web-dev-qa-db-fra.com

CryptoWall 3 - comment prévenir et comment décrypter?

L'ordinateur de mon père est maintenant infecté par CryptoWall 3, selon le lien ci-dessous.

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#CryptoWall

Existe-t-il un moyen de décrypter les fichiers? J'essaierai de les récupérer mais selon le lien, le virus sécurisé supprime les copies des fichiers infectés.

Quelle est la meilleure façon d'empêcher ce type de virus d'infecter nos ordinateurs? Existe-t-il un moyen d'empêcher l'exécution de fichiers inconnus? Je pensais autoriser uniquement l'exécution sur les fichiers connus.

CryptoWall 3

16
Akira Yamamoto

Premièrement: il n'y a aucun moyen connu de décrypter les fichiers attaqués par CryptoWall. À moins que vous ne payiez pour obtenir la clé, ils sont perdus à jamais. Si vous ne disposez pas de sauvegardes hors ligne, vos fichiers sont perdus.

Une façon d'empêcher l'exécution de ce type de virus consiste à tiliser la liste blanche sur votre Windows. Cela peut être frustrant si votre père ne sait pas comment inclure des applications sur la liste blanche et demandera beaucoup de temps pour bien faire, mais refusera l'exécution de toute application inconnue.

14
ThoriumBR

Existe-t-il un moyen de décrypter les fichiers?

SensorsTechForum suggère pour essayer RectorDecryptor.exe et RakhniDecryptor.exe de Kaspersky.

Cependant, je ne garderais pas grand espoir.

Comme CryptoWall est très similaire à CryptoDefense, vous pourrez peut-être décrypter en utilisant la méthode ici . Malheureusement, cela ne s'applique vraiment que si vous avez été infecté avant le 1er avril 2014.

Vous pouvez également récupérer vos fichiers à partir de Windows Volume Shadow Copy.

Quelle est la meilleure façon d'empêcher ce type de virus d'infecter nos ordinateurs?

Installez AntiVirus et maintenez-le à jour. Microsoft Security Essentials est gratuit, bien que d'autres soient disponibles. Bien que cela ne protège pas complètement le système, ce serait une bonne étape de base à prendre.

Vous n'avez pas expliqué comment cette infection s'est produite, mais vous devez configurer l'ordinateur pour qu'il installe automatiquement les mises à jour. Rappelez aux utilisateurs de l'ordinateur de ne pas exécuter les choses qu'ils ne s'attendent pas à leur envoyer (même ceux qui semblent provenir de contacts de confiance), bien que cela puisse être plus facile à dire qu'à faire.

La protection principale contre ce type d'attaques devrait provenir de la sauvegarde. Des outils tels que Dropbox peuvent synchroniser vos fichiers importants dans le cloud et si le pire devait arriver, vous auriez 30 jours pour revenir aux bonnes versions connues des fichiers (même la version gratuite le permet). Jusqu'à présent, il n'y a pas d'attaques connues qui tentent d'effacer l'historique des versions des services de sauvegarde basés sur le cloud.

Existe-t-il un moyen d'empêcher l'exécution de fichiers inconnus? Je pensais à n'autoriser l'exécution que sur les fichiers connus

Bien que Windows lui-même prenne en charge la notion d'autorisations d'exécution, cela est activé par défaut sur les nouveaux exécutables. AppLocker de Microsoft peut être utilisé pour activer la liste blanche des applications. Que cela rende l'ordinateur trop inutilisable pour votre utilisateur moyen est une autre question.

Vous pouvez également utiliser des comptes normaux plutôt que des comptes d'administrateur pour utiliser l'ordinateur. Le malware essaie d'exécuter la commande suivante :

vssadmin.exe Delete Shadows /All /Quiet

Toutefois, si le compte d'utilisateur sous lequel il est exécuté ne dispose pas d'autorisations administratives, cela échouera et les clichés instantanés de volume peuvent être restaurables.

11
SilverlightFox

J'ai peut-être trouvé un moyen de récupérer vos fichiers. Mon ordinateur portable a été infecté par Crypto 3.0 la semaine dernière. Je l'ai supprimé avec SpyHunter, mais je pensais avoir perdu tous mes fichiers après avoir lu toutes les histoires sur le net. Je n'avais pas de sauvegarde récente. Et tous mes essais pour récupérer les fichiers comme recommandé "restaurer l'ancienne version" et ShadowExplorer ont échoué jusqu'à maintenant. Je suis allé sur "Rechercher le programme et les fichiers" et j'ai recherché tous les fichiers de Crypto "Help_decrypt". Il vous listera tous les fichiers "Help_decrypt", que j'ai ensuite supprimés. Vous devez l'exécuter à fond, donc vous supprimez vraiment tous les fichiers de votre ordinateur. Ensuite, j'ai pu récupérer tous mes fichiers (comme je peux le voir jusqu'à présent) avec ShadowExplore. Facilement. Je ne sais pas si c'était une coïncidence ou une solution, mais cela m'a certainement aidé. Bonne chance.

4
Hope

Vous pouvez attendre que le syndicat termine son règne de terreur et libère la clé. Par exemple, toutes les clés de TeslaDecrypt sont maintenant disponibles, donc TOUTES les versions peuvent être déchiffrées maintenant sans avoir à payer. Je viens de récupérer quelques fichiers pour un ami qui a conservé ses fichiers cryptés à partir du moment où il a été attaqué, et peut maintenant tous les décrypter.

2