Supprimer GandCrab 3 virus (Instructions de suppression) - Oct 2018 mise à jour
Guide de suppression de virus GandCrab 3
Quel est Le rançon-logiciel GandCrab 3?
Le rançon-logiciel GandCrab 3 – une nouvelle souche de l'infâme virus GandCrab
GandCrab 3 est un virus crypto-rançongiciel qui représente la troisième version du célèbre maliciel GandCrab. À la fin du mois d'avril 2018, seulement quelques mois après la sortie de GandCrab2, les pirates informatiques ont de nouveau frappé fort en ciblant plus particulièrement les utilisateurs de PC en Russie, en Bélarus, au Kazakhstan et en Ukraine. Il utilise le chiffrement AES-256 (CBC mode) + RSA-2048 pour coder en dur les fichiers personnels et les marquer ensuite avec l'extension de fichier .CRAB. Le fichier CRAB-DECRYPT.txt constitue la note de rançon qui comporte des directives claires sur la façon dont la victime doit payer la rançon. Seuls les Bitcoins sont acceptés.
Nom | GandCrab 3 |
---|---|
Versions | GandCrab, GandCrab 2 |
Catégorie | Rançongiciel |
Extension de fichier | .CRAB |
Note de rançon | CRAB-DECRYPT.txt |
Principaux symptômes | Inaccessibilité des fichiers personnels, note de rançon créé sur le bureau, lenteur du PC, fond d'écran altéré, redirection du navigateur vers le site web de paiement |
Les principaux dangers | Il corrompt le système et cause de graves pannes. Les fichiers personnels peuvent être définitivement supprimés. Perte financière. |
La suppression manuelle de ce rançongiciel n'est pas possible. Pour le supprimer, il faut utiliser un anti-maliciel professionnel tel que FortectIntego |
Très exactement à la fin du mois d'avril 2018, les experts en cyber-sécurité ont détecté un échantillon du rançongiciel V3. Sur le plan généalogique, ces prédécesseurs sont les versions de GandCrab et GandCrab2, lesquelles ont eu un très grand succès du point de vue des malfaiteurs. La première diffusion a permis de recueillir plus de 600 000 USD en moins de quatre mois.
Tandis qu'il était déjà possible de décrypter la première variante, ce n'est pas le cas pour la deuxième variante V2. L'outil de décryptage de GandCrab-3 n'est pas encore disponible.
Actuellement, on n'est pas encore sûr à 100 % des techniques de distribution que les cyber-criminels utilisent pour propager ce logiciel malveillant ou maliciel. Cependant, sur la base des informations reçues sur GandCrab, on peut penser aux méthodes suivantes :
- le kit d'exploit Magnitude ;
- le kit d'exploit Rig ;
- le kit d'exploit GrandSoft ;
- les campagnes publicitaires malveillantes ininterrompues ;
- le reçu Feb-21310 [chiffres aléatoires] en pièce jointe à un spam ;
- la fausse mise à jour de la police de caractère Hoefler;
- Hacked Remote Desktop Services (« piratage à distance »), etc.
Après l'encodage, le virus GandCrab 3 change la séquence de démarrage, élimine les clichés instantanés du volume (Volume Shadow Copies) en utilisant l'invite de commande et PowerShell comme administrateur, et déchiffre l'algorithme d'encodage AES-256 (mode CBC ) + RSA-2048. Le maliciel exécute le fichier random.exe en arrière plan du système. Il peut également pirater le fichier explorer.exe et forcer le redémarrage du système afin d'achever son encodage.
Tout comme la version précédente, il assigne l'extension de fichier .CRAB aux fichiers encodés. Il cible plus de 250 types de fichiers différents, y compris les plus populaires (.jpg, .png, .doc, .pdf, .avi, .docx, etc.). Dès que les fichiers sont cryptés, le virus génère une note de rançon intitulée CRAB-DECRYPT.txt. Cette stipule ceci :
—= GANDCRAB V3 =—
Attention !
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants ont été cryptés et comportent l'extension de fichier : .CRAB
Le seul moyen de récupérer les fichiers est d'acheter une clé privée. Elle se trouve dans notre serveur et nous sommes les seuls à pouvoir restaurer vos fichiers.
Le serveur qui contient votre clé est dans le réseau fermé TOR. Vous pouvez y avoir accès de cette façon :
0.Télécharger le navigateur TOR – https://www.torproject.org/
1. Installez le navigateur Tor
2.Ouvrez le navigateur Tor
3. Ouvrez le lien qui se trouve dans le navigateur TOR :
4. Suivez les instructions de la page
Dans notre page, vous verrez des directives concernant le paiement et aurez l'occasion de faire décrypter un fichier gratuitement.
Une autre façon de nous contacter est d'utiliser Jabber Messenger. Lisez comment procéder :
0. Télecharger Psi-Plus Jabber Client: https://psi-im.org/download/
1. Ouvrir un nouveau compte : http://sj.ms/register.php
0) Entrer le « nom utilisateur « : 21b1a2d1729f0695
1) Entrer le « mot de passe « : votre mot de passe
2. Ajouter un nouveau compte dans Psi
3.Ajouter et inscrire l'identifiant Jabber : ransomware@sj.ms pour n'importe quel message
4. Suivez les instructions du robot
ATTENTION !
Il s'agit d'un robot! C'est un système artificiel entièrement automatisé dépourvu de contrôle humain!
Pour nous contacter, utilisez les liens de TOR. Nous pouvons à tout moment vous présenter toutes les preuves qui démontrent de notre capacité à décrypter les fichiers. Lisez les instructions sur la manière d'installer et d'utiliser jabber ici : http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
AVERTISSEMENT!
N'essayez pas de modifier les fichiers ou d'utiliser votre propre clé privée. Cela entraînera des pertes irréversibles de données!
Contrairement aux deux précédentes versions qui utilisaient la crypto-monnaie DASH, GandCrab 3 exige que ses victimes payent la rançon en Bitcoins. En outre, les chercheurs en matière de logiciels malveillants ont découvert que GandCrab-3 vient de la Roumanie.
Si vous avez le moindre doute d'être infecté par le rançon-logiciel GandCrab 3, supprimez-le de votre système le plus tôt possible. Pour cela, nous vous recommandons d'utiliser les outils antivirus FortectIntego, SpyHunter 5Combo Cleaner ou Malwarebytes. Tant que ce rançongiciel reste installé, vous ne pouvez en aucun cas récupérer vos fichiers sans payer la rançon.
Après la suppression de GandCrab-3, vous devriez essayer de restaurer vos fichiers verrouillés par l'extension de fichier .CRAB en utilisant les outils de récupération des données des tierces parties ou essayer d'activer une version précédente de Windows. Vous trouverez à la fin de cet article un guide complet sur la manière de récupérer les fichiers cryptés par GandCrab-3.
Le rançon-logiciel GandCrab 3 - une nouvelle souche du rançongiciel GandCrab qui utilise l'extension de fichier .CRAB et demande une rançon en bitcoins.
Les criminels utilisent plusieurs méthodes pour diffuser le maliciel
L'équipe de Bedynet.ru déclare que ce type de rançongiciel ne se contente pas d'utiliser une seule méthode de propagation. Il est difficile de donner la liste complète des techniques précises, bien qu'ils aient aussi utilisé les méthodes de distribution classique.
Néanmoins, les utilisateurs doivent se méfier du reçu en pièce jointe intitulé Receipt Feb-21310 [ chiffres aléatoires ] envoyé par un [nom aléatoire ]@cdkconstruction.org. Aussitôt que vous remarquez un courriel suspect envoyé par un expéditeur inconnu, nous vous recommandons vivement de signaler cela comme un pourriel ou spam immédiatement.
Les kits d'exploit notamment Magnitude, RIG, et GrandSoft sont très connus pour être des vecteurs de rançongiciel. Pour empêcher que les logiciels malveillants exploitent les failles de votre PC, installez toutes les mises à jour et les correctifs du système.
Enfin, le dernier point mais non le moindre, méfiez-vous des téléchargement gratuits sur Internet. On a constaté que plusieurs sites douteux et illégaux contiennent des faux téléchargements de mises à jour logicielles. L'un des exemples utilisés pour diffuser l'ancêtre de ce rançon-logiciel est la fausse police de caractères Hoefler. La potentielle victime est redirigée vers un site Web piraté, qui affiche des textes brouillés ainsi qu'une fenêtre intruse qui pressent les utilisateurs de télécharger la dernière mise à jour de police de caractères afin de pouvoir voir le contenu.
Les différentes méthodes de suppression de GandCrab-3
Il n'existe qu'une seule solution pour supprimer le rançon-logiciel GandCrab 3 du système. Et c'est la méthode automatique qui requiert l'utilisation d'un programme anti-maliciel professionnel. La suppression manuelle, lorsque vous l'effectuez vous-même, est quasiment impossible, sauf si vous vous souciez peu d'endommager le système et les fichiers cryptés de manière irréversible.
Nous vous recommandons plutôt vivement d'utiliser un programme de sécurité professionnel, tel que FortectIntego. Après la suppression de ce virus, essayez de récupérer vos fichiers à l'aide des méthodes de récupération des données présentées ci-dessous.
Guide de suppression manuel de virus GandCrab 3
Rançongiciel : Suppression manuelle des rançongiciels en Mode sans échec
Le rançon-logiciel peut vous empêcher de le supprimer. Dans ce cas, vous devez redémarrer votre PC en mode sans échec avec mise en réseau. Pour y parvenir, procédez de la manière suivante:
Important! →
Le guide de suppression manuelle risque de se révéler trop compliqué pour les utilisateurs ordinaires d'ordinateurs. Une connaissance avancée en informatique est nécessaire pour l'exécuter correctement (si des fichiers vitaux du système sont supprimés ou endommagés, cela pourrait compromettre complètement Windows), et cela pourrait également prendre des heures. C'est pourquoi nous vous conseillons fortement d'utiliser plutôt la méthode automatique fournie ci-dessus.
Étape 1. Accéder au Mode sans échec avec la mise en réseau
La suppression manuelle des logiciels malveillants doit être effectuée de préférence dans le cadre du Mode sans échec.
Windows 7 / Vista / XP
- Cliquez sur Démarrer > Arrêter > Redémarrer > OK.
- Lorsque votre ordinateur est actif, commencez à appuyer sur la touche F8 (si cela ne fonctionne pas, essayez F2, F12, Suppr, etc. – tout dépend du modèle de votre carte mère) plusieurs fois jusqu'à ce que la fenêtre Options avancées de démarrage s'affiche.
- Sélectionnez le Mode sans échec avec mise en réseau dans la liste.
Windows 10 / Windows 8
- Faites un clic droit sur le bouton Démarrer et sélectionnez Paramètres
- Faites défiler vers le bas pour choisir Mise à jour et sécurité.
- Sur le côté gauche de la fenêtre, choisissez Récupération.
- Faites maintenant défiler vers le bas pour trouver la section Démarrage avancé.
- Cliquez à présent sur Redémarrer.
- Sélectionnez Résolution des problèmes
- Allez à la section Options avancées.
- Sélectionnez Paramètres de démarrage.
- Cliquez sur Redémarrer.
- Appuyez maintenant sur 5 ou cliquez sur 5) Activer le Mode sans échec avec la mise en réseau..
Étape 2. Mettre fin aux processus suspects
Le Gestionnaire de tâches Windows est un outil pratique qui montre tous les processus en cours d'exécution en arrière-plan. Si un logiciel malveillant exécute un processus, vous devez l'arrêter :
- Appuyez sur Ctrl + Maj + Échap sur votre clavier pour ouvrir le Gestionnaire des tâches de Windows.
- Cliquez sur Plus de détails.
- Faites défiler vers le bas jusqu'à la section Processus en arrière-plan, et recherchez tout ce qui est suspect.
- Faites un clic droit et sélectionnez Ouvrir l'emplacement du fichier.
- Retournez au processus, faites un clic droit et choisissez Fin de la tâche.
- Supprimez le contenu du dossier malveillant.
Étape 3. Vérifier le Démarrage du programme
- Appuyez sur Ctrl + Maj + Échap sur votre clavier pour ouvrir le Gestionnaire des tâches de Windows.
- Allez à l'onglet Démarrage.
- Faites un clic droit sur le programme suspect et choisissez Désactiver.
Étape 4. Supprimer les fichiers de virus
Les fichiers liés aux logiciels malveillants peuvent être trouvés à différents endroits de votre ordinateur. Voici des instructions qui pourraient vous aider à les repérer :
- Tapez Nettoyage de disque dans la barre de recherche Windows et appuyez sur Entrée.
- Sélectionnez le lecteur que vous souhaitez nettoyer (C : est votre lecteur principal par défaut, il est probablement celui qui contient les fichiers malveillants).
- Faites défiler la liste des Fichiers à supprimer et sélectionnez ce qui suit :
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Choisissez Nettoyer les fichiers système
- Vous pouvez également rechercher d'autres fichiers malveillants cachés dans les dossiers suivants (tapez ces entrées dans la barre de recherche Windows et appuyez sur Entrée) :
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
Une fois que vous avez terminé, redémarrez le PC en mode normal.
Supprimer GandCrab 3 à l'aide de System Restore
-
Étape 1: Redémarrer votre ordinateur pour Safe Mode with Command Prompt
Windows 7 / Vista / XP- Cliquez sur Start → Shutdown → Restart → OK.
- Lorsque votre ordinateur devient actif, commencez à appuyer sur F8 plusieurs fois jusqu'à ce que vous voyez la fenêtre Advanced Boot Options.
- Sélectionnez Command Prompt à partir de la liste
Windows 10 / Windows 8- Appuyez sur le bouton Power à Windows'écran de connexion. Appuyez maintenant sur et maintenez Shift, qui est sur votre clavier, puis cliquez sur Restart..
- Maintenant, sélectionnez Troubleshoot → Advanced options → Startup Settings et enfin appuyez sur Restart.
- Une fois votre ordinateur devient actif, sélectionnez Enable Safe Mode with Command Prompt dans Startup Settings fenêtre.
-
Étape 2: Restaurer vos paramètres et fichiers système
- Une fois la fenêtre Command Prompt'affiche, saisissez cd restore et cliquez sur Enter.
- Maintenant, tapez rstrui.exe et appuyez sur Enter de nouveau..
- Lorsqu'une nouvelle fenêtre apparaît, cliquez sur Next et sélectionnez votre point de restauration qui est antérieure à l'infiltration de GandCrab 3. Après avoir fait cela, cliquez sur Next.
- Maintenant, cliquez sur Yes pour lancer la restauration du système.
Bonus: Récupérer vos données
Le guide présenté ci-dessus peut vous permettre de supprimer GandCrab 3 de votre ordinateur. Pour récupérer vos données cryptées, nous vous recommandons d'utiliser le guide détaillé suivant lesvirus.fr préparé par les experts en cyber sécurité.Malheureusement, vos fichiers ne vous seront pas restitués après la suppression de GandCrab 3. Après l'élimination du virus, vous devez utiliser les outils de récupération des tiers. Nous vous recommandons ceux-ci :
Si vos fichiers ont été cryptés par GandCrab 3, vous pouvez utiliser plusieurs méthodes pour les récupérer:
Utilisez Data Recovery Pro.
Data Recovery Pro est un logiciel utilitaire fiable et capable de restituer des données perdues lors d'une attaque de rançon-logiciel, d'une suppression accidentelle ou d'une panne du système.
- Téléchargez Data Recovery Pro;
- Suivez les étapes contenues dans la section Data Recovery et installez ce programme
- Lancez le programme et analysez votre ordinateur pour retrouver les fichier cryptés par le rançongiciel GandCrab 3;
- Restituez-les.
Activer Windows version précédente.
Si vous utilisez la fonction SystemRestore (Restauration du système), le système crée automatiquement des points de restauration. Vous pouvez, bien sûr, créer vous-même ces points. Pour savoir si pouvez récupérer vos fichiers en utilisant la fonction version précédente, suivez les étapes suivantes :
- Retrouvez un des fichiers cryptés que vous souhaitez restaurer et cliquez droit dessus;
- Sélectionnez “Properties”, et allez dans l'onglet “Previous versions”;
- Là, cherchez toutes les copies disponibles du fichier dans “Folder versions”. Vous devez sélectionner la version que vous voulez restituer et cliquez sur “Restore”.
ShadowExplorer
ShadowExplorer ne pourra pas vous aider puisque le rançongiciel supprime les clichés instantanés du volume .
- Téléchargez Shadow Explorer à partir de http://shadowexplorer.com/;
- Suivez les étapes de l'Assistant d'installation de Shadow Explorer et installez cette application dans votre ordinateur;
- Lancez le programme et glissez sur menu déroulant qui se trouve à l'angle supérieur gauche pour sélectionner le disque des données encodées. Vérifiez bien les dossiers qui s'y trouvent;
- Cliquez droit sur le dossier que vous voulez restaurer et sélectionnez “Export”. Vous pouvez aussi sélectionner l'endroit où vous voulez le sauvegarder.
Aucun outil de décryptage n'est disponible actuellement.
Enfin, vous devriez toujours penser à la protection de crypto-ransomwares. Afin de protéger votre ordinateur de GandCrab 3 et autres ransomwares, utiliser un anti-spyware de bonne réputation, telles que FortectIntego, SpyHunter 5Combo Cleaner ou de Malwarebytes
Recommandé pour vous
Optez pour un bon navigateur web et améliorez votre sécurité grâce à un outil VPN
L'espionnage en ligne a connu ces dernières années une forte montée en puissance et les gens se montrent de plus en plus intéressés par les moyens de protéger leur vie privée en ligne. Le choix du navigateur le plus sûr et le plus confidentiel est l'un des moyens les plus simples afin de renforcer la sécurité.
Toutefois, il est possible de renforcer la protection et de créer une pratique de navigation totalement anonyme à l'aide du VPN Private Internet Access. Ce logiciel réachemine le trafic à travers différents serveurs, dissimulant ainsi votre adresse IP et votre géolocalisation. Grâce à la combinaison d'un navigateur web sécurisé et d'un VPN d'accès privé à Internet, vous pourrez naviguer sur Internet sans avoir le sentiment d'être espionné ou ciblé par des criminels.
Sauvegarder les fichiers pour une utilisation ultérieure, en cas d'attaque par un malware
Les problèmes de logiciels générés par des logiciels malveillants ou la perte directe de données due au cryptage peuvent entraîner des problèmes avec votre appareil voire des dommages permanents. Lorsque vous disposez de sauvegardes adéquates et à jour, vous pouvez facilement récupérer après un tel incident et reprendre le travail.
Il est crucial de créer des mises à jour de vos sauvegardes après toute modification sur l'appareil, afin de pouvoir revenir au point sur lequel vous travailliez lorsque des logiciels malveillants ont modifié quoi que ce soit ou que des problèmes avec l'appareil ont entraîné une corruption des données ou des performances.
Lorsque vous disposez de la version précédente de chaque document ou projet important, vous évitez ainsi toute frustration et toute panne. Cela s'avère pratique lorsque des logiciels malveillants surgissent de nulle part. Utilisez Data Recovery Pro pour la restauration du système.