Le virus ransomware RedBoot a d’abord été détecté il y a plusieurs années. A cette époque, les spécialistes de la sécurité ne faisaient pas beaucoup attention car l’échantillon a été trouvé mal codé et a fini par être placé dans la catégorie des ransomware inachevés. Cette menace a refait surface le 23 Septembre (2017) et porte des similitudes avec des infections comme NotPetya et Spora. Le ransomware RedBoot a été préparé dans un environnement AutoIT et l’extension .locked est jointe à toutes les données ruinées.
Le virus RedBoot agit comme un ransomware et un essuie-glace
Les secteurs de boot (MBR c’est à dire le master boot record) pourrait être influencés sans aucune possibilité de réparer les dégâts.Les chercheurs en sécurité catégorisent le virus RedBoot entre une crypto-infection et un essuie-glace qui était le terme utilisé pour décrire NotPetya (Is RedBoot a wiper?). Cependant, les pirates auraient pu faire une erreur lors de la préparation de cette infection et les dommages irréversibles pourraient être juste un malentendu.
Peu après que le logiciel malveillant RedBoot obtient une chance d’être actif, il implante cinq fichiers dans les systèmes d’exploitation infectés. Les exécutables sont boot.asm, assembler.exe, main.exe et overwrite.exeet sont tous placés dans des dossiers au hasard. Tout d’abord, ces fichiers devront modifier le master boot record (What is MBR?) et le remplacer par un fichier boot.bin dangereux.
Ensuite, le chiffrement des fichiers suivra, menant au fait que certaines applications et des processus ne seront plus utilisables. L’extension .locked sera ajoutée à toutes sortes de fichiers, de ceux qui font partie d’un système d’exploitation et les photos des utilisateurs, les vidéos, etc Cette extension exacte n’est pas rare: les variantes de ApolloLocker et BitPaymer
ont été pour laisser la même extension aux données qu’ils codent.
Après que le crypto-virus RedBoot utilise le chiffrement pour endommager les fichiers, l’infection redémarre automatiquement le système d’exploitation. Cependant, il ne se lancera pas normalement et au lieu de présenter les postes de travail des victimes, il affichera une brève note de rançon (Screen locked by ransomware). Il invitera les utilisateurs à envoyer des messages électroniques à [email protected]. Les victimes seront tenus d’inclure les numéros spécifiques d’identification dans les messages envoyés. La somme exacte de Bitcoins demandée est inconnue, mais on suppose que de la crypto-monnaie sera nécessaire pour le décryptage de fichiers. Cependant, les pirates pourraient être incapables d’aider leurs victimes.
Suppression du Ransomware, prévention et décryptage
Le fait que ce virus RedBoot endommage non seulement des fichiers mais aussi le MBR n’est pas une bonne nouvelle. Si cela était intentionnel, la seule façon présumable pour déchiffrer les fichiers peut-être de payer les rançons demandées. Toutefois, si les pirates ont tout simplement bâclés et laissés cette erreur accidentelle, le système d’exploitation influencé pourrait n’avoir aucun moyen de recevoir de l’aide. Bien sûr, nous devons attendre une analyse plus élaborée et attendre les résultats. Veuillez être extrêmement prudent et essayer d’éviter cette infection effrayante.
Les victimes d’infection RedBoot pourraient avoir très peu de chances de récupérer les données avec des outils universels. En outre, les chercheurs de sécurité pourraient également ne pas être en mesure de les aider. Cependant, vous pouvez vous aider. Conservez vos informations numériques dans les entrepôts de sauvegarde ou au moins les mettre dans les lecteurs flash USB(Benefits of data backup). Si tout type d’infection influence vos données sur les disques durs, alors vous n’aurez pas besoin de vous inquiéter. Si tous les internautes pensaient à sauvegarder leurs données, l’industrie du ransomware mourrait car personne ne paierait de rançon. Cependant, tant que les gens refusent de sécuriser leurs informations, les crypto-virus se développeront.
Toutefois, le fait que des infections ransomware plus complexes et élaborées sont produites est indéniable. Une certaine variante atteint les systèmes d’exploitation au point qu’ils ne sont plus fonctionnels. Des attaques mondiales plus fréquentes ne suggèrent pas aussi quelque chose de positif. Quoi qu’il en soit, l’activité des infections ransomware a seulement augmenté en 2017.
Les infections ransomware pourraient se glisser grâce à un RDP mal protégé. Par conséquent, les utilisateurs doivent faire attention à la façon dont ils sont fixés. En outre, ne pas interagir avec des pop-ups aléatoires ou des sites Web. Les comptes e-mailing des utilisateurs pourraient également être remplis avec des pièces jointes suspectes. Veuillez ne pas télécharger des fichiers à partir des mails qui proviennent de sources inconnues.
Comment supprimer Le virus ransomware RedBoot en utilisant System Restore(Restauration du système)?
1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande
Pour Windows 7 / Vista/ XP
- Démarrer → Eteindre → Redémarrer → OK.
- Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
- Choisir Mode sans échec avec Invite de commande.
Pour Windows 8 / 10
- Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
- Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
- Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.
Restaurer les fichiers du système et les paramètres.
- Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
- Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
- Cliquez sur “Suivant” dans la fenêtre qui est apparue.
- Sélectionner un des Point de restauration qui sont disponibles avant que Virus RedBoot ait infiltré votre système puis cliquer sur “Suivant”.
- Pour démarrer la Restauration du système, cliquer sur “Oui”.
2. Compléter la suppression de Le virus ransomware RedBoot
Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme Spyhunter et de supprimer tous les fichiers malveillants en lien avec Virus RedBoot.
3. Restaurer les fichiers affectés par Le virus ransomware RedBoot en utilisant les copies Shadow Volume
Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Virus RedBoot essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.
Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.
a) Précédentes versions Windows d’origineClic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.
b) Shadow Explorer
C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.
Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.
Outils de suppression Malware automatique
(Win)
Note: le procès Spyhunter de détection permet de parasite comme Le Virus Ransomware Redboot et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: le procès Combo Cleaner de détection permet de parasite comme Le Virus Ransomware Redboot et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,