JS.Crypto Ransomware

JS.Crypto Ransomware est une infection très dangereuse qui cible les ordinateurs avec le système d’exploitation Windows. Comme la menace se crée elle-même en utilisant NW.js qui est connu pour être un cadre pour le développement de nouvelles applications, cela signifie que JS.Crypto Ransomware se base lui-même sur JavaScript. Les experts travaillant chez pcthreat.com affirment qu’il existe une possibilité que les systèmes d’exploitation Linux et Mac utilisant Javascript soient aussi infectés, ce qui signifie que JS.Crypto Ransomware peut aussi commencer à se diffuser parmi les utilisateurs de ces systèmes d’exploitation. Selon nous, tous les utilisateurs doivent être vigilants, peu importe leur système d’exploitation. C’est parce qu'une étude récente a montré qu’il est possible de devenir un associé de JS.Crypto Ransomware, c.-à-d., le distribuer en sélectionnant des options spécifiques, par exemple, bloquer complètement ou non l'ordinateur, afficher l’écran verrouillé et même la somme en Bitcoin à demander. De cette manière, les propriétaires originaux de JS.Crypto obtiennent probablement plus d’argent. Nous sommes sûrs que vous serez capable d’identifier si JS.Crypto Ransomware parvient à entrer dans votre système, car vous remarquerez que vous n’aurez plus accès à vos fichiers principaux. Malheureusement, JS.Crypto Ransomware peut à nouveau crypter vos nouveaux fichiers, ainsi, assurez-vous d’avoir supprimé l’infection de votre PC avant d’y placer de nouveaux fichiers.

On a remarqué que JS.Crypto Ransomware peut à lui seul crypter des centaines de fichiers différents. Ces fichiers sont principalement des documents, des images, de la musique et des vidéos et ont généralement les extensions suivantes : .jpg, .jpeg, .pmd, .ppsx, .mp3, .mp4, .mpeg, .wmv, .sdf, .mpa, .dot, .docx, .aet, .ppj, .indl, .3gp, parmi d’autres. Leur apparence ne changera probablement pas, mais nous n’aurez simplement plus accès à aucun d’entre eux. L’incapacité d’accéder à la majorité des fichiers n’est pas l’unique symptôme qui indique qu’un rançongiciel s’est inséré dans votre ordinateur. Les experts travaillant chez pcthreat.com affirment que vous remarquerez aussi un message d’avertissement sur votre écran. Si vous le voyez (le texte du message se trouve ci-dessous), il n’y a aucun doute sur le fait que JS.Crypto Ransomware a réussi à s’insérer dans votre système.

ALL YOUR PERSONAL FILES HAS BEEN ENCRYPTED

All your data (photos, documents, databases, etc) have been encrypted with a private and unique key generated for this computer. This means that you will not be able to access your files anymore until they are decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.

Comme on peut le constater, les cyberdélinquants cherchent à convaincre les utilisateurs d’effectuer le paiement. Ils accordent seulement 4 jours et affirment que la somme augmentera une fois le délai dépassé. Ils promettent aussi de décrypter gratuitement un fichier afin de prouver qu’ils sont en mesure de tous les décrypter. C’est à vous de choisir si vous souhaitez effectuer le paiement ou non de 0,1 Bitcoins (30 € environ). Cependant, nous ne vous le recommandons pas si vous possédez une sauvegarde de vos fichiers (sur une clé USB par exemple). Malheureusement, il n’existe à ce jour aucune autre manière de récupérer les fichiers.

JS.Crypto Ransomware est distribué sous un fichier client.scr. Étant donné qu’il s’agit d’un fichier auto-extractible WinRAR, il extraira immédiatement les fichiers dans les répertoires %Temp% et v%AppData%\Microsoft\Windows\Start Menu\Programs\Startup et ajoutera un raccourci dans Démarrage, une fois que l’utilisateur aura cliqué dessus. Il a été remarqué que JS.Crypto Ransomware ajoute les fichiers suivants au système :

• chrome – contient une copie du contrat de licence GPL.
• chrome.exe – contient le code malveillant actuel.
• ffmpegsumo.dll, nw.pak, locales, et icudtl.dat – contient les données nécessaires pour le cadre NW.js.
• rundll32.exe – contient une copie du client TOR.
• s.exe – contient une copie du raccourci Optimum X.
• g – contient les informations nécessaires pour la configuration du rançongiciel.
• msgbox.vbs – script qui affiche un message pop-up à l’écran.
• u.vbs – script qui supprime des fichiers et dossiers dans différents répertoires.

Comme on peut le voir, JS.Crypto Ransomware ajoute des fichiers qui ressemblent à des fichiers légitimes Google Chrome, par exemple chrome.exe, afin de ne pas être détecté et supprimé trop facilement. Nous souhaitons également mentionner le fait que JS.Crypto Ransomware ajoutera ChromeService.Ink au répertoire principal (%AppData%\Microsoft\Windows\Start Menu\Programs\Startup), afin de pouvoir démarrer avec le système d’exploitation Windows.

JS.Crypto Ransomware est diffusé de différentes manières. Les experts ont découvert qu’il pouvait s’insérer dans votre système après que vous ayez cliqué sur un lien ou une publicité frauduleuse, ouvert la pièce jointe d’un spam ou téléchargé un logiciel indigne de confiance depuis un site internet d’un tiers, un torrent ou depuis un site internet de partage de fichiers. JS.Crypto Ransomware n’est définitivement pas le seul rançongiciel existant. Ainsi, nous vous recommandons fortement d’installer un outil de sécurité fiable si vous souhaitez protéger votre système d’infections similaires pouvant s’insérer dans votre ordinateur.

Bien qu'il ne soit pas facile de supprimer JS.Crypto Ransomware manuellement, vous devrez le faire, car cette menace pourrait crypter vos nouveaux fichiers. Vous trouverez ci-dessous des instructions qui vous aideront à vous débarrasser de cette menace manuellement. Si vous pensez ne pas être assez expérimenté pour le faire vous-même, analysez votre système à l’aide du scanner contre les logiciels malveillants SpyHunter. Que vous procédiez vous même à la suppression de JS.Crypto Ransomware ou que vous utilisiez un outil automatique, vous ne pourrez pas décrypter vos fichiers.

Supprimer JS.Crypto Ransomware de votre PC

Afficher les dossiers et fichiers cachés

Windows XP

1. Ouvrez le bouton Démarrer et allez dans Panneau de configuration.
2. Double-cliquez sur Options des dossiers et ouvrez l’onglet Affichage.
3. Cliquez sur le bouton placé à côté de Afficher les dossiers et fichiers cachés pour l’activer.
4. Décochez la case Cacher les fichiers du système d’exploitation protégés (Recommandé).
5. Cliquez sur Appliquer.

Windows 7 / Vista

1. Cliquez sur le bouton Organiser dans n'importe quel dossier et sélectionnez Options des dossiers et de recherche.
2. Cochez le bouton Afficher les dossiers et fichiers cachés.
3. Décochez la case Cacher les fichiers du système d’exploitation protégés (Recommandé).
4. Cliquez sur Appliquer.

Windows 8, 8.1 et 10

1. Ouvrez l’explorateur de fichiers.
2. Ouvrez l’onglet Affichage et cliquez sur Options.
3. Sélectionnez Modifier les options des dossiers et de recherche.
4. Cochez Afficher les dossiers et fichiers cachés.
5. Décochez la case Cacher les fichiers du système d’exploitation protégés (Recommandé).

Supprimer les répertoires et les fichiers

1. Ouvrez le Gestionnaire de tâches (Ctrl+Shift+Esc), ouvrez l’onglet Processus, localisez le processus chrome.exe et supprimez le (cliquez-droit dessus et sélectionnez Fin processus) si un message d’avertissement ne peut pas être fermé.
2. Lancez EXÉCUTER (Touche Windows + R).
3. Dans la fenêtre, saisissez %AppData%\Chrome Browser et cliquez sur OK.
4. Supprimez ce répertoire.
5. À nouveau, lancez EXÉCUTER et saisissez %AppData%\Microsoft\Windows\Start Menu\Programs\Startup.
6. Cliquez sur OK.
7. Trouvez et supprimez ChromeService.Ink.