Supprimer Payfast virus (virus) - Les instructions de restauration inclues

Quel est Payfast ransomware?

Le rançongiciel Payfast est un type de logiciel malveillant qui vous empêche d'accéder à vos fichiers

Un rançongiciel qui verrouille les fichiers personnels et réclame 0,013 bitcoin en contrepartie d'un outil de décryptage

La création de programmes malveillants a connu un essor fulgurant ces dernières années, et le commerce illégal de rançongiciels a pris une ampleur considérable. Le virus Payfast, qui appartient à une famille de logiciels malveillants relativement importante, Zeppelin, est une nouvelle tentative des cybercriminels de rentabiliser le malheur des victimes.

Une fois installé sur le système, il effectue des modifications importantes non seulement du système Windows mais aussi des fichiers personnels. En réalité, les modifications apportées au système sont effectuées pour garantir que le cryptage des fichiers s'effectue sans problème. En utilisant une combinaison d'algorithmes sophistiqués AES et RSA, le rançongiciel crypte les documents, les images, les vidéos et toutes les autres données présentes sur l'ordinateur. Il exclut plusieurs emplacements du système, ce qui lui permet de fonctionner (la destruction des fichiers système n'étant pas l'objectif des infections par rançongiciel).

Au cours du processus de cryptage, chaque fichier est complété par une extension de fichier spécifique – .payfast[ID]. Ce symptôme, bien qu'étant un stade ultérieur de l'infection, est celui qui fait le plus comprendre aux victimes que quelque chose est arrivé à leur machine. Par exemple, un fichier appelé picture.jpg sera changé en quelque chose comme picture.jpg.payfast500.XXX-XXX-XXX (les X sont généralement remplacés par des caractères alphanumériques – ils changent d'une victime à l'autre). Des extensions.payfast290.XXX-XXX-XXX ont également été repérées récemment. Il est probable que cette situation se poursuive à l'avenir.

Peu après le processus de verrouillage des données, il émet une note de rançon intitulée !!! TOUS VOS FICHIERS SONT CRYPTÉS !!!.TXT. Dans cette note, les cybercriminels indiquent que les utilisateurs doivent payer 0,013 BTC (bien que cette somme devrait doubler dans la journée) pour obtenir un outil de décryptage qui permettrait soi-disant de restaurer tous les fichiers. Les escrocs proposent également d'envoyer un fichier via payfast290@mail2tor.com ou payfast500@mail2tor.com pour un test de décryptage – il ne doit contenir aucune information importante.

Cela dit, les experts en sécurité ne recommandent pas de contacter les criminels car ils ne sont pas tenus d'envoyer le décrypteur pour vous. Dans cet article, nous vous fournirons des instructions sur la façon de traiter cette dangereuse infection par un rançongiciel afin d'obtenir le meilleur résultat pour vous.

Le rançongiciel Zeppelin ne date pas d'hier dans le monde de la cybersécurité

Si l'on peut facilement affirmer que Djvu est la famille de rançongiciels la plus en vue qui cible les utilisateurs particuliers, il existe de nombreuses autres souches qui veulent également profiter de l'activité illégale d'extorsion d'argent. Apparu pour la première fois en novembre 2019, ce malware a connu une croissance constante au cours des années, et de nouvelles variantes continuent d'apparaître régulièrement. La lignée provient d'autres souches de rançongiciels, notamment VegaLocker et Buran.

Le virus se répand principalement par le biais de pièces jointes ou de liens contaminés – le malspam reste à ce jour la technique de diffusion de logiciels malveillants la plus populaire. Afin de vous protéger contre les infections par des logiciels malveillants, vous devez toujours être vigilant lorsque vous ouvrez de nouveaux e-mails, surtout s'ils contiennent un fichier MS Office. N'autorisez jamais l'exécution des macros de ces documents sur votre PC, sinon l'infection du système pourrait se déclencher immédiatement. Il est évident que vous devriez toujours utiliser une application de sécurité puissante.

Le rançongiciel Payfast est une variante d'un malware Zeppelin largement répandu

Les variantes de cette famille de rançongiciels ciblent souvent des organisations de premier plan, comme les hôpitaux, mais les petites entreprises et les utilisateurs ordinaires peuvent également être infectés en raison de la nature du vecteur d'attaque. Les cybercriminels optent également pour des cibles en exploitant des vulnérabilités dans des logiciels de réseau d'entreprise tels que ConnectWise Control.

Comment réagir après avoir été infecté par le rançongiciel Payfast ?

Avant tout, vous ne devez pas paniquer. Bien que les rançongiciels soient effectivement l'infection la plus dévastatrice pour les particuliers et les entreprises, le mieux à faire à ce moment là est de se concentrer sur la suppression de Payfast et la récupération des fichiers. Toutefois, il est important de le faire correctement, car de mauvaises mesures peuvent entraîner une altération permanente des fichiers personnels.

Une fois en Mode sans échec, vous devez supprimer le virus Payfast à l'aide d'un logiciel anti-malware tel que SpyHunter 5Combo Cleaner ou Malwarebytes. Le logiciel de sécurité est en mesure de trouver tous les fichiers et entrées malveillants et de les supprimer automatiquement pour vous. Il ne faut même pas envisager de le faire manuellement. Une fois les logiciels malveillants supprimés, vous pouvez procéder aux méthodes alternatives de récupération des données que nous vous proposons ci-dessous.

Étape suivante : que faire des fichiers?

La caractéristique des rançongiciels qui les rend si redoutables est le cryptage des fichiers. De nombreux utilisateurs pensent qu'ils pourront restaurer leurs données dès qu'ils auront analysé leur système avec un logiciel antivirus. Or, ce dernier n'est pas conçu à cette fin et ne restaurera pas vos fichiers.

Comme de nombreux utilisateurs négligent souvent de préparer des sauvegardes de données adéquates avant d'être attaqués par un rançongiciel, ils risquent de perdre définitivement l'accès à leurs fichiers. Il est également très risqué de payer les criminels, car ils risquent de ne pas tenir leurs promesses et de ne jamais renvoyer l'outil de décryptage requis.

Bien que cela puisse paraître désolant, tout n'est pas perdu : un logiciel de récupération des données peut vous aider dans certaines situations (cela dépend fortement de l'algorithme de cryptage utilisé, du fait que le rançongiciel ait réussi ou non à exécuter les tâches programmées, etc.). Puisqu'il existe des milliers de variantes de rançongiciels, il est impossible de savoir tout de suite si un logiciel tiers fonctionnera pour vous.

C'est pourquoi nous vous conseillons d'essayer, quelle que soit la forme de rançongiciel qui a attaqué votre ordinateur. Avant de commencer, vous devez prendre connaissance de plusieurs points importants pour faire face à cette situation :

• Comme les données cryptées de votre ordinateur peuvent être endommagées de façon permanente par un logiciel de sécurité ou de récupération des données, vous devez d'abord en faire des sauvegardes – utilisez une clé USB ou un autre support de stockage.
• Ne tentez de récupérer vos fichiers en utilisant cette méthode qu'après avoir effectué une analyse avec un logiciel anti-malware.

Installer un logiciel de récupération des données

1. Téléchargez Data Recovery Pro.
2. Faites un Double clique sur Installer pour le lancer.
   
3. Suivez les instructions apparaissant à l'écran pour installer le logiciel.
4. Dès que vous appuyez sur le bouton Terminer, vous pouvez utiliser l'application.
5. Sélectionnez Tout ou choisissez les dossiers individuels dans lesquels vous souhaitez récupérer les fichiers.
6. Appuyez sur Suivant.
7. En bas, activez la fonction Analyse approfondie et choisissez les disques que vous voulez analyser.
8. Appuyez sur Analyser et attendez que l'analyse soit terminée.
9. Vous pouvez maintenant choisir les dossiers/fichiers à récupérer – n'oubliez pas que vous avez aussi la possibilité de rechercher par le nom du fichier !
10. Appuyez sur Récupérer pour récupérer vos fichiers.

Réparer votre Windows après l'élimination du malware

Pour que le rançongiciel Payfast puisse réussir, il doit surmonter tous les obstacles qui se dressent devant lui. Tout d'abord, le malware vérifie la langue par défaut du système et quitte sans rien infecter lorsqu'elle est définie sur les langues suivantes :

• Russie
• Biélorussie
• Ukraine
• Kazakhstan

Cette tactique n'est pas récente, elle est couramment utilisée par les criminels de l'Est pour éviter l'attention des autorités locales. Seulement, si la victime ne provient pas des pays susmentionnés, l'infection est immédiatement lancée.

Le logiciel malveillant exécute alors plusieurs tâches malveillantes, notamment la suppression des copies de volume d'ombre pour empêcher la récupération facile des données, l'altération du registre Windows pour le démarrage automatique, la configuration pour être exécuté avec des autorisations élevées, la désactivation des logiciels de sécurité des outils anti-malware les plus populaires, et bien plus encore.

Nous vous proposons également ci-dessous plusieurs conseils qui devraient vous aider à améliorer votre sécurité en ligne et à effectuer des sauvegardes de données pour éviter leur perte à l'avenir.