Récupérer des fichiers verrouillés par un ransomware

Les logiciels malveillants de type ransomware sont actuellement la menace la plus dangereuse pour les particuliers et les entreprises. Cette sorte de virus va verrouiller des fichiers sur l’ordinateur, le serveur et/ou le réseau complet pour empêcher les utilisateurs d’accéder à leurs données. Que ce soient des photos personnelles, des documents de travail ou toutes les données informatisées d’une entreprise, le principe est toujours le même : une rançon est demandée pour récupérer ses fichiers. Généralement, ces ransomwares verrouillent les documents de bureautique (Word, Excel, etc), les photos, la musique, les vidéos, les exécutables (.exe), etc.

Malheureusement, aucun logiciel antiransomware n’existe. C’est généralement par une fausse pièce-jointe reçue par mail que l’ordinateur est infecté. Un programme malveillant type cheval de Troie (trojan) s’installe sur l’ordinateur et commence à verrouiller les fichiers, comme s’il bloquait tous les fichiers par un mot de passe que vous ne connaissez pas.

Puis un message s’affiche à l’écran, demandant de payer pour débloquer les fichiers. Le rançongiciel peut demander un virement bancaire, une transaction PayPal, des SMS surtaxés et plus généralement l’achat de monnaie virtuelle Bitcoin, s’assurant au passage l’anonymat en demandant de passer par Tor, l’ « internet anonyme » permettant ainsi de masquer l’identité des hackers.

Problème, payer n’assure pas de récupérer ses fichiers et le verrou peut persister. Pire, les pirates derrière ce logiciel de rançon ont compris que vous sortez facilement votre porte monnaie et vont en profiter pour vous faire débourser des sommes plus importantes.

Il n’y a jamais eu de remède contre les ransomwares, mis à part disposer de sauvegardes décentralisées. Pourquoi ? Car si les sauvegardes se font sur un disque dur USB ou un NAS en réseau qui est continuellement raccordé à l’ordinateur, le ransomware va chiffrer les fichiers présents sur ces disques. Les solutions viables sont d’avoir des sauvegardes déconnectées (un disque dur dans un tiroir) ou une solution de sauvegarde en ligne type Dropbox avec historique des versions. Ainsi, même si la dernière version du fichier est verrouillée et est copiée dans le cloud, l’historique permettra de revenir sur une version propre des fichiers.

Les plus connus de ces logiciels de rançon sont Locky, Cerber, Cryptowall, Tesla, RSA-4096.

 

Trend Micro Ransomware File Decryptor : la solution ?

Nouveauté dans la lutte contre les ransomwares, Trend Micro a annoncé avoir trouvé une solution pour (peut-être) déverrouiller vos fichiers. Il n’est pas garanti que cet outil fonctionne mais il faudra l’essayer si votre PC Windows ou réseau d’ordinateurs est infecté.

Actuellement, l’outil Trend Micro Ransomware File Decryptor peut s’occuper de TeslaCrypt, CryptXXX, SNSLocker, AutoLocky, Locky, Cerber, Nemucod, Lechiffre, Jigsaw, DXXD, Crysis, TeleCrypt, BadBlock, 777, Xorist, Xorbat, Stampado, Chimera, MirCop, Purge Globe, Teamxrat xpan et DemoTool.

1. Aller sur la page : https://success.trendmicro.com/solution/1114221

2. Télécharger l’outil par le bouton bleu « Download RansomwareFileDecryptor » :

3. Dézipper et exécuter le fichier. Accepter le contrat d’utilisation.

4. Première étape, indiquer le nom du ransomware parmi une liste complète. Si vous ne connaissez pas son nom, laisser l’outil le détecter par « I don’t know the ransomware name » et charger un fichier verrouillé pour qu’il le reconnaisse.

5. Ensuite, sélectionner le disque infecté par le ransomware pour lancer l’analyse.

6. Le scan anti-ransomware démarre et essaie de déverrouiller les fichiers chiffrés.

Pour des cas particuliers ou avoir plus d’informations sur l’outil de désinfection d’un virus type ransomware, consulter la page TrendMicro dédiée au Ransomware File Decryptor ou poser la question sur le forum Windows Facile.

Quitter la version mobile