Voici ce message de paiement du ransomware Zcrypt avec l'intitulé :
All your data has been encrypted with a private and unique key
Les extensions visées :
Exemple de fichiers chiffrés en .zcrypt - on trouve les fichiers instructions "How to decrypt files" :.accdb .dwg .odb .raf
.apk .dxg .odp .raw
.arw .emlx .ods .rtf
.aspx .eps .odt .rw2
.avi .erf .orf .rwl
.bak .gz .p12 .sav
.bay .html .p7b .sql
.bmp .indd .p7c .srf
.cdr .jar .pdb .srw
.cer .java .pdd .swf
.cgi .jpeg .pdf .tar
.class .jpg .pef .tar
.cpp .jsp .pem .txt
.cr2 .kdc .pfx .vcf
.crt .log .php .wb2
.crw .mdb .png .wmv
.dbf .mdf .ppt .wpd
.dcr .mef .pptx .xls
.der .mp4 .psd .xlsx
.dng .mpeg .pst .xml
.doc .msg .ptx .zip
.docx .nrw .r3d .3fr
Une partie du contenu du fichier instructions de Zcrypt :
Les processus du ransomware Zcrypt.exe durant l'infection d'une machine :All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this computer. It means that you will not be able to access your files anymore until theyre decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you dont know how to get Bitcoins, you can google How to Buy Bitcoins and follow the instructions.
YOU ONLY HAVE 4 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 5 Bitcoins. Also, if you dont pay in 7 days, your unique key will be destroyed and you wont be able to recover
Microsoft détecte ce dernier en Ransom:Win32/ZCryptor.A. ou encore ici avec une détection plus générale : Trojan:Win32/Dynamer
Zcrypt se lance par le raccourci "zcrypt.lnk" placé dans le dossier Démarrage (Startup) afin de s'exécuter au lancement de la session Windows.
Récupération des fichiers Zcrypt
Pour l'instant, pas de solution pour récupérer les fichiers Zcrypt.
La récupération des fichiers chiffrés par le ransomware .zcrypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
=> Sécuriser son Windows.
Liens connexes (ѠOOT):
→ https://blogs.technet.microsoft.com/mmp ... to-ransom/
→ https://www.grahamcluley.com/2016/05/ra ... le-drives/
→ http://blog.trendmicro.com/trendlabs-se ... atibility/