandés et postez les liens dans votre sujet).

Si vous avez des soucis liés au forum (connexion, bugs divers) ou tout simplement des suggestions pour l'améliorer, vous pouvez poster ici ou contacter un administrateur en utilisant le formulaire de contact ici.

Pour bloquer la plupart des pubs sur internet, vous pouvez installer Adblock Plus, uBlock, ou un équivalent sur votre navigateur. Si certaines pubs s'affichent quand même sur le forum, nous n'y sommes pas liés. Par précaution, ne cliquez pas dessus.


Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilFAQRechercherMembresGroupesS'enregistrerConnexionCalendrierGalerie
Avis à tous les utilisateurs du forums, pour faciliter l'entraide et pour un suivi plus facile, aucune aide ne sera apportée sur la chatbox, si vous cherchez de l'aide, créez un sujet sur le forum.
Si vous aimez les récits interactif et que vous voudriez en avoir sur le forum, cliquez ici pour débattre sur la création d'une nouvelle section qui permettrait d'y poster vos histoires.
Juin/Juillet/Aout
Ven 11 Aoû - 13:52 par Hornet
C'est reparti pour une nouvelle série de modifications/nouveautés sur le fofo. On commence léger histoire de ne pas vous rendre fous mais aussi parce qu'il n'y …

Commentaires: 3
Sondage
Comment avez vous connu le forum?
 conseil d'un proche
 conseillé sur un forum
 lien sur un réseau social
 lien sur un sujet similaire
 google, yahoo, etc...
Voir les résultats
Don avec Paypal

Partagez | 
 

 Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Morbak
Administrateur (Fondateur)
avatar

Messages : 3106
Réputation : 198

MessageSujet: Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage   Ven 1 Aoû - 0:05

Cryptowall est un malware très embêtant puisqu'il fait partie des infections qui rendent inutilisables les fichiers des personnes infectées (il crypte les données). Cette version (comme CTB-Locker) n'a malheureusement pas de solution pour décrypter les fichiers, mais le lien suivant traite plusieurs points qui pourraient vous aider à récupérer vos fichiers ou vous protéger contre cette infection.

Je n'ai pas testé la récupération des fichiers,  mais plusieurs solutions sont données ici (le site est une source fiable) : http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
L'article est en anglais donc il vous faudra quelques connaissances pour comprendre les explications fournies mais globalement voila ce qui est dit :
L'infection arrive par l'intermédiaire d'un fichier zip reçu par mail. Il contient un fichier exécutable déguisé en fichier PDF. Le mail se fait passer pour un mail de livraison,confirmation d'achat, une facture, etc... Le faux fichier PDF devrait donc être reconnaissable en affichant les extensions de fichier, ce qui afficherait par exemple fichier.pdf.exe et non pas fichier.pdf

Il n'existe actuellement aucun moyen de décrypter les données infectées par CryptoWall et ces successeurs mais certaines manipulations peuvent parfois vous permettre de récupérer vos données :
- les clichés instantanés qui permettent de restaurer un fichier à une version précédente
- les images système pour récupérer une copie intégrale du disque
- les programmes de récupération de fichier supprimés

Les clichés instantanés sont des enregistrement des fichiers qui permettent de restaurer un fichier à une version précédente via un onglet dans les propriétés du fichier. Ca fonctionne avec la restauration système (il faut donc que l'option soit bien réglée dans les paramètres de la restauration). Un programme nommé Shadow explorer est proposé pour restaurer d'un coup un ou plusieurs dossiers.
Pöur le télécharger : http://www.shadowexplorer.com/downloads.html

Les images système sont simplement des sauvegardes effectuées avec la fonction Sauvegarder et Restaurer par exemple ou un logiciel tiers comme CloneZilla. Les restaurer permet donc de récupérer les fichiers qui sont sur les sauvegardes.

Les programmes de récupération de fichiers comme Photorec, Recuva etc... peuvent être efficace avec certaines variantes de cette infection puisque le malware supprime le fichier original et en recrée un autre crypté. Il est donc potentiellement possible de récupérer les originaux supprimés selon la version du malware qui a infecté le système.

A noter que ce malware est vicieux, il semblerait que payer la rançon permette parfois de recevoir la clé de décryptage, mais le prix de la rançon augmente avec le temps. Tout commence avec 500 dollars et le montant passe à $750 au bout de quelques jours pour monter jusqu’à 1500 en 1 semaine. La version CTB-Locker quant à elle donne un compte à rebours pour payer le décryptage (90h).

Attention, l'astuce concernant les versions précédentes de fichiers risque de ne pas fonctionner si l'infection est traitée trop tard. En effet celle-ci supprime les versions précédentes des fichiers après avoir analysé le disque dur. Votre meilleure arme reste donc la copie. Faites une image système ou des sauvegardes de vos données importantes sur disque externe, ne téléchargez pas n'importe quoi, et analysez vos téléchargements à l'aide de virustotal, même s'ils proviennent d'une personne de confiance!!!

Petit point positif, le site bleepingcomputer indique que les développeurs de FoolishIT LLC ont créé un outil simple d'utilisation nommé CryptoPrevent pour créer des restrictions dans le registre de Windows. Ces restrictions empêchent les programmes d'être exécutés si ils sont situés dans des dossiers spécifiques (les dossiers préférés des infections) à savoir :
- la racine du disque système
- le dossier de fichiers temporaires
- le dossier utilisateur
- le dossier ProgramData
- la corbeille, etc...

Il est possible d'activer la liste blanche qui permettra de ne pas appliquer les interdictions à tous les programmes qui sont déjà installés sur le système. Le programme est téléchargeable gratuitement ici : https://www.foolishit.com/cryptoprevent-malware-prevention/
Il vous suffit d'entrer un nom (votre pseudo suffit) et une adresse mail valide pour recevoir le lien de téléchargement. Vous recevrez un 2e mail pour confirmer la souscription à leur newsletter. Si cela ne vous intéresse pas, il suffit de supprimer le mail sans valider votre inscription.

Dans le cas où CryptoPrevent bloque l'exécution d'un programme légitime, BleepingComputer donne la manipulation à faire pour autoriser le programme en utilisant l'éditeur de stratégie de groupe, malheureusement cet outil n'est pas disponible avec les versions Familiales de Windows.
Quelques infos sur l'Editeur de Stratégie de groupe : http://windows.microsoft.com/fr-fr/windows7/group-policy-management-for-it-pros#BKMK_GroupPolicyObjectEditor

Edit : Une mise à jour de CryptoPrevent semble avoir corrigé ce soucis, et le programme demande désormais l'autorisation d’exécuter les fichiers bloqués. Il est évident que cette autorisation ne sert à rien si vous cliquez sur OUI sans vous assurer que le programme concerné est légitime.

Petit exemple de blocage quand on essaye de modifier l'heure (extension .cpl qui peut être bloquée par cryptoprevent) :


J'ai testé CryptoPrevent, et plusieurs échantillons de Cryptowall, et aucun ne s'est exécuté lorsque CryptoPrevent protégeait le système.

===============signature du membre===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : https://www.avast.com/download-thank-you.php?product=FAV-TAG&locale=en-ww&tag=I8pJzbZF


Dernière édition par Morbak le Lun 25 Mai - 15:35, édité 5 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3346
Réputation : 152

MessageSujet: Re: Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage   Sam 7 Mar - 17:59

Toujours dans la lignée cryptolocker, voilà des liens intéressants :
https://www.supprimer-virus.com/cryptofortress/
https://www.supprimer-virus.com/ransomware-fudindia-com-virus-encoder/
http://korben.info/pages/Cryptolocker/Cryptolocker.html
Comme vous pourrez le lire, il n'y a pas non plus de solutions de décryptez pour ces malwares, mais on peut toujours essayer de récupérer les données comme avec cryptowall, c'est a dire via les logiciels de récupérations de données et les versions précédentes de fichiers.

Edit : pour ceux qui veulent suivre l'actu de ce type d'infection vous pouvez par exemple suivre ce sujet : http://www.commentcamarche.net/forum/affich-33484536-ransomwares
et ca qui peut aussi être intéressant : http://www.commentcamarche.net/news/5868476-cryptodrop-une-solution-aux-ransomwares

===============signature du membre===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
 
Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Se proteger de CryptoWall/CTB-Locker et autres malwares de cryptage
» mon ordi est t'il toujours proteger ?(résolu)
» Aspect Technique de la création pour d'autres logiciels
» Proposer d'autres polices d'écriture
» [Membres] Pouvoir isoler un troll ( en ne montrant pas ses messages aux autres membres )

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Informations utiles :: Informations pratiques-
Sauter vers: