Fin Octobre et début Novembre 2017, la version 2.1 du ransomware Hermes est apparu avec une campagne visant la France.
Probablement distribué à travers des mails malveillants.
Présentation du ransomware Hermes
La variante de Novembre 2017 modifiait l'extension des fichiers en .HRM
Deux fichiers DECRYPT_INFORMATION.html et UNIQUE_ID_DO_NOT_REMOVE sont aussi créés contenant les instructions de paiement et les données nécessaire pour finir la clé de déchiffrement.
Voici la page des instructions du ransomware Hermes :
ainsi que les instructions de paiement en français :
Code : Tout sélectionner
HERMES 2.1 RANSOMWARE
Tous vos importants fichiers sont chiffrés
Vos fichiers étaient chiffrés avec l'aide de RSA2048 de l'algorithme.
Comme récupérer les fichiers : nous contacter, payer, recevoir le décodeur.
Vous avez "UNIQUE_ID_DO_NOT_REMOVE" le fichier sur votre bureau, aussi il est doublé dans certains classeurs,
c'est votre idkey, expédiez-le nous avec la lettre. Aussi vous pouvez expédier 3 fichiers pour le décodage de test.
Sont acceptés au paiement bitcoin. Vous pouvez trouver les bureaux de change sur https://www.bitcoin.com/buy-bitcoin.
L'information de contact:
primary email: [email protected]
reserve email: [email protected]Code : Tout sélectionner
HERMES 2.1 RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is only one way to get your files back: contact with us, pay, and get decryptor software.
You have "UNIQUE_ID_DO_NOT_REMOVE" file on your desktop also it duplicated in some folders,
its your unique idkey, attach it to letter when contact with us. Also you can decrypt 3 files for test.
We accept Bitcoin, you can find exchangers on https://www.bitcoin.com/buy-bitcoin and others.
Contact information:
primary email: [email protected]
reserve email: [email protected]La récupération des fichiers chiffrés par le ransomware .crypt est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et d'autres menaces connues sur la toile, suivre le tutoriel de sécurisation de son Windows.
Comment se protéger des scripts malveillants sur Windows
et limiter PowerShell : Les virus Powershell
et plus globalement, suivez les conseils de la page : Sécuriser son Windows.