RSA-4096 fait référence au ransomeware basé sur une variante de TeslaCrypt et qui chiffre les documents personnels en y ajoutant l’extension .vvv. Contrairement à d’autres logiciels malveillants, dédiés à prendre le contrôle d’une machine distante pour voler des informations ou l’exploiter pour mener des attaques en déni de service, les ransomwares vont tenter d’extorquer de l’argent à un utilisateur en verrouillant logiquement l’accès à sa machine et/ou à ses documents.
Le chiffrement réalisé par le ransomware RSA-4096 touche les fichiers avec une extension spécifique (notamment les documents bureautique (word, excel), personnels type photo/vidéo, multimédias, fichiers de configuration, fichiers compressés etc.). Généralement les ransomeware comme RSA-4096 peuvent s’installer à la suite de l’exécution par un utilisateur d’un binaire (ex : ouverture d’un fichier téléchargé en P2P ou depuis un site internet, d’une pièce jointe au sein d’un mail spam, ou encore via une clé USB infectée, etc.).
Les ransomwares tels que RSA-4096 se servent d’algorithmes de chiffrement très forts afin de bloquer l’accès de la victime à son ordinateur ou à ses données. La victime devant débourser une somme d’argent (voir ci-dessus) pour espérer retrouver ses données sans engagement d’une désinstallation complète du ransomware sur la machine. Les montants demandés varient entre les familles de malware et même pour un même ransomware, les cybercriminels pratiquant parfois un prix à la « tête » du client (victime).
Comment supprimer RSA-4096 ?
Supprimer RSA-4096 avec le programme MalwareBytes Anti-Malware
Malwarebytes Anti-Malware est un logiciel qui détecte et supprime les infections là où les meilleurs anti-virus connus ont échoué. Si vous désirez protéger efficacement contre les malwares comme RSA-4096, la version Premium de MalwareBytes Anti-Malware avec sa fonction d'analyse en temps réel empêchera que des sites ou des programmes parasites compromettent votre ordinateur (la licence premium coûte 22.95 euros et peut être installée sur 3 de vos PC).
- Téléchargez MalwareBytes Anti-Malware :
Version Premium Version Gratuite (sans fonctionnalité de protection) - Dès que le fichier est téléchargé doublez-cliquez dessus afin de démarrer l'installation de MalwareBytes Anti-Malware.
- Appuyez sur le bouton orange Corriger Maintenant à droite de la mention Aucun examen n'a été réalisé sur votre système
- A la fin du scan est terminé, cliquez sur le bouton Supprimer la selection.
- Rédémarrez votre système à la fin du scan si l'utilitaire vous le demande.
Supprimer RSA-4096 avec HitmanPro
Hitman Pro est un logiciel gratuit qui fonctionne en plus des antivirus classiques. Pour une efficacité maximale il fonctionne en se servant de la techno de multiples antivirus à savoir Avira AntiVir, NOD32, PG DATA Anti-Virus, Prevx et A-Squared Anti-Malware. Hitman Pro se charge donc de rechercher et d'effacer les programmes indésirables que les antivirus n'ont pas pu dépister.
- Téléchargez HitmanPro (32 ou 64 bits en fonction de votre système):
Téléchargez HitmanPro - Dès que le fichier est téléchargé doublez-cliquez dessus afin de lancer le HitmanPro.
- Appuyez sur le bouton Suivant et acceptez la licence d'utilisation, validez avec le bouton Suivant.
- Un scan de votre ordinateur va commencer, une fois terminé cliquez sur Suivant et saisissez votre email pour activer la licence gratuite.
- Relancer votre PC une fois la suppression terminée si le logiciel vous le propose.
Récuperez une ancienne version de vos fichiers
Windows génère des images instantanées qui contiennent des vos fichiers datant du moment où la sauvegarde du système a été effectuée. Ces sauvegardes peuvent vous permettre de retrouver une version précédente de vos fichiers avant qu’ils n’aient été chiffrés par RSA-4096. Toutefois cette méthode n’est pas infaillible, car même si arrivez à retrouvez des fichiers non cryptés, il se peut que ce ne soit pas la dernière version du fichier qui vous souhaitiez. Il est également probable que RSA-4096 ait supprimé ces sauvegardes. Sachez également que les sauvegardes instantanées sous Windows ne sont créées qu’avec Windows XP Service Pack 2, Windows Vista, Windows 7, 8 et Windows 10. Pour plus de facilité nous allons utiliser ShadowExplorer.
- Téléchargez ShadowExplorer en cliquant sur le bouton ci-dessous :
Télécharger ShadowExplorer - Faites un clic-droit sur le fichier téléchargé et sélectionnez Exécuter en tant qu’administrateur.
- Suivez la procédure d’installation du logiciel.
- Toujours exécuter cet utilitaire en tant qu’administrateur, donc faites un clic-droit sur le programme, allez dans les Propriétés, onglet Compatibilité, cochez la case Exécuter en tant qu’administrateur, et Appliquer.
- Désormais, en lançant ShadowExplorer, vous pouvez avoir accès à des copies enregistrées de vos fichiers personnels si Windows a précédement créé des images instantanées de ces fichiers.
Décrypter les fichiers avec TeslaCrack
- Téléchargez et installez Python 2.6
- Téléchargez et installez PyCrypto en fonction de l’architecture 32/64 bits de votre Windows
- Dézipper TeslaCrack sur votre bureau
- Dézipper Yafu sur votre bureau
- Ouvrez une fenêtre de commande et tapez :
cd Users\%votre-nom-de-profil%\Desktop\TeslaCrack-master
puis
c:\python26\python teslacrack.py
TeslaCrack va vous donner deux clefs, notez les 2. - Lancez yafu-Win32.exe ou yafu-64bits.exe si vous êtes en 64bits et tapez la commande suivante :
factor(0xvotre-premiere-clef) - Notez ensuite tous factors trouvés pour lancer la commande suivante sur un de vos fichiers crypté :
c:\python26\pythonunfactor.py fichier-crypte.pdf.vvv valeur-P1 valeur-P1 valeur-P1 valeur-P1 valeur-P2 valeur-P2 valeur-P4 etc ..
Une clef AES devrait vous être alors retournée, éditez alors le fichier teslacrack.py et la partie known_keys pour ajouter la clef AES. - Enregistrez le fichier teslacrack.py puis lancez la commande suivante :
c:\python26\python teslacrack.py
Si vous obtenez un access denied, tentez de faire la même manipulation avec la seconde clef que vous avez obtenu au début, sinon c’est que c’est tout bon !
je n’arrive pas 🙁 à deziper teslacrack, il dit que ce n’est pas valide 🙁