Le ransomeware qui modifie vos fichiers en les cryptant et en y ajoutant une extension du type .vvv et en créant de partout des fichiers how to recover est une variante de TeslaCrypt et vise comme ce dernier les utilisateurs qui utilisent Windows. TeslaCrypt peut chiffrer les fichiers : .pdf, .ppt, .xls, .doc, .jpeg, etc…. Certains fichiers exécutables, notamment des composants de jeux vidéo peuvent aussi être touchés.
Ce ransomeware chiffre non seulement les fichiers conservés dans l’ordinateur local, mais également ceux qui sont stockés dans les lecteurs réseau partagés, les dispositifs de stockage USB, les disques durs externes et même certains systèmes de stockage en nuage. Par conséquent, si le logiciel malveillant infecte l’ordinateur d’un utilisateur qui a accès aux lecteurs partagés sur le réseau de l’organisation, il peut également chiffrer tous ces fichiers et créer à coté des fichiers appelés how to recover.
Si vous êtes victime d’une infection par un ransomware, nous vous déconseillons de payer la rançon qui est demandée : Même dsi vous récupériez vos fichiers après avoir payé (ce qui est peu probable), rien ne garanti que le malware a été supprimé de votre PC et qu’il ne se manifestera plus par la suite.
À l’heure actuelle, le principal vecteur d’infection de la version de Teslacrypt qui encode les fichiers et génère des fichiers how to recover semble être via un mail contenant une pièce jointe malveillante.
Comment supprimer how to recover ?
Supprimer how to recover avec le programme MalwareBytes Anti-Malware
Malwarebytes Anti-Malware est un programme qui va effacer de votre système les parasites que des anti-virus classiques ne détectent généralement pas (comme les adwares et les spywares, entre autres). Si vous désirez être défendu contre ce type de virus, la version Premium de MalwareBytes Anti-Malware est un très bon investissement qui placera votre système à l'abri (le le programme est vendu 22.95 euros et vous pouvez protéger jusqu'à 3 de vos ordinateurs).
- Téléchargez MalwareBytes Anti-Malware :
Version Premium Version Gratuite (sans fonctionnalité de protection) - Double-cliquez sur le fichier téléchargé afin de lancer l'installation du logiciel.
- Cliquez sur le bouton orange Corriger Maintenant à droite de la mention Aucun examen n'a été réalisé sur votre système
- Une fois que le scan est terminé, appuyez sur Supprimer la selection.
- Rédémarrez votre machine une fois le scan terminé si le programme vous le propose.
Supprimer how to recover avec le programme HitmanPro
Hitman Pro est un programme gratuit qui fonctionne en plus des antivirus classiques. Pour une efficacité optimale il fonctionne en utilisant la techno de différents antivirus à savoir NOD32, Avira AntiVir, Prevx, G DATA Anti-Virus et A-Squared Anti-Malware. Hitman Pro se charge donc d'identifier et d'éliminer les logiciels indésirables que les antivirus n'ont pas su détecter.
- Téléchargez HitmanPro (32 ou 64 bits en fonction de votre système):
Téléchargez HitmanPro - Double-cliquez sur le fichier téléchargé afin de démarrer le programme.
- Appuyez sur le bouton Suivant et acceptez la licence d'utilisation, validez avec le bouton Suivant.
- Un scan de votre ordinateur va commencer, une fois terminé cliquez sur Suivant et saisissez votre email pour activer la licence gratuite.
- Relancer votre système une fois la suppression terminée si le programme vous le propose.
Récuperez une ancienne version de vos fichiers
Windows génère des images instantanées qui contiennent des vos fichiers datant du moment où la sauvegarde du système a été effectuée. Ces sauvegardes peuvent vous permettre de restaurer une version antérieure de vos fichiers avant qu’ils n’aient été altérés par how to recover. Néanmoins cette méthode n’est pas infaillible, car même si arrivez à retrouvez des fichiers non cryptés, il se peut que ce ne soit pas la dernière mouture du fichier qui vous souhaitiez. Il est également possible que how to recover ait supprimé ces sauvegardes. Sachez enfin que les sauvegardes instantanées de Windows ne sont disponibles qu’avec Windows XP Service Pack 2, Windows Vista, Windows 7, 8 et Windows 10. Pour plus de simplicité nous allons utiliser ShadowExplorer.
- Téléchargez ShadowExplorer en cliquant sur le bouton ci-dessous :
Télécharger ShadowExplorer - Faites un clic-droit sur le fichier téléchargé et sélectionnez Exécuter en tant qu’administrateur.
- Suivez la procédure d’installation du logiciel.
- Toujours exécuter cet utilitaire en tant qu’administrateur, donc faites un clic-droit sur le programme, allez dans les Propriétés, onglet Compatibilité, cochez la case Exécuter en tant qu’administrateur, et Appliquer.
- Désormais, en lançant ShadowExplorer, vous pouvez avoir accès à des copies enregistrées de vos fichiers personnels si Windows a précédement créé des images instantanées de ces fichiers.
Décrypter les fichiers avec TeslaCrack
- Téléchargez et installez Python 2.6
- Téléchargez et installez PyCrypto en fonction de l’architecture 32/64 bits de votre Windows
- Dézipper TeslaCrack sur votre bureau
- Dézipper Yafu sur votre bureau
- Ouvrez une fenêtre de commande et tapez :
cd Users\%votre-nom-de-profil%\Desktop\TeslaCrack-master
puis
c:\python26\python teslacrack.py
TeslaCrack va vous donner deux clefs, notez les 2. - Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits et tapez la commande suivante :
factor(0xvotre-premiere-clef) - Notez ensuite tous factors trouvés pour lancer la commande suivante sur un de vos fichiers crypté :
c:\python26\pythonunfactor.py fichier-crypte.pdf.vvv valeur-P1 valeur-P1 valeur-P1 valeur-P1 valeur-P2 valeur-P2 valeur-P4 etc ..
Une clef AES devrait vous être alors retournée, éditez alors le fichier teslacrack.py et la partie known_keys pour ajouter la clef AES. - Enregistrez le fichier teslacrack.py puis lancez la commande suivante :
c:\python26\python teslacrack.py
Si vous obtenez un access denied, tentez de faire la même manipulation avec la seconde clef que vous avez obtenu au début, sinon c’est que c’est tout bon !