Comment décrypter vos fichiers après l'attaque par un Ransomware ?

Votre ordinateur et vos données personnelles ont fait l'objet d'une attaque par un rançongiciel ? Vous n'arriver plus à ouvrir vos fichiers : ils sont actuellement inutilisables ou illisibles ? L'objectif des cybercriminels est de vous réclamer le paiement d'une rançon en échange du décryptage de vos fichiers.
Il est vivement déconseillé de payer les hackers car cela encourage leurs comportements délictueux. Vous n'avez pas de garantie non plus que vos fichiers seront récupérés après le paiement.

Voici nos recommandations si vous êtes confrontés à une attaque par un ransomware :

I - Procéder à l'identification du ransomware qui a crypté les données :

1) Vous pouvez nous contacter à l'aide du formulaire de demande d'aide en nous communiquant :

• - 2- 3 fichiers cryptés (idéalement aux formats .doc ou .xls, .pdf). Ne modifiez pas l'extension qu'ils portent après l'attaque ;
  
• - un exemplaire du fichier de demande de rançon (ransom note) laissé par le logiciel malveillant sur votre ordinateur ou sa capture d'écran ;
• - quelques exlications sur le déroulement des faits et vos coordonnées.

2) Vous pouvez utiliser les services d'identification des ransomwares :
- ID ransomware de MalwareHunterTeam ou bien le service No More Ransom Crypto Sheriff d'Europol.

3) Effectuer une recherche dans l'encylopédie des ransomwares d'Andrew Ivanov (Amigo-A sur X) sur www.id-ransomware.blogspot.com.

4) Contacter des forums de demande d'aide spécialisés à ce sujet comme ceux de :
Bleeping Computer, Malekal et Kaspersky Lab.

Vous aurez besoin de la note d'instruction (ransom note) laissée après l'attaque sur l'ordinateurs et d'un à plusieurs exemlaires des fichiers cryptés.
Les contacts des hackers, adresses de leurs portefeuilles en cryptommonaies et tous autres indices peuvent également être utiles.

5) Retrouvez la liste la plus à jour possible de tous les ransomwares ici.

II - De nombreux décrypteurs gratuits existent :

Ils sont régulièrement conçus et mis à jour par des acteurs et éditeurs de solutions en sécurité informatique engagés dans la lutte contre les ransomwares comme Avast, AVG, Bitdefender, Bleeping Computer, CERT Polska, Check Point, Cisco Systems Inc., Computest Security, CyberMalveillance.Gouv.Fr, CyCraft, ElevenPaths, Emisoft, ESET, EC3 - Europol, F-Secure, Intel Security, Kaspersky Lab, KISA, McAfee, NCA, Prodaft, SR Labs, Tesorion, Trend Micro, Truesec.

Pour plus de renseignements et télécharger ces utilitaires, consultez les sites :

• - du projet No More Ransom d'Europol.
  
• - des utilitaires de décryptage de Kaspersky Lab également disponibles sur la page web No Ransom de Kaspersky Lab .
  
• - des décrypteurs de Bitdender, Bleeping Computer, Emsisoft et Trend Micro.

Ces solutions de décryptage peuvent nécessiter une certaine maîtrise informatique.

Pour toute demande d'assistance, vous pouvez nous contacter.

De nombreux fichiers cryptés par les rançongiciels sont déjà récupérables ou le seront prochainement. Les autorités compétentes arrêtent régulièrement des cybercriminels et saisissent leurs serveurs informatiques. Cela permet de récupérer des clés de décryptage.
Ne cédez pas au chantage exercé par les malfaiteurs.

Voici quelques ransomwares, parmi de nombreux autres, pour lesquels il est possible de récupérer les fichiers cryptés :

1. - le ransomware Amnesia
2. - le ransomware Avaddon
3. - les ransomwares Blind et Kill
4. - le ransomware Crypt0l0cker
5. - le ransomware CryptXXX
6. - le ransomware GandCrab
7. - le ransomware JobCrypter
8. - le ransomware Paradise
9. - le ransomware Radamant
10. - le ransomware Revil Sodinokibi
11. - le ransomware Scarab
12. - les ransomwares Troldesh et Shade
13. - le ransomware STOP Djvu

III - Notre partenaire, l'éditeur d'antivirus Doctor Web, peut vous aider à récupérer les fichiers cryptés par certains rançongiciels comme CryptXXX, Crypt0l0cker, CrySiS, JobCrypter et BandarChor (Rakhni).

Pour contacter le service de décryptage, utilisez le formulaire de contact en transmettant :

• - 2-3 exemplaires de fichiers cryptés (idéalement des formats .doc ou .xls, .pdf).
  
• - un exemlaire du fichier de demande de rançon, sa capture d'écran ou son contenu.

Vous pouvez également utiliser notre formulaire de contact.

IV - Les fichiers cryptés ne sont pas toujours récupérables : le ransomware peut être trop complexe et/ou trop récent.

C'est le cas pour les fichiers chiffrés par le ransomware Locky ainsi que de nombreuses versions de Cerber, Dharma, Spora, etc...

La meilleure solution est de récupérer vos fichiers à partir d'une sauvegarde

Il convient aussi de prendre certaines précautions :

• - supprimer toutes les menaces et éventuels virus encore présents.
  
• - sauvegarder tous vos fichiers cryptés et quelques exemplaires de la demande de rançon sur un support externe :
  il est possible qu'ils soient récupérables ultérieurement.
  
• - n'hésitez pas à porter plainte : plus de renseignements et contacts utiles sur la page Signaler une Infraction de No More Ransom.
  
• - vérifiez si vos sauvegardes et les fichiers cachés de votre disque dur sont récupérables à l'aide d'utilitaires comme EasyRecovery,
  Recuva, Undelete 360 ou Shadow Explorer.
  
  
Vous pouvez également nous contacter.

--
Au sujet du ransomware CryptoLocker :

Le trojan encoder Crypt0L0cker chiffre tous les fichiers personnels sur votre ordinateur et en réseau et crée des notes de rançon nommées DECRYPT_INSTRUCTIONS.html et DECRYPT_INSTRUCTIONS.txt qui contiennent des instructions et réclament une rançon en échange de la récupération des données. La demande de rançon peut être rédigé dans la langue du pays où se situe l'ordinateur contaminé (allemand, anglais, coréen, espagnol, français, italien, japonais, polonais, russe, etc...).

Doctor Web est souvent capable de calculer la clé de décrytage du ransomware Crypt0l0cker. Contactez-nous sur la page de demande d'aide pour récupérer vos fichiers et transmettez 2-3 fichiers cryptés (idéalement des formats .doc ou .xls, .pdf) et un exemplaire du fichier de demande de rançon.


Une fois la demande d'aide au décryptage effectuée, nous analyserons vos fichiers et vous apporterons une réponse personnalisée. Notre assistance est gratuite. Pour les ordinateurs équipés d'un antivirus Dr.Web en fonction au moment du cryptage, notre partenaire se chargera d'analyser si la décryption des fichiers est possible et fournira gratuitement la solution de récupération des données. Sinon, une participation aux frais peut être demandée quand le décryptage des fichiers est possible. Plus de renseignements sur Dr.Web Rescue Pack en consultant la documentation ici.


Bloquez les menaces informatiques et les ransomwares préventivement avec Dr.Web Katana




Formulaire de contact pour les ransomwares : www.adc-soft.com/decryptage/ransomware.php
ADC-Soft | 3, rue Paul Bert - 92100 Boulogne-Billancourt (France)
Partenaire officiel de Dr.Web | Twitter X : @Emm_ADC_Soft

---