L'extension a changé dans le nom puisque nous avons eu au départ .crypt, .cryp1, .crypz et actuellement .cryptz
Ce ransomware est distribué à travers des exploits WEB. Les ordinateurs non à jour et vulnérables seront donc infectés.
Variante .crypz
Le paiement se fait en Bitcoin via TOR.
Les pages d'instructions de paiement :
L'apparence des pages ressemble au ransomware TeslaCrypt. Pour comprendre les différences des ransomwares RSA 4096 TeslaCrypt et CryptXXX, rendez-vous sur la page : Les virus RSA-4096.de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
Code : Tout sélectionner
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal ID: A793D183454A
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - http://6khq4bgn5a5g7kzi.onion.to
2 - http://6khq4bgn5a5g7kzi.onion.cab
3 - http://6khq4bgn5a5g7kzi.onion.city
If for some reasons the addresses are not available, follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
3 - After a successful installation, run the browser
4 - Type in the address bar: http://6khq4bgn5a5g7kzi.onion
5 - Follow the instructions on the site
Ransomware RSA4096 - CryptXXX - extension .crypz en vidéo :
Le site de paiement reprend celui de TorrentLocker
ou de UltraCrypter avec le titre "Decryption Service" :
Ce rançongiciel se charge à partir d'une DLL dont voici un exemple:
Exemple d'une détection antivirus :C:\Users\%Username%\AppData\Local\Temp\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll
C:\Users\%Username%\AppData\Local\Temp\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll
SHA256: 9ca837ca94e581171577a62fce0892ece22874ceb93f8843b4b9bf874bc65fcd
Nom du fichier : xwizards.dll
Ratio de détection : 10 / 56
Date d'analyse : 2016-04-19 08:16:40 UTC (il y a 3 minutes)
Antivirus Résultat Mise à jour
AVG Win32/Heim 20160419
AegisLab Virus.W32.Heim!c 20160419
Avast Win64:Malware-gen 20160419
BitDefender Trojan.Generic.16379754 20160419
Bkav HW64.packed.C105 20160415
ESET-NOD32 a variant of Win64/Kryptik.AYK 20160419
Emsisoft Trojan.Generic.16379754 (B) 20160419
GData Trojan.Generic.16379754 20160419
Malwarebytes Trojan.FakeMS 20160419
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160419
Comment le Ransomware RSA-4096 .crypz est distribué
CryptXX est distribué à travers des Web Exploit, notamment en Avril 2016, une campagne Angler ExploitKit qui pousse le malware Bedep.
(source : http://researchcenter.paloaltonetworks. ... -cryptxxx/)
Si votre Windows a été infecté par le Ransomware RSA-4096 .cryptz
Suivez la page : Supprimer le ransomware rsa-4096 - extension .crypz (supprimer-trojan.com) ou Supprimer Virus RSA 4096 (supprimer-virus.com).
Attention : Ce ransomware embarque des fonctionnalités de stealer (capable de voler vos identifiants / comptes etc).
Il est donc très fortement conseillé de changer rapidement tous ses mots de passe.
Récupérer ses fichiers .crypz Ransomware RSA-4096
Tentez les outils de la page suivante Outils de décryptage (Decrypt Tools Ransomware)
Certains sont dédiés au ransomware .crypz
Sécuriser Windows contre le Ransomware RSA-4096 .crypz
Changer tes mots de passe car ce ransomware a des fonctionnalités de Stealer.
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Notamment contre les par des exploits WEB.
Actualité CryptXXX :
- 21 mai 2016 : Jeu du chat et de la souris entre Kaspersky et CryptXXX pour récupérer les fichiers, le passage en v3.0 marque l'arret, la récupération des fichiers devient plus que partiel.
- 3 Juin 2016 : passage en CryptXXX 3.1 et utilisation de l'extension .cryp1 - la récupération des fichiers n'est plus possible.
- 9 juin 2016 : passage en .crypz
- 16 juin 2016 : possible variante en .cryptz mais relativement rare