CryptoJoker Ransomware

CryptoJoker Ransomware n’est définitivement pas une infection malveillante que vous pouvez ignorer ou prendre à la légère. Au contraire, elle peut s’avérer être votre pire cauchemar. Bien que ce cheval de Troie ne semble pas être largement répandu, il est certain qu’au fil du temps, il gagnera encore du terrain parmi les infections malveillantes.‏ Peu importe sa « popularité » actuelle, vous devez savoir qu’il constitue une menace sérieuse et dangereuse pour votre système d’exploitation et pour vos fichiers personnels. Si cette infection malveillante parvient à s’insérer et à accomplir sa mission, vous pourrez dire adieu à tous vos documents, images et bases de données qui seront cryptés en moins d’une minute ; à moins que vous ne soyez un utilisateur soucieux de la sécurité de son ordinateur et que vous avez effectué des sauvegardes sur un disque dur externe. C’est en fait l’unique manière de restaurer vos fichiers, car même payer la rançon que ce cheval de Troie tente de vous soutirer ne vous aidera peut-être pas. Si vous ne supprimez pas CryptoJoker Ransomware immédiatement, non seulement vous perdrez vos fichiers, mais il est également possible que vous ne puissiez plus utiliser votre ordinateur.

L’installateur de ce cheval de Troie se cache dans un fichier PDF. Il est donc fort probable qu’il soit diffusé par le biais d’emails frauduleux. Afin d’éviter les chevaux de Troie, une des règles les plus importantes à suivre est de ne jamais ouvrir d’emails d’expéditeurs inconnus et de ne jamais cliquer sur les liens ou pièces jointes, même s’il semble s’agir d’un email officiel ou connu, à moins que vous ne l’attendiez, car les expéditeurs d'emails frauduleux peuvent se faire passer pour quelqu'un ou une institution pour avoir l’air authentique. Tout réside dans la tromperie. En consultant votre boîte de réception, vous ne réfléchissez sans doute pas à deux fois lorsque vous recevez un email d’une de vos connaissances ou de votre fournisseur d'accès à Internet par exemple. Évidemment, les cyberdélinquants utilisent des méthodes sophistiquées pour s’assurer que vous cliquiez sur le lien inclus ou les fichiers joints, un document .pdf dans ce cas. Une fois que vous cliquez, il n’est pas possible de revenir en arrière. Le cheval de Troie est installé sur votre ordinateur et commence immédiatement son activité malveillante. L’unique manière d’empêcher cela d’arriver est d'avoir un outil de suppression de logiciels malveillants de confiance et mis à jour qui fonctionne en arrière-plan.

Ce cheval de Troie utilise plusieurs fichiers pour accomplir sa tâche. Tout d’abord, il crée et télécharge les fichiers texte suivants sur votre bureau : GET MY FILES.txt, READ NOW.txt, read this file.txt, READ.txt, README!!!.txt, readme.txt, DECRYPT FILES.txt, ПРОЧТИ.txt et РАСШИФРОВАТЬ ФАЙЛЫ.txt. Ils contiennent principalement le texte de demande de rançon en anglais et en russe, ainsi que les extensions ciblées. Il crée également les fichiers suivants dans le répertoire %Temp% : drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt et new.bat. Ensuite, l’infection ajoute les entrées de registre suivantes afin que les fichiers exécutables drvpci.exe, windefrag.exe et winpnp.exe puissent démarrer automatiquement avec Windows.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
• windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
• winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”

En plus de ces fichiers, il crée aussi deux fichiers dans le répertoire %Appdata%: baefefbed.exe, qui est un nom aléatoire et README!!!.txt22. Il s’agit de la clé de registre que le cheval de Troie ajoute pour l'exécutable : HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.” Chaque fichier sert à diverses tâches, notamment à envoyer des informations au serveur de commande et de contrôle, à vérifier et terminer toutes les tâches en cours du Gestionnaire de tâches et des processus d'édition du Registre, entre d’autres.

Nous avons découvert que CryptoJoker Ransomware cible les extensions de documents, images, bases de données suivantes : .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .db, .docm, .sql, .pdf. Lorsque le rançongiciel démarre le cryptage de vos fichiers, il analyse tous les disques disponibles, y compris les lecteurs réseau connectés afin de cibler ces extensions. Lorsque le cryptage est terminé, l’infection ajoute l'extension .crjocker, par exemple myphoto.jpg.crjoker. Pour crypter vos fichiers, ce cheval de Troie utilise le système AES-256, qui est une fonction de cryptage Windows, c’est pourquoi le processus complet ne prendra probablement pas plus d’une minute. Vous comprenez maintenant qu’il est quasiment impossible de supprimer l’infection avant qu’elle finisse sa mission, à moins bien sûr que vous ne soyez doté de super pouvoirs et que vous réagissiez dans un millième de seconde au moment où vous réalisez que vous n’avez plus accès à vos fichiers ou que les extensions ont été modifiées sans votre autorisation.

Lorsque le rançongiciel aura terminé son action destructrice sur tous les disques disponibles, il affichera une petite fenêtre sur votre bureau, par-dessus toutes les fenêtres Windows actives, contenant des instructions en anglais et en russe. Pour se protéger, cette infection s’assure aussi que vous ne pouvez pas utiliser le Gestionnaire de tâches et l’éditeur du Registre. Elle exécute également un fichier batch (new.bat) qui procède à la suppression des clichés instantanés (VSS) de vos fichiers pour qu’ils ne puissent pas être automatiquement réparés. Ces instructions vous expliquent que vous devez envoyer un email à l’une des adresses suivantes pour recevoir les instructions de paiement : file987@sigaint.org, file9876@openmail.cc ou file987@tutanota.com.

Bien que cette alerte de demande de rançon prétend que vos fichiers ont été cryptés par le système RSA-2048, en fait, par cette méthode, seul votre code personnel est crypté; celui que vous êtes supposé envoyer dans l’email de contact. Vous avez 72 heures pour transférer l’argent demandé par les cyberdélinquants, après quoi la somme augmentera. Il vous est aussi recommandé de ne pas intervenir face à l'infection ou vos fichiers, car cela pourrait engendrer une « perte d’information irrécupérable ». Bien sûr, rien ne garantit que vous obteniez un jour la clé promise et le décodeur. C’est dans ce type de cas que les sauvegardes s’avèrent très utiles. Si vous conservez une copie de vos fichiers personnels sur un disque dur externe ou sur une clé USB, vous pourrez à tout moment les copier à nouveau sur votre ordinateur. Cependant, il est important de s’assurer que votre système est sécurisé. C’est pourquoi nous vous recommandons de supprimer CryptoJoker Ransomware au plus vite pour que vous puissiez commencer à restaurer vos fichiers.

Si vous ne possédez pas de copie de sauvegarde, nous sommes désolés, mais il n’existe actuellement aucun outil capable de décrypter vos fichiers. Il est possible que dans le futur, lorsque ce rançongiciel aura touché beaucoup d’ordinateurs et que les experts auront trouvé une méthode de décryptage des fichiers, des outils gratuits soient disponibles sur Internet. En attendant, il n’y a pas grand-chose à faire à part supprimer cet envahisseur dangereux de votre système.

L’unique manière de supprimer CryptoJoker Ransomware est d'entrer dans le Mode sans échec avec mise en réseau après avoir redémarré votre ordinateur. Ensuite, vous pourrez supprimer tous les fichiers et les entrées de Registre qu’il a créés. Mais avant cela, assurez-vous que les fichiers cachés apparaissent dans votre explorateur fichiers, sinon, vous ne trouverez pas le répertoire %Appdata%. Cependant, si vous pensez payer la rançon, ne supprimez pas les fichiers texte de votre bureau, car ils contiennent les instructions, votre code de cryptage unique et les adresses email que vous êtes supposé utiliser. Une fois terminé, redémarrez votre ordinateur. Veuillez suivre les instructions ci-dessous attentivement, car vous risquez de supprimer les mauvaises clés de registre, ce qui causerait plus de tort que de bien. À vrai dire, nous recommandons la suppression manuelle principalement aux utilisateurs expérimentés qui connaissent les enjeux. Pour une suppression plus sécurisée et plus efficace, nous vous recommandons l’utilisation d’un outil de suppression de logiciels malveillants professionnel.

Comment redémarrer en Mode sans échec avec mise en réseau

Windows 8, Windows 8.1 et Windows 10

1. Tapez Win+I et cliquez sur l’icône Arrêter.
2. En pressant et en maintenant la touche Shift enfoncée, cliquez sur Redémarrer.
3. Sélectionnez Rechercher une panne, puis Options avancées.
4. Choisissez Paramètres de démarrage.
5. Cliquez sur Redémarrer.
6. Tapez F5 pour réinitialiser votre PC en Mode sans échec avec mise en réseau.

Windows XP, Windows Vista et Windows 7

1. Redémarrez votre PC et tapez sur la touche F8.
2. Dans le menu, sélectionnez le Mode sans échec avec mise en réseau et tapez sur Entrer.

Afficher les éléments cachés dans l’explorateur de fichiers

Windows 8, Windows 8.1 et Windows 10

1. Tapez Win+E.
2. Sélectionnez le menu Affichage et cochez la case Éléments cachés.

Windows Vista et Windows 7

1. Tapez Win+E.
2. Cliquez sur le bouton Organiser et dans le menu, sélectionnez Options des dossiers et de recherche.
3. Sélectionnez l’onglet Affichage.
4. Sélectionnez Afficher les dossiers et fichiers cachés.
5. Cliquez sur OK.

Windows XP

1. Tapez Win+E et sélectionnez le menu Outils.
2. Sélectionnez Options des dossiers.
3. Cliquez sur l’onglet Affichage.
4. Sélectionnez Afficher les dossiers et fichiers cachés.
5. Cliquez sur OK.

Comment supprimer CryptoJoker Ransomware

1. Tapez Win+E et localisez le dossier C:\Users\user\AppData\Local\Temp.
2. Trouvez et supprimez les fichiers suivants : drvpci.exe, windefrag.exe, windrv.exe, winpnp.exe, crjoker.html, GetYouFiles.txt, imgdesktop.exe, README!!!.txt et new.bat.
3. Localisez le fichier : C:\Users\user\AppData\Roaming.
4. Trouvez et supprimez les fichiers suivants : baefefbed.exe et README!!!.txt22.
5. Tapez Win+R et tapez dans regedit. Cliquez sur OK.
6. Localisez et supprimez les entrées de Registre suivantes :
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   \drvpci “C:\Users\user\AppData\Local\Temp\drvpci.exe”
   \windefrag “C:\Users\user\AppData\Local\Temp\windefrag.exe”
   \winpnp “C:\Users\user\AppData\Local\Temp\winpnp.exe”
7. Localisez et supprimer l’entrée de Registre suivante :
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
   \baefefbed “C:\Users\user\AppData\Roaming\baefefbed.exe.”
8. Redémarrez votre système d’exploitation.