Le ransomware R980 est l’un des plus récents (sinon le plus récent) virus de cryptage de fichiers. Une analyse approfondie de cette cyber menace est maintenant à réaliser dans l’avenir. Pour l’instant, nous ferons de notre mieux pour vous présenter les faits qui sont déjà connus à propos de ce virus ransomware.
A propos du ransomware R980
Le débat a encore cours en ce moment pour savoir, si le virus R980 peut être appelé un cryptomalware, car certaines sources affirment qu’il ne procède pas à un processus de chiffrement. Cependant, il y a plus de plaintes signalant que ce ransomware crypte les données et, à cette fin, utilise l’algorithme de chiffrement asymétrique utilisé par la plupart des ransomwares sophistiqués (par exemple Jager ransomware, etc.) en vigueur actuellement. Sa note de rançon informe que les données ont été cryptées avec les chiffrements AES-256 et RSA-4096. Ceci signifie que deux clés sont générées au cours du processus de chiffrement. Une clé est publique et elle est utilisée pour le chiffrement. Et l’autre est privée, utilisée pour le déchiffrement. Cette dernière clé est cachée dans les serveurs distants contrôlés par ces cybercriminels. Cette clé est payante et on vous propose de l’acheter. Le message de rançon s’affiche comme suit:
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES – 256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server.An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK
: To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
- Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
- Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
- Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
https://www.mailinator.com/inbox2.jsp?public_to=8569402d-3a74-4f27-91ba-d6408e0ff8fe
Please wait up to 24 hours for your decrypter to arrive.
Il est nommé » DECRYPTION_INSTRUCTIONS ». Comme vous pouvez le voir, les pirates derrière le virus de cryptage de fichiers R980 demandent 0,5 BTC (Bitcoins), ce qui fait 327.69 USD au moment de la rédaction de cet article. Cette somme doit être transférée en crypto-monnaie (à savoir Bitcoins) de telle sorte que l’identité de ces cyber-escrocs restera cachée. Ils déclarent que la clé sera envoyée 24 heures après que le paiement est effectué. Les types de fichiers exacts qui sont ciblés par le crypto malware R980 ne sont pas spécifiés. Mais on peut supposer que cela peut être, en fait, tout format de fichier peut être corrompu étant donné que les ransomwares sont capables d’endommager un large éventail de données.
Comment est distribué le ransomware R980 ?
Le Ransomware R980 est affecté à la catégorie des virus cheval de Troie, car il utilise la méthode éculée de prolifération utilisée par ce genre de virus. Ce sont des campagnes de mailing de spam qui englobent l’envoi de spam aux victimes. De toute évidence, ces e-mails sont infectés. Soit par le biais des liens intégrés en eux, ou à travers leurs pièces jointes. Ainsi, il est généralement recommandé de ne pas suivre les liens que les spams fournissent ou d’ouvrir les pièces jointes à ceux-ci. Ils peuvent être tentant et incitant, mais ne soyez jamais floués par leurs déguisements. Le crypto-malware R980 peut également être déposé sur votre ordinateur par des kits lorsque vous visitez certains sites douteux tels que ceux de partage de fichiers. Les kits (par exemple Angler, Nuclear, Blackhole, etc.) s’exécutent sur ce genre de domaines et quand ils détectent certaines failles dans le système de votre ordinateur, ils installent le cœur du ransomware sur votre PC.
Comment décrypter les fichiers chiffrés par le ransomware R980 ?
A cet instant, personne ne peut vous offrir des outils de décryptage développés par des experts de sécurité pour déchiffrer les fichiers chiffrés par le chiffreur R980. L’achat de la clé de décryptage que les pirates vous offre n’est pas une solution à considérer. Utilisez votre sauvegarde ou essayez avec les clichés instantanés Windows (VSS). Appliquer des outils de récupération de données professionnelles, si vous avez fait pleinement usage de toutes les options disponibles pour récupérer vos données. Ces outils comprennent des logiciels de Kaspersky Lab, Recuva, R-Studio, PhotoRec, etc. Faites une copie du disque infecté avant. Et, enfin, effectuer la tâche la plus importante – supprimer les logiciels malveillants avec les outils de suppression automatiques de logiciels malveillants suivants: Spyhunter ou Hitman. Ces outils rendront le processus de suppression du codeur R980 beaucoup plus facile. Des instructions de suppression manuelle sont situées à la fin de cet article.
Comment supprimer R980 Ransomware en utilisant System Restore(Restauration du système)?
1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande
Pour Windows 7 / Vista/ XP
- Démarrer → Eteindre → Redémarrer → OK.
- Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
- Choisir Mode sans échec avec Invite de commande.
Pour Windows 8 / 10
- Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
- Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
- Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.
Restaurer les fichiers du système et les paramètres.
- Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
- Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
- Cliquez sur “Suivant” dans la fenêtre qui est apparue.
- Sélectionner un des Point de restauration qui sont disponibles avant que R980 ransomware ait infiltré votre système puis cliquer sur “Suivant”.
- Pour démarrer la Restauration du système, cliquer sur “Oui”.
2. Compléter la suppression de R980 ransomware virus
Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme Spyhunter et de supprimer tous les fichiers malveillants en lien avec R980 virus.
3. Restaurer les fichiers affectés par R980 cryptomalware en utilisant les copies Shadow Volume
Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, R980 crypto-malware essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.
Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.
a) Précédentes versions Windows d’origineClic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.
b) Shadow Explorer
C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.
Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.
Outils de suppression Malware automatique
(Win)
Note: le procès Spyhunter de détection permet de parasite comme R980 Ransomware et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Note: le procès Combo Cleaner de détection permet de parasite comme R980 Ransomware et contribue à son retrait pour libre. Essai limité disponible, Terms of use, Privacy Policy, Uninstall Instructions,