Echelle de gravité:  
  (98/100)

Le rançon-logiciel GandCrab 3. Comment supprimer? (Guide de désinstallation)

Par Olivia Morelli - - | Type : Ransomware

Le rançon-logiciel GandCrab 3 – une nouvelle souche de l'infâme virus GandCrab

Le rançon-logiciel GandCrab 3

GandCrab 3 est un virus crypto-rançongiciel qui représente la troisième version du célèbre maliciel GandCrab. À la fin du mois d'avril 2018, seulement quelques mois après la sortie de GandCrab2, les pirates informatiques ont de nouveau frappé fort en ciblant plus particulièrement les utilisateurs de PC en Russie, en Bélarus, au Kazakhstan et en Ukraine. Il utilise le chiffrement AES-256 (CBC mode) + RSA-2048 pour coder en dur les fichiers personnels et les marquer ensuite avec l'extension de fichier .CRAB. Le fichier CRAB-DECRYPT.txt constitue la note de rançon qui comporte des directives claires sur la façon dont la victime doit  payer la rançon. Seuls les Bitcoins sont acceptés.

Nom GandCrab 3
Versions GandCrab, GandCrab 2
Catégorie Rançongiciel
 Extension de fichier .CRAB
Note de rançon  CRAB-DECRYPT.txt
Principaux symptômes Inaccessibilité des fichiers personnels, note de rançon créé sur le bureau, lenteur du PC, fond d'écran altéré, redirection du navigateur vers le site web de paiement 
Les principaux dangers Il corrompt le système et cause de graves pannes. Les fichiers personnels peuvent être définitivement supprimés. Perte financière. 
La suppression manuelle de ce rançongiciel n'est pas possible. Pour le supprimer, il faut utiliser un anti-maliciel professionnel tel que Reimage

Très exactement à la fin du mois d'avril 2018, les experts en cyber-sécurité ont détecté un échantillon du rançongiciel V3. Sur le plan généalogique, ces prédécesseurs sont les versions de GandCrab et GandCrab2, lesquelles ont eu un très grand succès du point de vue des malfaiteurs. La première diffusion a permis de recueillir plus de  600 000 USD en moins de quatre mois.

Tandis qu'il était déjà possible de décrypter la première variante, ce n'est pas le cas pour la deuxième variante V2. L'outil de décryptage de GandCrab-3 n'est pas encore disponible. 
Actuellement, on n'est pas encore sûr à 100 % des techniques de distribution que les cyber-criminels utilisent pour propager ce logiciel malveillant ou maliciel. Cependant, sur la base des informations reçues sur GandCrab, on peut penser aux méthodes suivantes :

  • le kit d'exploit Magnitude ;
  • le kit d'exploit Rig ;
  • le kit d'exploit GrandSoft ;
  • les campagnes publicitaires malveillantes ininterrompues ;
  • le reçu Feb-21310 [chiffres aléatoires] en pièce jointe à un spam ; 
  • la fausse mise à jour de la police de caractère Hoefler;
  • Hacked Remote Desktop Services (« piratage à distance »), etc.

Après l'encodage, le virus GandCrab 3 change la séquence de démarrage, élimine les clichés instantanés du volume (Volume Shadow Copies) en utilisant l'invite de commande et PowerShell comme administrateur, et déchiffre l'algorithme d'encodage AES-256 (mode CBC ) + RSA-2048. Le maliciel exécute le fichier random.exe en arrière plan du système. Il peut également pirater le fichier explorer.exe et forcer le redémarrage du système afin d'achever son encodage. 

Tout comme la version précédente, il assigne l'extension de fichier .CRAB aux fichiers encodés. Il cible plus de 250 types de fichiers différents, y compris les plus populaires (.jpg, .png, .doc, .pdf, .avi, .docx, etc.). Dès que les fichiers sont cryptés, le virus génère une note de rançon intitulée CRAB-DECRYPT.txt. Cette stipule ceci :

—= GANDCRAB V3 =—
Attention !
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants ont été cryptés et comportent l'extension de fichier : .CRAB
Le seul moyen de récupérer les fichiers est d'acheter une clé privée. Elle se trouve dans notre serveur et nous sommes les seuls à pouvoir restaurer vos fichiers. 
Le serveur qui contient votre clé est dans le réseau fermé TOR. Vous pouvez y avoir accès de cette façon : 
0.Télécharger le navigateur TOR – https://www.torproject.org/
1. Installez le navigateur Tor 
2.Ouvrez le navigateur Tor 
3. Ouvrez le lien qui se trouve dans le  navigateur TOR :
4. Suivez les instructions de la page
Dans notre page, vous verrez des directives concernant le paiement et aurez l'occasion de faire décrypter un fichier gratuitement. 
Une autre façon de nous contacter est d'utiliser Jabber Messenger. Lisez comment procéder :
0. Télecharger Psi-Plus Jabber Client: https://psi-im.org/download/
1. Ouvrir un nouveau compte : http://sj.ms/register.php
0) Entrer le « nom utilisateur « : 21b1a2d1729f0695
1) Entrer le « mot de passe « : votre mot de passe
2. Ajouter un nouveau compte dans Psi
3.Ajouter et inscrire l'identifiant Jabber : ransomware@sj.ms pour n'importe quel message
4. Suivez les instructions du robot
ATTENTION !
Il s'agit d'un robot! C'est un système artificiel entièrement automatisé dépourvu de contrôle humain! 
Pour nous contacter, utilisez les liens de TOR. Nous pouvons à tout moment vous présenter toutes les preuves qui démontrent de notre capacité à décrypter les fichiers. Lisez les instructions sur la manière d'installer et d'utiliser jabber ici : http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
AVERTISSEMENT!
N'essayez pas de modifier les fichiers ou d'utiliser votre propre clé privée. Cela entraînera des pertes irréversibles de données! 

Contrairement aux deux précédentes versions qui utilisaient la crypto-monnaie DASH, GandCrab 3 exige que ses victimes payent la rançon en  Bitcoins. En outre, les chercheurs en matière de logiciels malveillants ont découvert que GandCrab-3 vient de la Roumanie.

Si vous avez le moindre doute d'être infecté par le rançon-logiciel GandCrab 3, supprimez-le de votre système le plus tôt possible. Pour cela, nous vous recommandons d'utiliser les outils antivirus Reimage, Malwarebytes MalwarebytesCombo Cleaner ou Plumbytes Anti-MalwareMalwarebytes Malwarebytes. Tant que ce rançongiciel reste installé, vous ne pouvez en aucun cas récupérer vos fichiers sans payer la rançon.

Après la suppression de GandCrab-3, vous devriez essayer de restaurer vos fichiers verrouillés par l'extension de fichier .CRAB en utilisant les outils de récupération des données des tierces parties ou essayer d'activer une version précédente de Windows. Vous trouverez à la fin de cet article un guide complet sur la manière de récupérer les fichiers cryptés par GandCrab-3.

Les criminels utilisent plusieurs méthodes pour diffuser le maliciel 

L'équipe de Bedynet.ru déclare que ce type de rançongiciel ne se contente pas d'utiliser une seule méthode de propagation. Il est difficile de donner la liste complète des techniques précises, bien qu'ils aient aussi utilisé les méthodes de distribution classique.
Néanmoins, les utilisateurs doivent se méfier du reçu en pièce jointe intitulé Receipt Feb-21310 [ chiffres aléatoires ] envoyé par un [nom aléatoire ]@cdkconstruction.org. Aussitôt que vous remarquez un courriel suspect envoyé par un expéditeur inconnu, nous vous recommandons vivement de signaler cela comme un pourriel ou spam immédiatement. 

Les kits d'exploit notamment Magnitude, RIG, et GrandSoft sont très connus pour être des vecteurs de rançongiciel. Pour empêcher que les logiciels malveillants exploitent les failles de votre PC, installez toutes les mises à jour et les correctifs du système.  

Enfin, le dernier point mais non le moindre, méfiez-vous des téléchargement gratuits sur Internet. On a constaté que plusieurs sites douteux et illégaux contiennent des faux téléchargements de mises à jour logicielles.  L'un des exemples utilisés pour diffuser l'ancêtre de ce rançon-logiciel est la fausse police de caractères Hoefler. La potentielle victime est redirigée vers un site Web piraté, qui affiche des textes brouillés ainsi qu'une fenêtre intruse qui pressent les utilisateurs de télécharger la dernière mise à jour de police de caractères afin de pouvoir voir le contenu. 

Les différentes méthodes de suppression de GandCrab-3 

Il n'existe qu'une seule solution pour supprimer le rançon-logiciel GandCrab 3 du système. Et c'est la méthode automatique qui requiert l'utilisation d'un programme anti-maliciel professionnel. La suppression manuelle, lorsque vous l'effectuez vous-même, est quasiment impossible, sauf si vous vous souciez peu d'endommager le système et les fichiers cryptés de manière irréversible.

Nous vous recommandons plutôt vivement d'utiliser un programme de sécurité professionnel, tel que Reimage. Après la suppression de ce virus, essayez de récupérer vos fichiers à l'aide des méthodes de récupération des données présentées ci-dessous. 

Offre
faites-le maintenant!
Télécharger
Reimage (outil de suppression) Bonheur
garantie
Télécharger
Reimage (outil de suppression) Bonheur
garantie
Compatible avec Microsoft Windows Supported versions Compatible avec OS X Supported versions
Que faire si la procédure échoue ?
Si vous avez échoué à éliminer le dégât du virus en utilisant Reimage, posez la question à notre équipe de support et fournissez autant de détails que possible.
Reimage est recommandé pour éliminer le dégât infligé par virus. Free scanner vous permet de vérifier si votre ordinateur est infecté ou non. Si vous avez besoin de supprimer les logiciels malveillants, vous devez acheter la version sous licence de Reimage' outil de suppression de logiciels malveillants.

Guide de suppression manuel de virus GandCrab 3:

Supprimer GandCrab 3 à l'aide de Safe Mode with Networking

Le rançon-logiciel peut vous empêcher de le supprimer. Dans ce cas, vous devez redémarrer votre PC en mode sans échec avec mise en réseau. Pour y parvenir, procédez de la manière suivante:

  • Étape 1: Redémarrer votre ordinateur pour Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Cliquez sur Start Shutdown Restart OK.
    2. Lorsque votre ordinateur devient actif, commencez à appuyer sur F8 plusieurs fois jusqu'à ce que vous voyez la fenêtre Advanced Boot Options.
    3. Sélectionnez Safe Mode with Networking à partir de la liste Sélectionnez 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Appuyez sur le bouton Power à Windows'écran de connexion. Appuyez maintenant sur et maintenez Shift, qui est sur votre clavier, puis cliquez sur Restart..
    2. Maintenant, sélectionnez Troubleshoot Advanced options Startup Settings et enfin appuyez sur Restart.
    3. Une fois votre ordinateur devient actif, sélectionnez Enable Safe Mode with Networking dans Startup Settings fenêtre. Sélectionnez 'Enable Safe Mode with Networking'
  • Étape 2: Retirer GandCrab 3

    Connectez-vous à votre infectés et ouvrez le navigateur de compte. Télécharger Reimage ou d'autres programme anti-logiciel espion légitimes. Mettre à jour avant une analyse complète du système et retirez les fichiers malveillants qui appartiennent à votre ransomware et remplir GandCrab 3 dépose.

Si votre ransomware bloque Safe Mode with Networking, essayez autre méthode.

Supprimer GandCrab 3 à l'aide de System Restore

  • Étape 1: Redémarrer votre ordinateur pour Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Cliquez sur Start Shutdown Restart OK.
    2. Lorsque votre ordinateur devient actif, commencez à appuyer sur F8 plusieurs fois jusqu'à ce que vous voyez la fenêtre Advanced Boot Options.
    3. Sélectionnez Command Prompt à partir de la liste Sélectionnez 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Appuyez sur le bouton Power à Windows'écran de connexion. Appuyez maintenant sur et maintenez Shift, qui est sur votre clavier, puis cliquez sur Restart..
    2. Maintenant, sélectionnez Troubleshoot Advanced options Startup Settings et enfin appuyez sur Restart.
    3. Une fois votre ordinateur devient actif, sélectionnez Enable Safe Mode with Command Prompt dans Startup Settings fenêtre. Sélectionnez 'Enable Safe Mode with Command Prompt'
  • Étape 2: Restaurer vos paramètres et fichiers système
    1. Une fois la fenêtre Command Prompt'affiche, saisissez cd restore et cliquez sur Enter. Saisissez 'cd restore' sans les guillemets et appuyez sur 'Enter'
    2. Maintenant, tapez rstrui.exe et appuyez sur Enter de nouveau.. Saisissez 'rstrui.exe' sans les guillemets et appuyez sur 'Enter'
    3. Lorsqu'une nouvelle fenêtre apparaît, cliquez sur Next et sélectionnez votre point de restauration qui est antérieure à l'infiltration de GandCrab 3. Après avoir fait cela, cliquez sur Next. Lorsque la fenêtre 'System Restore''affiche, sélectionnez 'Next' Sélectionnez votre point de restauration et cliquez sur 'Next'
    4. Maintenant, cliquez sur Yes pour lancer la restauration du système. Cliquez sur 'Yes' et commencer la restauration système
    Une fois que vous restaurez votre système à une date antérieure, téléchargez et analysez votre ordinateur avec Reimage et assurez-vous que la suppression du virus GandCrab 3 s'est effectuée avec succès.

Bonus: Récupérer vos données

Le guide présenté ci-dessus peut vous permettre de supprimer GandCrab 3 de votre ordinateur. Pour récupérer vos données cryptées, nous vous recommandons d'utiliser le guide détaillé suivant lesvirus.fr préparé par les experts en cyber sécurité.

Malheureusement, vos fichiers ne vous seront pas restitués après la suppression de GandCrab 3. Après l'élimination du virus, vous devez utiliser les outils de récupération des tiers. Nous vous recommandons ceux-ci :

Si vos fichiers ont été cryptés par GandCrab 3, vous pouvez utiliser plusieurs méthodes pour les récupérer:

Utilisez Data Recovery Pro.

Data Recovery Pro est un logiciel utilitaire fiable et capable de restituer des données perdues lors d'une attaque de rançon-logiciel, d'une suppression accidentelle ou d'une panne du système. 

  • Téléchargez Data Recovery Pro;
  • Suivez les étapes contenues dans la section Data Recovery et installez ce programme
  • Lancez le programme et analysez votre ordinateur pour retrouver les fichier cryptés par le rançongiciel GandCrab 3;
  • Restituez-les.

Activer Windows version précédente.

Si vous utilisez la fonction SystemRestore (Restauration du système), le système crée automatiquement des points de restauration. Vous pouvez, bien sûr, créer vous-même ces points. Pour savoir si pouvez récupérer vos fichiers en utilisant la fonction version précédente, suivez les étapes suivantes :

  • Retrouvez un des fichiers cryptés que vous souhaitez restaurer et cliquez droit dessus;
  • Sélectionnez “Properties”, et allez dans l'onglet “Previous versions”;
  • Là, cherchez toutes les copies disponibles du fichier dans “Folder versions”. Vous devez sélectionner la version que vous voulez restituer et cliquez sur “Restore”.

ShadowExplorer

ShadowExplorer ne pourra pas vous aider puisque le rançongiciel supprime les clichés instantanés du volume . 

  • Téléchargez Shadow Explorer à partir de http://shadowexplorer.com/;
  • Suivez les étapes de l'Assistant d'installation de Shadow Explorer et installez cette application dans votre ordinateur;
  • Lancez le programme et glissez sur menu déroulant qui se trouve à l'angle supérieur gauche pour sélectionner le disque des données encodées. Vérifiez bien les dossiers qui s'y trouvent;
  • Cliquez droit sur le dossier que vous voulez restaurer et sélectionnez “Export”. Vous pouvez aussi sélectionner l'endroit où vous voulez le sauvegarder.

Aucun outil de décryptage n'est disponible actuellement.

Enfin, vous devriez toujours penser à la protection de crypto-ransomwares. Afin de protéger votre ordinateur de GandCrab 3 et autres ransomwares, utiliser un anti-spyware de bonne réputation, telles que Reimage, Malwarebytes MalwarebytesCombo Cleaner ou de Plumbytes Anti-MalwareMalwarebytes Malwarebytes

À propos de l'auteur

Olivia Morelli
Olivia Morelli

Si ce guide retrait gratuit vous a aidé et que vous êtes satisfait de notre service, veuillez considérer faire un don à maintenir ce service. Même une plus petite quantité sera appréciée.

Contactez Olivia Morelli
À propos de l'entreprise Esolutions

Source: https://www.2-spyware.com/remove-gandcrab-3-ransomware.html

Guides suppression dans d'autres langues