Comme tout rançongiciel, le but est de prendre en otage vos documents et données afin de vous demander de payer une rançon pour en récupérer l'accès.
Le message d'instructions de paiement "YOUR FILES HAS BEEN ENCRYPTED"
L'adresse email de paiement :[email protected]
Première rencontre sur le sujet suivant du site Commentcamarche.net : http://www.commentcamarche.net/forum/af ... i-love-you
Ce ransomware se présente sous la forme de script avec l'extension .HTA et des fichiers MERRY_I_LOVE_YOU_BRUCE
Une fois l'ordinateur infecté, les documents sont chiffrés et l'extension .merry est ajoutée.C:\Users\Wendy\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2016-12-23 15:21 - 2017-01-24 21:03 - 0000033 _____ () C:\Users\Wendy\AppData\Roaming\AdobeWLCMCache.dat.MERRY
2017-01-24 21:03 - 2017-01-24 21:03 - 0091845 _____ () C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 0091845 _____ () C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:47 - 2017-01-24 22:47 - 00091845 _____ C:\Users\wendy_w7sbii2\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Downloads\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:36 - 2017-01-24 22:36 - 00091845 _____ C:\Users\wendy_w7sbii2\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:32 - 2017-01-24 21:32 - 00091845 _____ C:\Users\Wendy\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:03 - 2017-01-24 21:03 - 00091845 _____ C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 00091845 _____ C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:32 - 2017-01-24 20:32 - 00091845 _____ C:\Users\Wendy\MERRY_I_LOVE_YOU_BRUCE.HTA
Supprimer le ransomware Merry
Dans un premier temps pour vous protéger, installez le programme Marmiton
1) Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clicquez sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).
2) afin d'éradiquer le Ransomware Merry.
Téléchargez et installez MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite pour t'aider à suivre toutes les étapes.
Mettez à jour MBAM à jour puis lancer une analyse.
A la fin du scan, clique sur "Mettre en quarantaine" en bas à droite.
Redémarrez l'ordinateur si nécessaire puis relancer Malwarebytes.
Si vous avez besoin d'aide, créé un sujet Dans la partie Virus du forum
Vas chercher le rapport dans l'onglet "Compte-Rendus".
A gauche "Compte Rendus d'analyses", double-clique sur l'examen dans la liste.
Puis en bas "Exporter fichier texte", enregistre sur le bureau.
Va sur http://pjjoint.malekal.com/, clic sur Parcourir, vas chercher le rapprot Malwarebytes enregistré.
Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Récupérer les fichiers .MERRY
Tentez ce programme : https://decrypter.emsisoft.com/mrcr
D'autres outils de récupération de fichiers chiffrés par des ransomwares sur la page : Outils de décryptage (Decrypt Tools Ransomware)
ou Les versions précédentes de fichiers avec ShadowExplorer