Le 14 juin 2016

Les Trojans Encoders représentent un grand danger pour les internautes du monde entier : ces programmes malveillants chiffrent les données et exigent une rançon pour leur déchiffrement. A ce jour, il existe de nombreux type d'Encoders. La société Doctor Web se bat depuis longtemps et avec succès contre ce type de programmes dit Ransomwares : dans certains cas, les fichiers cryptés par des Trojans peuvent être récupérés. C'est bien le cas en ce qui concerne le Trojan Encoder CryptXXX — les spécialistes de Doctor Web peuvent déchiffrer les fichiers endommagés s’ils ont été cryptés avant le début du mois de juin 2016.

Le programme malveillant Trojan.Encoder.4393, également connu sous le nom de CryptXXX, est un représentant typique de ce type de malwares. Ce Trojan a plusieurs versions et il se propage partout dans le monde. Afin d’augmenter leur profit, les auteurs de virus ont organisé un service payant de déchiffrement des fichiers endommagés par CryptXXX, de sorte qu'un pourcentage est payé aux criminels qui diffusent le Trojan. Toutes les copies de CryptXXX consultent le serveur de contrôle unique, et les sites proposant le service de déchiffrement sont placés dans le réseau anonyme TOR. Le succès de ce programme " partenaire " explique peut-être l’ampleur de l'infection ainsi que la popularité de CryptXXX parmi les malfaiteurs. Les fichiers chiffrés par le Trojan reçoivent l'extension *.crypt et les fichiers contenant les exigences des criminels portent les noms de_crypt_readme.txt, de_crypt_readme.html et de_crypt_readme.png.

Si vous avez souffert de ce malware et que les fichiers sur votre ordinateur ont été chiffrés avant le début du mois de juin 2016, il est possible de récupérer vos informations. Le succès de cette opération dépend d’un certain nombre de facteurs et dans une large mesure, de l’utilisateur-même.

• N’essayez pas de supprimer des fichiers de votre ordinateur ou de réinstaller le système d’exploitation, n'utilisez pas l'ordinateur contaminé jusqu'à réception des instructions appropriées de la part du service de support technique de Doctor Web.
• Si vous avez lancé un scan antivirus, n'exécutez aucune action de neutralisation ou de suppression des programmes malveillants détectés - les spécialistes peuvent en avoir besoin pour la recherche de la clé de décryptage des fichiers endommagés.
• Essayez de vous rappeler autant de détails que possible sur les circonstances de la contamination : cela concerne également les messages reçus par email, les programmes téléchargés sur Internet et les sites visités.
• Si vous avez le message contenant la pièce jointe après l'ouverture de laquelle les fichiers sur votre ordinateur se sont avérés chiffrés, ne supprimez pas ce message : il aidera les spécialistes à déterminer la version du Trojan qui vous a contaminé.

Pour décrypter les fichiers endommagés par CryptXXX, utilisez la page du service dédié sur le site de l’éditeur antivirus Doctor Web. Le déchiffrement est fourni gratuitement aux titulaires de licences Dr.Web qui avaient, au moment de la contamination, les produits suivants installés sur leurs ordinateurs : Dr.Web Security Space (pour Windows), Dr.Web Antivirus pour OS X ou Linux en version 10 ou supérieurs ou Dr.Web Enterprise Security Suite (en version 6 +). Les autres utilisateurs peuvent se procurer un Dr.Web Rescue Pack via le formulaire de demande: le paiement s’effectue uniquement si l'analyse démontre que le déchiffrement est possible. De plus, les internautes qui ont utilisé ce service se voient offrir une licence Dr.Web Security Space pour 1 PC pour 2 ans. Pour plus d’informations sur les Trojans Encoders et les mesures de protection, consultez ce lien.

Plus d'infos sur ce Trojan