Supprimer Le virus Le virus InfiniteTear ransomware

Le virus ransomware InfiniteTear (aussi appelé The_Last and InfinityShadow) a été détecté comme suivant un plan strict d’encodage des fichiers avec une clé AES Crypto, puis l’exploitation de chiffrement RSA pour chiffrer la clé de déchiffrement. Random6 et Diablo6 ont choisi une tactique similaire d’exploiter deux techniques de cryptographie pour rendre leur produit plus invincible.

L’infection démarre à partir du fichier The_Last.exe qui fonctionne comme la charge utile de l’infection. Il y avait eu plusieurs échantillons détectés, et le niveau de leur gravité oscillait entre les étiquettes suivantes: Trojan.Win32.Ceatrg, Trojan.Ransom.InfiniteTear (A), Trojan-Ransom.Win32.Gen.fdm (1).

Détails de comportement à propos du crypto-virus InfiniteTear

À la grande surprise des experts de sécurité, l’infection exploite Telegram comme serveur C2. Le ransomware InfiniteTear ((2) ajoute des extensions identiques aux données numériques cryptées: .JezRoz. En outre, vraisemblablement sur le bureau, les victimes vont remarquer le fichier Important_Read_me.txt qui contient la plupart des informations nécessaires.

Le message explique que tous les renseignements personnels ont été ruiné et il n’y a aucun moyen d’y accéder, à moins de payer la rançon demandée. Cette opération doit être faite dans un délai de7 jours. Dans le cas contraire, les fichiers sont expliqués perdus pour de bon car la clé de déchiffrement sera supprimée. Le récent ransomware Spongebob a également indiqué que si les utilisateurs ne paient pas les rançons en une semaine, ils n’auront plus une chance de le faire.

Les pirates informatiques promettent de décoder 2 fichiers et nous ne voyons aucune restriction en matière de sélection qui devrait être récupérée. Pour avoir une paire de fichiers cryptés, vous devrez contacter l’adresse e-mail [email protected]. Cependant, la récupération complète des données est possible uniquement si vous payez 260 $. Bien sûr, cette rançon est demandée à envoyer par le système de paiement de Bitcoin. À l’heure actuelle, ce qui équivaut à 0,06009 BTC. Les experts en sécurité tracent une ligne rouge: les victimes de crypto-virus ne devraient jamais payer les frais (3).

Récupération de fichiers, suppression et autres détails pertinents au sujet de ce crypto-virus

Le ransomware InfiniteTear n’a actuellement aucun traitement curatif: le fichier de chiffrement se fait trop bien pour les chercheurs de sécurité pour le casser en quelques jours. Ces processus nécessitent du temps et si les chercheurs réussiront à venir avec un logiciel fonctionnel pour décoder executables, nous vous en informerons. Pour l’instant, il y a d’autres options que vous pouvez observer et exploiter. Regardez ci-dessous pour savoir si les copies de volume fonctionnent encore. De plus, il y a des cas lorsque le logiciel de récupération de fichier universel peut aider.

Bien sûr, l’importance d’avoir des fichiers de sauvegarde dans des stockages ne peut pas être assez souligné. Si vous êtes victime d’une infection ransomware, il existe un moyen très rapide et facile de traiter cette question. Tout ce que vous devez faire est de lancer un scan avec un outil anti-malware et de se débarrasser du virus. Ensuite, une fois que le système d’exploitation est sans logiciel malveillant, vous pouvez importer vos données numériques sauvegardées. Si vous n’avez pas encore profité de stockages en ligne, nous espérons que vous envisager de le faire maintenant.

Envisagez Reimage pour le processus de suppression du crypto-virus InfinityTear. Cela devrait vous aider à découvrir toutes les menaces malveillantes dans votre système d’exploitation que vous devez nettoyer.

Quelle stratégie de distribution a été choisie pour cet échantillon est pas encore bien défini. Néanmoins, nous pensons que les campagnes de spam malveillants sont toujours des stratégies que les infections ransomware suivent. En outre, la faiblesse des protocoles de bureau à distance (RDP) pourrait être une des raisons pour que les logiciels malveillants ont réussi à entrer. Les kits d’exploitation auraient pu aussi été explorées par souci de trouver des failles de sécurité dans certains appareils.

Enfin, s’il vous plaît rappelez-vous que les vsites de domaines inconnus travaillent également en faveur des pirates. le téléchargment forcé des installations pourrait insérer automatiquement des charges utiles dans votre appareil et vous n’aurez aucune idée qu’une source malveillante attaquent vos fichiers numériques, vos finances et votre sécurité.

Comment supprimer Le virus InfiniteTear ransomware en utilisant System Restore(Restauration du système)?

1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande

Pour Windows 7 / Vista/ XP

• Démarrer → Eteindre → Redémarrer → OK.
• Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
• Choisir Mode sans échec avec Invite de commande.

Pour Windows 8 / 10

• Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
• Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
• Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.

Restaurer les fichiers du système et les paramètres.

• Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
• Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
• Cliquez sur “Suivant” dans la fenêtre qui est apparue.
• Sélectionner un des Point de restauration qui sont disponibles avant que virus InfiniteTear ransomware ait infiltré votre système puis cliquer sur “Suivant”.
• Pour démarrer la Restauration du système, cliquer sur “Oui”.

2. Compléter la suppression de InfinityShadow

Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme  Spyhunter et de supprimer tous les fichiers malveillants en lien avec The_Last.

3. Restaurer les fichiers affectés par Le virus InfiniteTear ransomware en utilisant les copies Shadow Volume

Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, virus InfiniteTear ransomware essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.

Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.

a) Précédentes versions Windows d’origine

Clic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.

b) Shadow Explorer

C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.

Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.

References:

1. Analysis. Virustotal.com.
2. What is ransomware? Avast.com.
3. Ransomware: don’t pay the ransom! Safecomputing.umich.edu.

Outils de suppression Malware automatique