Ransomware / Rançongiciel : TUTORIEL

Résolu/Fermé
Dragon-fly Messages postés 8 Date d'inscription mardi 26 juillet 2011 Statut Membre Dernière intervention 4 février 2015 - 4 févr. 2015 à 13:55
 Drangon-fly - 4 févr. 2015 à 14:25
Bonjour à tous.

Voici un tuto pour vous aider à vous débarrasser gratuitement de cette plaie qu'est un ransomware et pour essayer de récupérer vos documents.

Pour info ou pour confirmer vos doutes, un ransomware est un logiciel malveillant qui s'installe sur votre ordinateur, la plupart du temps via un téléchargement (de film, logiciel, pièce jointe etc.) et qui crypte vos documents qui deviennent alors illisibles. Un message apparaît pour vous dire que vous ne récupérerez vos documents que si vous payez une 'rançon', suite à quoi vous recevrez une clé pour tout décrypter. Bien souvent, le message comporte un compte-à-rebours pour faire encore plus peur et inciter à payer au plus vite. HAHA... ha.... mais quelle bonne idée... Vilains vilains cybercriminels !

Etape 1 : élimination du virus

Je vous conseille d'essayer directement la restauration système (ne supprime aucun document) - sinon voir le lien donné ci-dessous - : démarrer l'ordinateur et appuyer sur F8 jusqu'à apparition du menu. Sélectionner "Invité de commandes en mode sans échec" puis entrer la commande rstrui.exe valider en appuyant sur entrée puis se laisser guider. (Veillez évidemment à choisir une date de restauration à laquelle vous êtes sûr que vous n'étiez pas infecté par le virus.)

Une fois l'ordinateur redémarré, le ransomware devrait avoir disparu. Si ce n'est pas le cas, ce site est très bien fait pour tester d'autres solutions (via le téléchargement gratuit de logiciels antivirus principalement) :

https://stopransomware.fr/nettoyer-son-ordinateur/

Il y a une chance pour que vos documents soient à nouveau lisibles après élimination de ce satané virus. Si ce n'est pas le cas, passez à l'étape 2 !

Etape 2 : récupération des documents

Il existe plusieurs solutions pour essayer de récupérer des documents qui restent cryptés malgré la suppression du ransomware.

En voici une (en anglais) : https://malwarefixes.com/remove-cryptolocker-virus/

Si vous avez une sauvegarde externe de vos documents, bien sûr, vous n'avez qu'à les remplacer par la sauvegarde.

MAIS si vous n'avez pas de sauvegarde ou si vos tentatives restent infructueuses ne paniquez pas, il vous reste une dernière solution ! Oui, il peut être possible de récupérer ses documents. Pour cela, suivez les instructions suivantes.

Important : avant de commencer la tentative de récupération, n'essayez pas d'ouvrir vos fichiers cryptés avec un logiciel quelconque (sinon vous allez probablement devoir changer le logiciel qui aura été sélectionné 'par défaut'). Si vous avez essayé ceci avant de faire une restauration système alors aucun problème, ça n'a plus de conséquence.

1. Commencer par aller dans "Options Internet" pour effacer tous les cookies et autres fichiers temporaires (ne passez pas cette étape, elle est importante).

2. Aller ensuite dans "Démarrer" puis "Ordinateur" (ou dans l'Explorateur Windows si vous êtes sous Windows 8, puis sélectionner "Ordinateur" dans le menu de gauche). Double-cliquer sur le "Disque local (C:)" (à faire sur chaque disque infecté si vous en avez plusieurs) puis sur "Utilisateurs" et enfin sur "User".

3. Plusieurs dossiers vont s'afficher, à commencer par le bureau. Sur chaque dossier, l'un après l'autre, faire un clique droit. Sélectionner "Restaurer les versions précédentes" puis sélectionner la dernière date disponible avant l'infection. Cliquer sur "Restaurer" puis encore sur "Restaurer" et attendre que le message suivant s'affiche : "La version précédente du dossier a été correctement restaurée." Cliquer sur "Ok" puis encore "Ok". A répéter donc sur chaque dossier affiché.

4. Une fois toutes les restaurations effectuées, en espérant que tout se sera bien déroulé, l'étape la plus longue arrive ! Vous avez normalement déjà récupéré tous vos documents excepté ceux créés après la date de restauration et des modifications apportées après cette date. Mais mieux vaut ça que la perte de tous vos documents ça va de soi !

Il faut maintenant supprimer tous les doubles de vos documents qui apparaissent en-dessous, cryptés.

Par exemple, si vous avez restauré dans "Images" une photo jpeg nommée "Paysage", vous allez l'avoir en double en-dessous ou à côté avec le nom "Paysage.jpg.extensionduvirus" (la deuxième extension à laquelle j'ai eu affaire était ".lujeutl"). Son icône est une feuille blanche avec le coin droit du haut corné indiquant que l'image reste illisible. C'est donc le double 'fantôme' infecté de votre photo que vous pouvez supprimer sans aucun état d'âme ! (Si ce n'est de la satisfaction...) Il faut donc faire la suppression de tous les doubles de tous les documents de tous les formats.

5. Une fois cette manoeuvre terminée, aller dans l'Explorateur Windows, cliquer sur "Disque local (C:)" et dans l'onglet recherche en haut à droite, saisir le nom de l'extension du virus (à faire dans chaque disque de l'ordinateur).

Si aucun résultat ne s'affiche alors c'est bon, vous pouvez passer au point 6 !

Si des résultats apparaissent, localiser leur emplacement (clique droit, "Propriétés" ou "Ouvrir l'emplacement du fichier" puis aller non pas à l'intérieur du dossier mais à son affichage) et reprendre depuis le point numéro 3 pour chaque dossier concerné, jusqu'à ce que plus aucun résultat ne soit trouvé à la recherche de l'extension diabolique.

6. Félicitations, vous avez normalement récupéré tous vos documents ou leur grande majorité et vous avez donc le droit de faire une danse de la victoire ou un gros f*** à votre écran à destination des créateurs du ransomware ou encore de vous récompenser avec un énooorme gâteau au chocolat ou tout ça à la fois !

Pensez quand même à vider votre corbeille.


Voilà, ce tutoriel est (enfin) terminé, j'espère qu'il pourra vous aider et que vous n'aurez aucun problème dans le déroulement des différentes étapes ! Restez vigilants quant aux téléchargements et changez vos mots de passe d'accès à internet par précaution.

Allez, maintenant préparez-vous un grand mug de thé bien chaud, mettez-vous une bonne petite musique en fond et au boulot ! Bon courage !
A voir également:

1 réponse

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 févr. 2015 à 14:11
Salut,

En français : http://www.supprimer-virus.com/ctb-locker/

mais la récupération des documents ne fonctionnera pas, ctb-locker supprime les shadow copy.

PS : il chiffre et pas crypte.
0
Le lien donné pour la suppression du virus est déjà en français. ;) Pour ce qui est de la récupération des documents, je donne une solution que j'ai testée et qui a fonctionné (je ne parle pas spécifiquement de CryptoLocker). Celui auquel j'ai eu affaire avait crypté tous les documents, que j'ai pu récupérer comme ça. Une solution ne peut jamais être adaptée à toutes les versions d'un virus... :)
0