ExpertSécurité

Récupérer des fichiers verrouillés par un ransomware

Les logiciels malveillants de type ransomware sont actuellement la menace la plus dangereuse pour les particuliers et les entreprises. Cette sorte de virus va verrouiller des fichiers sur l’ordinateur, le serveur et/ou le réseau complet pour empêcher les utilisateurs d’accéder à leurs données. Que ce soient des photos personnelles, des documents de travail ou toutes les données informatisées d’une entreprise, le principe est toujours le même : une rançon est demandée pour récupérer ses fichiers. Généralement, ces ransomwares verrouillent les documents de bureautique (Word, Excel, etc), les photos, la musique, les vidéos, les exécutables (.exe), etc.

Malheureusement, aucun logiciel antiransomware n’existe. C’est généralement par une fausse pièce-jointe reçue par mail que l’ordinateur est infecté. Un programme malveillant type cheval de Troie (trojan) s’installe sur l’ordinateur et commence à verrouiller les fichiers, comme s’il bloquait tous les fichiers par un mot de passe que vous ne connaissez pas.

Puis un message s’affiche à l’écran, demandant de payer pour débloquer les fichiers. Le rançongiciel peut demander un virement bancaire, une transaction PayPal, des SMS surtaxés et plus généralement l’achat de monnaie virtuelle Bitcoin, s’assurant au passage l’anonymat en demandant de passer par Tor, l’ « internet anonyme » permettant ainsi de masquer l’identité des hackers.

Problème, payer n’assure pas de récupérer ses fichiers et le verrou peut persister. Pire, les pirates derrière ce logiciel de rançon ont compris que vous sortez facilement votre porte monnaie et vont en profiter pour vous faire débourser des sommes plus importantes.

Il n’y a jamais eu de remède contre les ransomwares, mis à part disposer de sauvegardes décentralisées. Pourquoi ? Car si les sauvegardes se font sur un disque dur USB ou un NAS en réseau qui est continuellement raccordé à l’ordinateur, le ransomware va chiffrer les fichiers présents sur ces disques. Les solutions viables sont d’avoir des sauvegardes déconnectées (un disque dur dans un tiroir) ou une solution de sauvegarde en ligne type Dropbox avec historique des versions. Ainsi, même si la dernière version du fichier est verrouillée et est copiée dans le cloud, l’historique permettra de revenir sur une version propre des fichiers.

Les plus connus de ces logiciels de rançon sont Locky, Cerber, Cryptowall, Tesla, RSA-4096.

 

Trend Micro Ransomware File Decryptor : la solution ?

Nouveauté dans la lutte contre les ransomwares, Trend Micro a annoncé avoir trouvé une solution pour (peut-être) déverrouiller vos fichiers. Il n’est pas garanti que cet outil fonctionne mais il faudra l’essayer si votre PC Windows ou réseau d’ordinateurs est infecté.

Actuellement, l’outil Trend Micro Ransomware File Decryptor peut s’occuper de TeslaCrypt, CryptXXX, SNSLocker, AutoLocky, Locky, Cerber, Nemucod, Lechiffre, Jigsaw, DXXD, Crysis, TeleCrypt, BadBlock, 777, Xorist, Xorbat, Stampado, Chimera, MirCop, Purge Globe, Teamxrat xpan et DemoTool.

1. Aller sur la page : https://success.trendmicro.com/solution/1114221

2. Télécharger l’outil par le bouton bleu « Download RansomwareFileDecryptor » :

tutoriel outil virus Trend Micro Ransomware File Decryptor

3. Dézipper et exécuter le fichier. Accepter le contrat d’utilisation.

4. Première étape, indiquer le nom du ransomware parmi une liste complète. Si vous ne connaissez pas son nom, laisser l’outil le détecter par « I don’t know the ransomware name » et charger un fichier verrouillé pour qu’il le reconnaisse.

tutoriel outil virus Trend Micro Ransomware File Decryptor

5. Ensuite, sélectionner le disque infecté par le ransomware pour lancer l’analyse.

tutoriel outil virus Trend Micro Ransomware File Decryptor

6. Le scan anti-ransomware démarre et essaie de déverrouiller les fichiers chiffrés.

tutoriel outil virus Trend Micro Ransomware File Decryptor

Pour des cas particuliers ou avoir plus d’informations sur l’outil de désinfection d’un virus type ransomware, consulter la page TrendMicro dédiée au Ransomware File Decryptor ou poser la question sur le forum Windows Facile.

Voir aussi

  1. je suis ransonner pour des fichiers photos avec extension type Fichier BXMUSGHY
    quelqu’un peut-il me dire si il y a une solution de recup
    merci

  2. Bonjour

    J’ai été infecté le vendredi 29 novembre 2019 aux alentours de 18h La ramcoware bloque mes fichiers familiale photos et documents administratif avec une extension après les point doc et point PDF l’extension en plus 8t22f14rz6.
    Je demande de l’aide pour retrouver mes fichier merci

  3. bonjour,
    Mon pc est infecté par un ransomware avec l’extension « .promos ». Tous les fichiers du pc sont cryptés ainsi ceux de mon disque dur externe.
    Merci pour votre aide

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page