RSA-4096 .crypz - CryptXXX (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

RSA-4096 .crypz - CryptXXX (Crypto-Ransomware)

par Malekal_morte »

Découvert courant avril 2016, le ransomware RSA-4096 est l'un des nombreux rançongiciels chiffreurs de fichiers (Crypto-ransomware) pour systèmes d'exploitation Microsoft Windows. Le ransomware RSA-4096 prend en otage les fichiers en les chiffrant ("cryptage" en langage commun) et fait payer une somme d'argent pour retrouver l'accès à ces derniers. Les fichiers pris en otage ont leurs extensions modifiées en .cryptz.
L'extension a changé dans le nom puisque nous avons eu au départ .crypt, .cryp1, .crypz et actuellement .cryptz

Ce ransomware est distribué à travers des exploits WEB. Les ordinateurs non à jour et vulnérables seront donc infectés.

Image

Variante .crypz

Image

Le paiement se fait en Bitcoin via TOR.
Les pages d'instructions de paiement :
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
L'apparence des pages ressemble au ransomware TeslaCrypt. Pour comprendre les différences des ransomwares RSA 4096 TeslaCrypt et CryptXXX, rendez-vous sur la page : Les virus RSA-4096.

Image

Image

Code : Tout sélectionner

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment


Your personal ID: A793D183454A

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1 - http://6khq4bgn5a5g7kzi.onion.to
2 - http://6khq4bgn5a5g7kzi.onion.cab
3 - http://6khq4bgn5a5g7kzi.onion.city

If for some reasons the addresses are not available, follow these steps:

1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
3 - After a successful installation, run the browser
4 - Type in the address bar: http://6khq4bgn5a5g7kzi.onion
5 - Follow the instructions on the site
Ransomware RSA4096 - CryptXXX - extension .crypt en vidéo :


Ransomware RSA4096 - CryptXXX - extension .crypz en vidéo :


Le site de paiement reprend celui de TorrentLocker

Image

ou de UltraCrypter avec le titre "Decryption Service" :

Image

Image

Ce rançongiciel se charge à partir d'une DLL dont voici un exemple:
C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll
Exemple d'une détection antivirus :

SHA256: 9ca837ca94e581171577a62fce0892ece22874ceb93f8843b4b9bf874bc65fcd
Nom du fichier : xwizards.dll
Ratio de détection : 10 / 56
Date d'analyse : 2016-04-19 08:16:40 UTC (il y a 3 minutes)

Antivirus Résultat Mise à jour
AVG Win32/Heim 20160419
AegisLab Virus.W32.Heim!c 20160419
Avast Win64:Malware-gen 20160419
BitDefender Trojan.Generic.16379754 20160419
Bkav HW64.packed.C105 20160415
ESET-NOD32 a variant of Win64/Kryptik.AYK 20160419
Emsisoft Trojan.Generic.16379754 (B) 20160419
GData Trojan.Generic.16379754 20160419
Malwarebytes Trojan.FakeMS 20160419
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160419


Comment le Ransomware RSA-4096 .crypz est distribué

CryptXX est distribué à travers des Web Exploit, notamment en Avril 2016, une campagne Angler ExploitKit qui pousse le malware Bedep.
cryptxx_AnglerEK.png
(source : http://researchcenter.paloaltonetworks. ... -cryptxxx/)

Si votre Windows a été infecté par le Ransomware RSA-4096 .cryptz

Suivez la page : Supprimer le ransomware rsa-4096 - extension .crypz (supprimer-trojan.com) ou Supprimer Virus RSA 4096 (supprimer-virus.com).

Attention : Ce ransomware embarque des fonctionnalités de stealer (capable de voler vos identifiants / comptes etc).
Il est donc très fortement conseillé de changer rapidement tous ses mots de passe.

Récupérer ses fichiers .crypz Ransomware RSA-4096

Tentez les outils de la page suivante Outils de décryptage (Decrypt Tools Ransomware)
Certains sont dédiés au ransomware .crypz

Sécuriser Windows contre le Ransomware RSA-4096 .crypz

Changer tes mots de passe car ce ransomware a des fonctionnalités de Stealer.
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.

Notamment contre les par des exploits WEB.

Actualité CryptXXX :
  • 21 mai 2016 : Jeu du chat et de la souris entre Kaspersky et CryptXXX pour récupérer les fichiers, le passage en v3.0 marque l'arret, la récupération des fichiers devient plus que partiel.
  • 3 Juin 2016 : passage en CryptXXX 3.1 et utilisation de l'extension .cryp1 - la récupération des fichiers n'est plus possible.
  • 9 juin 2016 : passage en .crypz
  • 16 juin 2016 : possible variante en .cryptz mais relativement rare
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: Ransomware RSA-4096 .crypt - CryptXXX (Crypto-Ransomware

par Malekal_morte »

Le nom de cette famille de ransomware devrait être : CryptXXX
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: Ransomware RSA-4096 .crypt - CryptXXX (Crypto-Ransomware

par Malekal_morte »

Kaspersky dit avoir mis à jour son outil de récupération de fichiers pour les variantes de CryptXXX :
http://media.kaspersky.com/utilities/Vi ... ryptor.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: Ransomware RSA-4096 .crypt - CryptXXX (Crypto-Ransomware

par Malekal_morte »

CryptXXX V2 est sortie et l'outils de Kaspersky ne fonctionne plus et retourne une erreur :
Encrypted file size does not equal to original.
Image

La page de blocage de CryptXXX V2 avec toujours la mention :
All your files were protected by a strong encryption with RSA4096
Image

EDIT : le tool de Kaspersky a été mis à jour et gère la v2 de CryptXXX

La récupération des fichiers .crypt en vidéo :

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: Ransomware RSA-4096 .crypt - CryptXXX (Crypto-Ransomware

par Malekal_morte »

A compter début juin, CryptXXX semble maintenant utiliser l'extension crypt1.
Voir la fiche Virus crypt1.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: RSA-4096 .crypt - CryptXXX (Crypto-Ransomware)

par Malekal_morte »

Dernière version en .crypz
> Fiche de supression .crypz
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: RSA-4096 .crypz - CryptXXX (Crypto-Ransomware)

par Malekal_morte »

CryptXXX passe en extension aléatoire sur 5 caractères, on peut donc avoir des extensions du type .BA4D1
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: RSA-4096 .crypz - CryptXXX (Crypto-Ransomware)

par Malekal_morte »

Nouveau skin au niveau du fichier HTML instruction, les fichier texte ou autre ne bouge pas.
avec en titre :
ATTENTION!
YOUR FILES ARE ENCRYPTED.


et le début de la page :

Code : Tout sélectionner

ATTENTION!
YOUR FILES ARE ENCRYPTED.
Write down the information to notebook (excercise book!) and reboot the computer.

- 1 -What happened to your files? All of your files were protected by a strong encryption with RSA-4096
More information about the encryption RSA-4096 can be found here: http://en.wikiDedia.orQ/wiki/RSA (cryptosystem) 

- 2 -How did this happen? Specially for your PC was generated personal RSA4096 key, both public and private. ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server - 3 -What do I do? So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_
Your personal ID

Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116321
Inscription : 10 sept. 2005 13:57

Re: RSA-4096 .crypz - CryptXXX (Crypto-Ransomware)

par Malekal_morte »

Les fichiers chiffrés par la version 3 de CryptXXX peuvent être récupérés d'après Kaspersky. Ce dernier a mis en ligne un outils qui permet de récupérer les variantes .cryp1, .crypt and .crypz utilisés notamment à partir de mai 2016.

=> Decrypting CryptXXX version 3 — for free

L'outil est disponible ici : https://www.nomoreransom.org/decryption-tools.html
NomoreRansom.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »