Cryptowall 3.0 est un ransomware créé par les auteurs de CryptoDefense un autre ransomware qui sévit depuis le début de l’année 2014. Ces applications cryptent les fichiers présents sur votre ordinateur et vous demande de payer une rançon si vous souhaitez y accéder à nouveau.
Cette variante est très similaire à CryptoDefense elle a simplement des instructions de rançon différentes. A priori les développeurs de ce virus ont sorti une nouvelle version parce que CryptoDefense était devenu trop connu par les anti-virus ou alors ils ont vendu la base du code de leur virus à un autre développeur de logiciel malveillant. Malheureusement, comme avec les dernières versions de CryptoDefense il est très difficile de décrypter les fichiers qui sont touchés par CryptoWall.
Que fait Cryptowall 3.0 ?
Lorsque que Cryptowall est présent sur votre système, il va scanner votre machine afin de trouver des fichiers à crypter notamment ceux avec les extensions suivantes : .ddrw, .pptm, .dotm, .xltx, .text, .docm, .djvu, .potx, .jpeg, .pptx, .sldm, .xlsm, .sldx, .xlsb, .ppam, .xlsx, .ppsm, .ppsx, .docx, .odp, .eml, .ods, .dot, .php, .xla, .pas, .gif, .mpg, .ppt, .bkf, .sda, .mdf, .ico, .dwg, .mbx, .sfx, .mdb, .zip, .xlt. Quand il crypte un fichier, il créé également les fichiers d’instruction dans chaque dossier où un fichier a été chiffré. Ces fichiers contiennent des instructions pour accéder à un site de paiement qui est utilisé pour envoyer la rançon.
Voici le contenu de ces fichiers :
Tous vos fichiers sont protégés par la cryptographie persistante RSA-2048 à l’aide du logiciel CryptoWall 3.0.
Voir information plus détaillée sur le chiffrement à l’aide du clé RSA-2048 sur la référence: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Qu’est-ce que ça dit ?
Ça veut dire, que la structure et les données à l’intérieur de vos fichiers étaient irrévocablement modifiée, vous ne pourrez pas travailler avec eux, les lire ou regarder,
C’est la même chose, que vous les avez perdus pour toujours, mais avec notre aide vous pouvez les restaurer.
Comment cela s’est passé ?
On a généré, spécialement pour vous, sur notre serveur confidentiel, une paire des clés RSA-2048 – publiques et privées.
Tous vos fichiers étaient chiffrés avec l’aide de la clé publique, qui était transmise à vous moyennant le réseau Internet.
Le déchiffrement de vos fichiers n’est possible qu’avec l’aide de la clé privée et du logiciel, trouvés sur votre ordinateur.
Quoi dois-je faire ?
Hélas, mais si vous ne prenez pas des mesures nécessaires dans le délai indiqué, les conditions de la réception de la clé privée et du programme spécial seront changés.
Si vos données sont vous chers, nous vous conseillons de ne pas perdre le temps précieux pour les recherches des autres décisions, puisqu’ils n’existent pas.
Pour recevoir des instructions concrètes visitez, s’il vous plaît, notre page, dont les adresses sont indiquées ci-dessous:
(liens vers des sites icepaytor.com / ptiontor4pay.com / waytopaytor.com / suntorpaymoon.com)
Si, pour quelque cause, ces adresses sont inaccessibles, accomplissez des actions suivantes:
1.Téléchargez et installéz tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.Après le navigateur-net est installé, lancez le, et attendez l’initialisation.
3.Inscrivez dans la ligne d’adresse: (lien)
4.Accomplissez les instructions sur le site.
Information qui peut être utile:
Votre page personnelle: (lien)
Votre page personnelle(en utilisant TOR): (lien)
Votre code personnel(si vous ouvrez le site (ou site TOR) directement): (code)
Comment se protéger à l’avenir ?
Le logiciel HitmanPro.Alert peut prévenir ce genre d’attaque. Il se base sur le comportement du système de fichier, ainsi si quelque chose de suspect est détecté (par exemple un accès simultané à de nombreux fichiers sur votre PC) il en bloque la source.
Mais la meilleure prévention cela reste vous : Évitez d’ouvrir les pièces jointes dans les courriels d’origine douteuse par exemple lorsque l’expéditeur n’est pas identifié. Gardez vos solutions de sécurité à jour pour détecter les dernières menaces qui se répandent et éffectuez des sauvegardes fréquentes de vos données.
Comment supprimer Cryptowall 3.0 ?
Supprimer Cryptowall 3.0 avec le programme MalwareBytes Anti-Malware
Afin d'être sûr à 100% de bien retirer toutes les dépendances à Cryptowall 3.0 nous vous invitons à installer le programme MalwareBytes Anti-Malware. Si vous désirez également être protégé contre les logiciels malveillants comme Cryptowall 3.0 vous devez opter la version Premium de MalwareBytes Anti-Malware qui empêchera donc toute intrusion de logiciels malveillants non trouvés par les anti-virus sur votre machine (la licence est vendue 22.95 euros et vous avez la possibilité de protéger 3 de vos ordinateurs).
Si la version Premium de MalwareBytes Anti-Malware avait été présente sur votre ordinateur au moment où vous avez été infecté par Cryptowall 3.0, le logiciel aurait bloqué le logiciel malveillant comme vous pouvez le voir avec la capture d'écran suivante.
- Téléchargez MalwareBytes Anti-Malware :
Version Premium Version Gratuite (sans fonctionnalité de protection) - Dès que le fichier est téléchargé doublez-cliquez dessus afin de lancer l'installation de MalwareBytes Anti-Malware.
- Cliquez sur le bouton orange Corriger Maintenant à droite de la mention Aucun examen n'a été réalisé sur votre système
- Une fois que le scan est achevé, appuyez sur Supprimer la selection.
- Relancer votre ordinateur une fois le scan terminé si le programme vous y invite.
Supprimer Cryptowall 3.0 avec le logiciel HitmanPro
Hitman Pro est un outil gratuit qui fonctionne en plus des antivirus classiques. Pour une action maximale il fonctionne en ayant recours à la technologie de différents antivirus à savoir Avira AntiVir, NOD32, Prevx, G DATA Anti-Virus et A-Squared Anti-Malware. Hitman Pro s'occupe donc d'identifier et d'effacer les programmes indésirables que les antivirus n'ont pas pu détecter.
- Téléchargez HitmanPro (32 ou 64 bits en fonction de votre système):
Téléchargez HitmanPro - Dès que le fichier est téléchargé doublez-cliquez dessus afin de lancer le logiciel.
- Faites Suivant et acceptez la licence d'utilisation, validez avec le bouton Suivant.
- Un scan de votre ordinateur va commencer, une fois terminé cliquez sur Suivant et saisissez votre email pour activer la licence gratuite.
- Rédémarrez votre machine une fois la suppression terminée si l'utilitaire vous le propose.
Récuperez une ancienne version de vos fichiers
Windows crée des images instantanées qui contiennent des copies de vos fichiers datant du moment où la sauvegarde du système a été faite. Ces sauvegarde peuvent vous permettre de restaurer une version précédente de vos fichiers avant qu’ils n’aient été chiffrées par CryptorDefense. Cependant cette méthode n’est pas infaillible, car même si vous êtes sur de retrouvez des fichiers non cryptés, ils peuvent aussi ne pas être la dernière version du fichier qui vous intéresse. Notez également que les sauvegarde instantanés sous Windows ne sont disponibles qu’avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Pour plus de simplicité nous allons utiliser ShadowExplorer.
- Téléchargez ShadowExplorer en cliquant sur le bouton ci-dessous :
Télécharger ShadowExplorer - Faites un clic-droit sur le fichier téléchargé et sélectionnez Exécuter en tant qu’administrateur.
- Suivre la procédure d’installation du logiciel.
- Toujours exécuter cet utilitaire en tant qu’administrateur, donc faites un clic-droit sur le programme, allez dans les Propriétés, onglet Compatibilité, cochez la case Exécuter en tant qu’administrateur, et Appliquer.
- Désormais, en exécutant ShadowExplorer, vous pouvez avoir accès à des copies enregistrées de vos fichiers personnels.
Décrypter vos fichiers avec Emisoft Decryper for Harasom
Emisoft Decryper for Harasom est un outil mis au point par Emisoft pour essayer de déchiffrer les fichiers encryptés par Cryptowall.
- Retirez tous les CDs ou DVDs de votre ordinateur et redémarrez-le.
- Au moment du redémarrage, à la fin du chargement du BIOS, tapotez la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu’à ce que le menu des options avancées de Windows s’affiche. Si vous commencez à tapoter la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message « Erreur clavier ». Pour résoudre ce problème, redémarrez l’ordinateur et réessayez de nouveau.
- En utilisant les flèches de votre clavier, sélectionnez Mode sans échec avec prise en charge réseau dans le menu puis appuyez sur la touche Entrée.
- Téléchargez Emsisoft Decrypter for Harasom en cliquant sur le bouton ci-dessous :
Télécharger Emsisoft Decrypter for Harasom - Double-cliquez sur le fichier decrypt_harasom.exe pour lancer l’outil.
- Sélectionnez le lecteur qui contient les fichiers à décrypter et cliquez sur le bouton Decrypt.
- Le logiciel va tenter de déchiffrer les fichiers cryptés de votre ordinateur. Cela peut prendre un certain temps. Soyez patient. Pendant le décryptage de vos fichiers, le logiciel peut sembler se bloquer sur un fichier particulier et ne pas répondre mais c’est normal, il se débloquera tout seul par la suite.