Infection massive par le ransomware WannaCry - @ [email protégé]. Comment le virus WannaCrypt se propage Comment désinfecter votre ordinateur et décrypter les fichiers cryptés par WannaCrypt

Le texte suivant a pour but de vous informer des conséquences possibles d'un virus très dangereux : Wannacrypt Ransomware, ainsi que de ses caractéristiques et de son fonctionnement normal. Compte tenu du fait que ce programme est considéré comme une option de ransomware, ce que vous pouvez en attendre est résumé ci-dessous :

  • Auto-installation sur votre ordinateur : Cela signifie que ces programmes n’ont même pas besoin de vous inciter à les installer. En fait, ces programmes font partie intégrante de votre PC correctement et automatiquement après avoir été téléchargés à partir de n'importe quelle source.
  • Une analyse approfondie de tous vos disques, conçue pour déterminer lesquelles de vos données vous souhaitez utiliser davantage. Après cela, une liste complète de toutes ces données est créée.
  • Malheureusement, ce terrible programme Wannacrypt Ransomware procède ensuite au cryptage de tous les fichiers mentionnés ci-dessus : un morceau après l'autre. Une fois que tous les fichiers auront été définitivement bloqués, vous recevrez une terrible notification. Généralement, un message aussi effrayant vous informera que vos données seront verrouillées et que vous devrez payer une rançon pour les décrypter.

Pour être tout à fait clair, vous rencontrerez rarement un type de malware plus terrifiant. Jusqu’à présent, les ransomwares arrivaient en tête de liste des menaces les plus malveillantes. Cependant, même une situation aussi désagréable n’est pas désespérée. Si vous avez lu l’intégralité de l’article, vous aurez l’idée d’essayer de supprimer cette menace.

N'est-ce pas toujours un ransomware qui crypte les fichiers ?

En fait, seuls les membres de la sous-catégorie de verrouillage des données de ce malware bloquent les données. D'autres versions de ce logiciel malveillant peuvent présenter des fonctionnalités différentes. Il existe des sous-espèces de ransomwares dont les représentants sont utilisés pour verrouiller l'écran de votre appareil. Les sous-groupes de ransomwares Monitor-Block et Mobile Encryption sont les deux sous-types les plus importants. On peut facilement dire qu'ils ont des fonctions plus ou moins similaires : ils peuvent simplement affecter les écrans de vos appareils et vous les rendre inaccessibles. Ils s’assurent qu’ils sont couverts par des messages volumineux exigeant une rançon qui sont les mêmes que les autres notifications exigeant une rançon. En général, un tel avertissement vous informe que vous devez payer une rançon pour décrypter l'affichage de tout appareil ayant attrapé le virus correspondant (par exemple, ordinateurs portables/tablettes/phablettes/smartphones). Cependant, la plus grande sous-catégorie de ransomwares est l’un des programmes de cryptage de fichiers comme Wannacrypt Ransomware.

Utilisez WiperSoft Malware Removal Tool uniquement à des fins de détection. et .

Méthodes de distribution typiques :

  • Messages de spam (et leurs pièces jointes correspondantes) :
    Il s’agit d’un moyen très courant de propagation des ransomwares. Dans un tel cas, le virus peut vous infecter automatiquement lorsque vous téléchargez un e-mail infecté ou téléchargez et/ou ouvrez l'une de ses pièces jointes. En fait, tous les types de fichiers joints peuvent être infectieux : fichiers images/documents/.exe.
  • Fausses publicités et requêtes système :
    -Les fenêtres pop-up que vous pourriez rencontrer sur Internet peuvent être infectées. C’est pourquoi il est extrêmement important de les éviter tous, car vous ne pouvez pas distinguer les plus dangereux des plus innocents. De plus, les virus souvent trouvés sur Internet peuvent afficher de fausses requêtes système qui ressemblent à celles que votre système peut produire. Notre conseil dans ce cas est simplement de vérifier vous-même les mises à jour et de ne pas cliquer bêtement sur une fenêtre contextuelle qui apparaît sur votre écran.
  • Torrents, logiciels illégaux ; film/vidéo - sites de partage de vidéos et streaming vidéo de pages web :
    Ils constituent également l’une des sources de ransomware les plus courantes. Il est important que vous téléchargiez et utilisiez uniquement des logiciels, des films et des vidéos provenant de plateformes fiables pour votre propre cybersécurité.

Que pouvez-vous faire si votre ordinateur est détecté par une menace dangereuse telle que Wannacrypt Ransomware ?

C’est peut-être le pire, car tout ce que vous voulez faire peut ne pas suffire – que ce soit pour chiffrer vos données ou pour supprimer le virus. Cependant, il est possible de trouver un moyen de se débarrasser de ce virus et les options incluent :

  • Demander conseil à quelqu'un qui est un expert pour vous aider ;
  • Acheter une licence pour un logiciel conçu pour lutter contre de telles infections ;
  • Enfin, qu'en est-il du guide de vérification et de suppression que nous avons fourni pour accomplir cette tâche difficile.

Étape 1 : Supprimez les programmes liés à Wannacrypt Ransomware de votre ordinateur

En suivant la première partie des instructions, vous pourrez suivre et vous débarrasser complètement des invités non invités et du désordre :

  1. Compléter Rançongiciel Wannacrypt applications du système, utilisez les instructions qui vous conviennent :
  • Windows XP/Vista/7 : Sélectionnez un bouton Commencer puis allez à Panneau de contrôle .

  • Windows 8: Déplacement du curseur de la souris vers le côté droit, bord. Sélectionner Recherche et commencez à chercher " Panneau de contrôle" Une autre façon d'y accéder est de faire un clic droit sur coin chaud à gauche(simplement, bouton démarrer) et allez à Panneau de contrôle choix.

Comment arrivez-vous à Panneau de contrôle , puis recherchez la section programmes et sélectionnez Désinstaller un programme . Si le panneau de commande a Classique vue, vous devez double-cliquer sur programmes et composants .

Quand programmes et fonctions/supprimer le programme Windows apparaît, jetez un œil à la liste, recherchez et supprimez un ou tous les programmes trouvés :

  • Wannacrypt Ransomware ; HD-total plus; SupprimerThaeAdAopp; UTUobEAdaBlock; Économiseur de sécurité; SupTab;
  • ValueApps ; Sucette; Mise à jour de la version du logiciel; DP1815; Lecteur vidéo; Convertissez des fichiers gratuitement;
  • Plus HD 1.3; MeilleurSurf; Web de confiance; PassAfficher; ParolesBuddy-1; ;
  • Lecteur multimédia 1.1; Sauver un taureau; Feven Pro 1.1; Webstéroïdes; Sauver un taureau; 3.5 HD-Plus; Re-marquage.

De plus, vous devez désinstaller toute application installée il y a peu de temps. Pour retrouver ces applications récemment installées, cliquez sur Installé sur section et ici les programmes d’investigation basés sur des dates ont été établis. Il est préférable de revoir cette liste et de supprimer tous les programmes inconnus.

Utilisez WiperSoft Malware Removal Tool uniquement à des fins de détection. et .

Il peut également arriver que vous ne trouviez aucun des programmes ci-dessus que vous avez conseillé de supprimer. Si vous comprenez que vous ne reconnaissez aucun programme non fiable et invisible, suivez les étapes suivantes de ce guide de désinstallation.

Étape 2 : Supprimez les pop-ups Wannacrypt Ransomware des navigateurs : Internet Explorer, Firefox et Google Chrome

Supprimer les fenêtres contextuelles Wannacrypt Ransomware d'Internet Explorer

Grâce aux conseils fournis, vous pouvez restaurer votre navigation à la normale. Voici des conseils pour Internet Explorer :


Éliminez les publicités pop-up Wannacrypt Ransomware de Mozilla Firefox

Si le navigateur Mozilla Furefox sur votre système est endommagé d'une manière ou d'une autre en raison de l'entrée de virus, vous devez le restaurer. En d’autres termes, restaurer signifie réinitialiser le navigateur à son état d’origine. Ne vous inquiétez pas de la façon dont vos choix personnels sur le navigateur seront sécurisés, comme l'historique, les favoris, les mots de passe, etc.


Important: comment la restauration du navigateur a été effectuée, soyez informé que l'ancien profil Firefox sera enregistré dans le dossier anciennes données Firefox situé sur le bureau de votre système. Vous en aurez peut-être besoin dans ce dossier, ou vous pouvez simplement le supprimer, car il possède vos données personnelles. Si la réinitialisation échoue, copiez vos fichiers importants à partir du dossier spécifié.

Supprimer les fenêtres contextuelles Wannacrypt Ransomware de Google Chrome

  1. Recherchez et cliquez sur Bouton de menu Chrome (barre d'outils du navigateur), puis sélectionnez outils . Continue avec extensions .

  1. Dans cet onglet, vous pouvez supprimer tous les plugins inconnus en cliquant sur l'icône de la corbeille. L'essentiel est de supprimer tout ou un de ces programmes : Wannacrypt Ransomware, HD-total-plus, Économiseur de sécurité, DP1815, lecteur vidéo, convertir des fichiers gratuitement, plus-HD 1.3, MeilleurSurf, Lecteur multimédia 1.1, PassAfficher, ParolesBuddy-1, Yupdate4.flashplayes.info 1.2, Lecteur multimédia 1.1, Les économies de Bull, Feven Pro 1.1, Webstéroïdes, taureau d'épargne, HD Plus 3.5.

* Le scanner WiperSoft, publié sur ce site, est destiné à être utilisé uniquement comme outil de détection. . Pour utiliser la fonctionnalité de suppression, vous devrez acheter la version complète de WiperSoft. Si vous souhaitez désinstaller WiperSoft, .

Depuis le 12 mai, le virus ransomware WannaCrypt se propage en ligne, infectant plus de cent mille ordinateurs en une seule journée et paralysant le travail de nombreuses grandes entreprises à travers le monde. En Russie, Megafon, le ministère de l'Intérieur et la commission d'enquête ont été infectés. Au cours des seules premières heures de l'action du virus, plus de 36 000 ordinateurs ont été infectés, le principal impact étant devait en Russie, en Ukraine et à Taiwan. Dans cet article, je vais vous expliquer comment les joueurs peuvent protéger leur ordinateur et ne pas être victime d'une infection à grande échelle.

Que fait le virus WannaCrypt ?

Une fois dans le système, le virus crypte tous les fichiers de l'ordinateur et exige une rançon de 300 $ en bitcoins pour y accéder. Un message à ce sujet apparaît sur le bureau. Tous les fichiers infectés par WannaCrypt cessent de s'ouvrir. Vous perdrez l’accès aux salles de poker, ainsi qu’aux systèmes de paiement où vous conservez votre bankroll. Si la rançon n’est pas payée dans les 3 jours, le montant du « traitement » double.

Jusqu’où le virus s’est-il propagé ?

Comment savoir si le patch est installé ou non ?

1. Accédez à cette page du site Web de Microsoft et voyez quel code de correctif correspond à votre version du système d'exploitation. Par exemple, pour Windows 7, ce sera 4012212 ou 4012215.

2. Ouvrez cmd.exe (ligne de commande) et écrivez une requête avec votre code. Par exemple pour Windows 7 : wmic qfe list | findstr 4012212

  • S'il existe des informations sur l'installation d'une mise à jour avec une date, vous disposez du correctif.
  • Si une ligne vide apparaît, vérifiez le deuxième code (pour Win7 - 4012215)
  • Si une ligne vide apparaît à nouveau, vous n'avez pas de patch.

Vous pouvez également vérifier quand il a été mis à jour pour la dernière fois en tapant wmic qfe list et en consultant les dates d'installation des correctifs.

Comment supprimer le virus WCry si votre ordinateur est déjà infecté ?

Je ne recommande pas de se précipiter là-dedans. Un de ces jours, il y aura peut-être un utilitaire pour résoudre ce problème. Mais il existe une méthode standard pour lutter contre ces virus. Pour supprimer un virus :

  1. Activer le mode sans échec avec le chargement des pilotes réseau (F8 au redémarrage pour Win7)
  2. Supprimez l'application indésirable via Désinstaller les programmes, ou mieux encore, faites-le à l'aide d'utilitaires tels que Malwarebytes Anti-malware.
  3. Récupérez les fichiers cryptés à l'aide des décrypteurs du site Web de Kaspersky.

Cette méthode ne garantit pas une récupération complète des fichiers cryptés par un virus. Par conséquent, utilisez cette méthode à vos propres risques.

Jouez au poker et protégez votre bankroll !

Comme l'ont rapporté les médias russes, le travail des départements du ministère de l'Intérieur dans plusieurs régions de Russie a été perturbé en raison d'un ransomware qui a infecté de nombreux ordinateurs et menace de détruire toutes les données. En outre, l'opérateur de communication Megafon a été attaqué.

Nous parlons du cheval de Troie ransomware WCry (WannaCry ou WannaCryptor). Il crypte les informations sur l'ordinateur et demande une rançon de 300 $ ou 600 $ en Bitcoin pour le décryptage.

@[email protégé], fichiers cryptés, extension WNCRY. Un utilitaire et des instructions de décryptage sont requis.

WannaCry crypte les fichiers et documents avec les extensions suivantes en ajoutant .WCRY à la fin du nom du fichier :

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Attaque WannaCry dans le monde

Des attaques ont été enregistrées dans plus de 100 pays. La Russie, l’Ukraine et l’Inde connaissent les plus grandes difficultés. Des rapports d'infection virale proviennent du Royaume-Uni, des États-Unis, de Chine, d'Espagne et d'Italie. Il est à noter que l’attaque informatique a touché des hôpitaux et des entreprises de télécommunications du monde entier. Une carte interactive de la propagation de la menace WannaCrypt est disponible sur Internet.

Comment se produit l’infection ?

Comme le disent les utilisateurs, le virus pénètre dans leurs ordinateurs sans aucune action de leur part et se propage de manière incontrôlable sur les réseaux. Sur le forum de Kaspersky Lab, ils soulignent que même un antivirus activé ne garantit pas la sécurité.

Il est rapporté que l'attaque du ransomware WannaCry (Wana Decryptor) se produit via la vulnérabilité du Microsoft Security Bulletin MS17-010. Ensuite, un rootkit a été installé sur le système infecté, à l'aide duquel les attaquants ont lancé un programme de cryptage. Toutes les solutions de Kaspersky Lab détectent ce rootkit sous le nom MEM:Trojan.Win64.EquationDrug.gen.

L'infection est censée s'être produite quelques jours plus tôt, mais le virus ne s'est manifesté qu'après avoir crypté tous les fichiers de l'ordinateur.

Comment supprimer WanaDecryptor

Vous pourrez supprimer la menace à l’aide d’un antivirus ; la plupart des programmes antivirus détecteront déjà la menace. Définitions courantes :

Avast Win32:WanaCry-A , MOYENNE Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Cheval de Troie.Ransom.WannaCryptor.A, DrWeb Cheval de Troie.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Rançon.WanaCrypt0r, Microsoft Rançon : Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Cheval de Troie.Gen.2, Ransom.Wannacry

Si vous avez déjà lancé la menace sur votre ordinateur et que vos fichiers ont été cryptés, le décryptage des fichiers est presque impossible, car l'exploitation de la vulnérabilité lance un chiffreur de réseau. Cependant, plusieurs options d’outils de décryptage sont déjà disponibles :

Note: Si vos fichiers ont été cryptés et qu'il n'y a pas de copie de sauvegarde et que les outils de décryptage existants n'ont pas aidé, il est recommandé de sauvegarder les fichiers cryptés avant de nettoyer la menace de votre ordinateur. Ils seront utiles si un outil de décryptage qui fonctionne pour vous est créé à l’avenir.

Microsoft : installer les mises à jour Windows

Microsoft a déclaré que les utilisateurs disposant de l'antivirus gratuit de l'entreprise et de la mise à jour du système Windows activés seront protégés contre les attaques de WannaCryptor.

Les mises à jour du 14 mars corrigent la vulnérabilité du système par lequel le cheval de Troie ransomware est distribué. Aujourd'hui, la détection a été ajoutée aux bases de données antivirus Microsoft Security Essentials/Windows Defender pour vous protéger contre un nouveau malware connu sous le nom de Ransom:Win32.WannaCrypt.

  • Assurez-vous que votre antivirus est activé et que les dernières mises à jour sont installées.
  • Installez un antivirus gratuit si votre ordinateur ne dispose d'aucune protection.
  • Installez les dernières mises à jour du système à l'aide de Windows Update :
    • Pour Windows 7, 8.1 Dans le menu Démarrer, ouvrez Panneau de configuration > Windows Update et cliquez sur Rechercher les mises à jour.
    • Pour Windows 10 Allez dans Paramètres > Mise à jour et sécurité et cliquez sur « Rechercher les mises à jour ».
  • Si vous installez les mises à jour manuellement, installez le correctif Microsoft officiel MS17-010, qui corrige la vulnérabilité du serveur SMB utilisée dans l'attaque du ransomware WanaDecryptor.
  • Si votre antivirus dispose d'une protection contre les ransomwares, activez-la. Nous avons également une section distincte sur notre site Web, Ransomware Protection, où vous pouvez télécharger des outils gratuits.
  • Effectuez une analyse antivirus de votre système.

Les experts notent que le moyen le plus simple de se protéger contre une attaque est de fermer le port 445.

  • Tapez sc stop lanmanserver et appuyez sur Entrée
  • Entrez pour Windows 10 : sc config lanmanserver start=disabled , pour les autres versions de Windows : sc config lanmanserver start= désactivé et appuyez sur Entrée
  • Redémarrez votre ordinateur
  • À l'invite de commande, entrez netstat -n -a | findstr "ÉCOUTE" | findstr ":445" pour vous assurer que le port est désactivé. S'il y a des lignes vides, le port n'écoute pas.

Si nécessaire, ouvrez le port :

  • Exécutez l'invite de commande (cmd.exe) en tant qu'administrateur
  • Entrez pour Windows 10 : sc config lanmanserver start=auto , pour les autres versions de Windows : sc config lanmanserver start= auto et appuyez sur Entrée
  • Redémarrez votre ordinateur
Note: Le port 445 est utilisé par Windows pour le partage de fichiers. La fermeture de ce port n'empêche pas le PC de se connecter à d'autres ressources distantes, mais les autres PC ne pourront pas se connecter au système.

Ces derniers jours, l'actualité nous a fait peur avec les gros titres concernant l'infection massive des ordinateurs du monde entier par le virus WannaCrypt (Wana Decrypt0r 2.0). La Russie ne fait pas exception : les ordinateurs de nombreuses entreprises et organisations gouvernementales ont été infectés. Nous sommes habitués à considérer l’actualité comme quelque chose de lointain, quelque chose qui ne peut en aucun cas nous affecter.

Cette fois, tout est différent, le virus WannaCrypt (Wana Decrypt0r 2.0) affecte n'importe quel ordinateur. De plus, pour être infecté, vous n’avez pas besoin de télécharger et d’exécuter des fichiers suspects ni de visiter des sites douteux. WannaCrypt (Wana Decrypt0r 2.0) exploite un bug des systèmes d'exploitation Microsoft Windows : il suffit d'infecter un ordinateur du réseau local et en une heure, tous les autres seront infectés, à moins qu'une mise à jour spéciale ne soit installée sur eux.

La mise à jour elle-même, qui offre une protection contre WannaCrypt (Wana Decrypt0r 2.0), a été publiée par Microsoft en mars dernier et a été automatiquement installée sur toutes les copies sous licence des systèmes d'exploitation Windows modernes dans le monde. Seuls les utilisateurs de systèmes anciens ou sans licence (piratés) ont été attaqués. Dans certaines grandes entreprises, les ordinateurs ne sont pas mis à jour automatiquement, mais sur commande de l'administrateur. Si les mises à jour de mars n'étaient toujours pas installées, les ordinateurs de ces sociétés ont également été attaqués, comme cela s'est produit par exemple avec la société Megafon.

Comment éviter l'infection par le virus WannaCrypt (Wana Decrypt0r 2.0)

Si vous utilisez Windows 10 sous licence et que vous voyez périodiquement la mise à jour du système lorsque vous éteignez ou allumez votre ordinateur, vous n'avez rien à craindre. Votre système a été mis à jour automatiquement et rapidement, vous ne courez aucun risque.

Si vous utilisez une copie obsolète ou piratée du système d'exploitation Windows, vous devez installer de toute urgence une mise à jour spéciale. Microsoft a publié des mises à jour pour toutes les versions de Windows, même les plus anciennes comme Windows XP. Sélectionnez la version de votre système d'exploitation, téléchargez et exécutez la mise à jour. Il sera installé même si vous utilisez une version piratée de Windows.

Liste des mises à jour pour toutes les versions de Windows pour se protéger contre le virus WannaCrypt :

Si vous ne savez pas quelle version de Windows vous possédez, veuillez vérifier.

La taille de la mise à jour est de 200 à 600 mégaoctets, selon la version. Téléchargez et installez la mise à jour pour votre système d'exploitation le plus rapidement possible !

Si votre connexion Internet est lente ou limitée et que vous ne parvenez pas à installer la mise à jour rapidement, vous pouvez essayer une solution de contournement :

  1. Exécutez la ligne de commande cmd en tant qu'administrateur (instructions : ).
  2. Copiez le texte suivant : Netsh advfirewall firewall add Rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
  3. Collez-le dans la ligne de commande et appuyez sur la touche Entrée, le système devrait répondre par « OK ».
  4. Dès que possible, installez la mise à jour de Microsoft.

Comment désinfecter votre ordinateur et décrypter les fichiers cryptés avec WannaCrypt

Nous avons préparé un article séparé sur la façon de guérir un ordinateur après une infection par le virus WannaCrypt (Wana Decrypt0r 2.0) :

Si vous avez des questions ou avez besoin de précisions, écrivez dans les commentaires. Nous lisons tout et répondons à tout le monde !

mob_info