Voir les tarifs en :
Voir les tarifs en :

Décrypter un ransomware

Décrypter vos fichiers infectés par un ransomware avec AVAST.

Décrypter les ransomwares

Un ransomware a crypté l’ensemble de vos fichiers et vous demande une rançon pour le décryptage de vos fichiers ? Ne payez pas la rançon et utilisez plutôt l’un de nos outils gratuits de décryptage

Décrypter AES_NI :
Ce ransomware a été détecté pour la première fois en décembre 2016. Il utiliser AES-256 combiné à RSA-2048 pour crypter les fichiers.
Changement des noms de fichiers: .aes_ni, .aes256, .aes_ni_0day
Message de demande de rançon : Le message contient fichier « !!! LIRE CECI – IMPORTANT !!!.txt »
DECRYPTER AES_NI


Décrypter Alcatraz Locker :
Alcatraz Locker est un virus qui a été découvert en Novembre 2016. Pour crypter vos fichiers, ce ransomware utilise le chiffrement AES 256 combiné au chiffrement Base64.
Changement des noms de fichiers: Les fichiers cryptés par ce virus ont l’extension « .Alcatraz »
Message de demande de rançon: Le message de demande de rançon est un fichier ransomed.html qui s’affiche sur le PC de l’utilisateur.
DECRYPTER ALCATRAZ LOCKER

Décrypter Apocalyspe :
Apocalypse est un ransomware apparu en Juin 2016.
Changement des noms de fichiers: Les fichiers cryptés par ce virus affichent l’extension « .encrypted » « .FuckYourData » « .locked » « .Encryptedfile » ou « .SecureCrypted »
Message de demande de rançon: Le message de demande de rançon est un fichier affichant l’extension « .How_To_Decrypt.txt » « .README.Txt » « .Contact_Here_To_Recover_Your_Files.txt » « .How_to_Recover_Data.txt » ou « .Where_my_files.txt »
DECRYPTER APOCALYPSE

Décrypter AtomSilo & LockFile :
AtomSilo & LockFile ont un schéma de chiffrement très similaire. Notre décrypteur couvre les deux variantes.
Changement des noms de fichiers: Les fichiers cryptés présentent ces extensions : .ATOMSILO ou .lockfile
Message de demande de rançon: Dans chaque dossier comprenant au moins un fichier chiffré, il y a une note de rançon README-FILE-%ComputerName%-%Number%.hta ou LOCKFILE-README-%ComputerName%-%Number%.hta.
DECRYPTER ATOMSILO / LOCKFILE

Décrypter Babuk :
Babuk est un ransomware russe.
Changement des noms de fichiers: Vos fichiers présentes une extension : .babuk, .babyk ou .doydo
Message de demande de rançon: Dans chaque répertoire comportant au moins un fichier chiffré, on peut trouver le fichier Help Restore Your Files.txt
DECRYPTER BABUK

Décrypter BadBlock
BadBlock est un ransomware découvert en Mai 2016.
Changement des noms de fichiers: BadBlock ne renomme pas vos fichiers.
Message de demande de rançon: Le message de demande de rançon est un fichier Help Decrypt.html (généralement un message s’affichant sur fond rouge).
DECRYPTER BADBLOCK

Décrypter Bart :
Bart est un ransomware apparu fin Juin 2016.
Changement des noms de fichiers: Bart ajoute l’extension « .bart.zip » à la fin de chaque fichier. Vos fichiers deviennent de ce fait des archives ZIP cryptés.
Message de demande de rançon: Le message de demande de rançon est un fichier recover.bmp et recover.txt
DECRYPTER BART


Décrypter BigBobRoss:
BigBobRoss chiffre les fichiers en utilisant le protocole AES128.
Changement des noms de fichiers: Les fichiers présentent l’extension .obfuscated
Message de demande de rançon: Le ransomware BigBobRoss crée un fichier texte appelé « Read Me.txt »
DECRYPTER BIGBOBROSS

Décrypter BTCWare:
Ce ransomware dispose de 5 variantes qui utilisent deux méthodes de chiffrement: RC4 et AES 192
Changement des noms de fichiers: Les noms des fichiers sont chiffrés selon les variantes suivantes : foobar.docx.[sql772@aol.com].theva, foobar.docx.[no.xop@protonmail.ch].cryptobyte, foobar.bmp.[no.btc@protonmail.ch].cryptowin, foobar.bmp.[no.btcw@protonmail.ch].btcware, foobar.docx.onyon
Message de demande de rançon: Après le cryptage de vos fichiers, le fond d’écran de votre ordinateur est modifié pour afficher un message de demande de rançon sur fond rouge.
DECRYPTER BTCWARE

Décrypter Crypt888 :
Crypt888 (aussi connu sous le nom de Mircop) est une forme de ransomware découverte en Juin 2016.
Changement des noms de fichiers: Crypt888 ajoute « Lock. » au début de chaque fichier (ex. NomduFichier.doc = Lock.NomduFichier.doc)
Message de demande de rançon: Le message de demande de rançon apparait sous forme d’un nouveau fond d’écran.
DECRYPTER CRYPT888

Décrypter CrySis :
CrySis (aussi connu sous les noms de JohnyCryptor, Virus-Encode ou Aura) est un ransomware apparu en Septembre 2015. Il utilise le chiffrement AES256 combiné au chiffrement RSA1024.
Changement des noms de fichiers: Les fichiers cryptés affichent différentes extensions comme: « .johnycryptor@hackermail.com.xtbl » « .ecovector2@aol.com.xtbl » « .systemdown@india.com.xtbl » « .Vegclass@aol.com.xtbl » « .{milarepa.lotos@aol.com}.CrySiS » « .{Greg_blood@india.com}.xtbl » « .{savepanda@india.com}.xtbl » « .{arzamass7@163.com}.xtbl »
Message de demande de rançon: Le message de demande de rançon apparait sous forme d’un fichier « Decryption instructions.txt » « Decryptions instructions.txt » ou « *README.txt »
DECRYPTER CRYSIS

Décrypter EncrypTile:
Ce ransomware utilise un cryptage AES-128 avec une clé de chiffrement constante pour un ordinateur ou un utilisateur.
Changement des noms de fichiers: Ce ransomware ajoute le mot « EncrypTile » dans le nom de vos fichiers
Message de demande de rançon: Ce ransomware installe un fichier « How to buy bitcoin_IL4NzIT321.txt »
DECRYPTER ENCRYPTILE

Décrypter FindZip :
FindZip est un ransomware qui se propage sur Mac OS X (version 10.11 ou ultérieure).
Changement des noms de fichiers: Les fichiers chiffrés comportent l’extension .crypt
Message de demande de rançon: Le fichier de demande de rançon DECRYPT.txt, HOW_TO_DECRYPT.txt ou README.txt est créé sur le bureau de l’utilisateur.
DECRYPTER FINDZIP

Décrypter Globe :
Globe est un ransomware qui a été découvert en Aout 2016. En fonction de la version de Globe, la méthode de chiffrement utilisée est RC4 ou Blowfish.
Changement des noms de fichiers: Les fichiers cryptés affichent l’une des extensions suivantes: « .ACRYPT » « .GSupport[0-9] » « .blackblock » « .dll555 » « .duhust » « .exploit » « .frozen » « .globe » « .gsupport » « .kyra » « .purged » « .raid[0-9] » « .siri-down@india.com » « .xtbl » « .zendrz » ou « .zendr[0-9] »
Message de demande de rançon: Le message de demande de rançon apparait sous forme d’un fichier « How to restore files.hta » ou « Read Me Please.hta »
DECRYPTER GLOBE

Décrypter Legion :
Legion est un ransomware apparu en Juin 2016.
Changement des noms de fichiers: Les fichiers cryptés affichent l’une des extensions suivantes: « ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion » ou « .$centurion_legion@aol.com$.cbf »
Message de demande de rançon: Legion modifie le fond d’écran de votre ordinateur et affiche une fenêtre pop-up vous demandant d’envoyer un Email à une adresse donnée.
DECRYPTER LEGION

Décrypter NoobCrypt :
Changement des noms de fichiers: NoobCrypt ne change pas l’extension de vos fichiers cependant ces fichiers ne peuvent plus être ouvert avec l’application qui leurs est dédiée. (ex. un fichier .txt ne pourra plus être ouvert avec le bloc note).
Message de demande de rançon: Le message de demande de rançon apparait sous forme d’un fichier « ransomed.html »
DECRYPTER NOOBCRYPT

Décrypter SZFLocker :
Changement des noms de fichiers: SZFLocker ajoute l’extension « .szf » à vos fichiers.
Message de demande de rançon: Lorsque vous essayez d’ouvrir l’un de vos fichiers cryptés, un message de rançon apparait (généralement en polonais).
DECRYPTER SZFLOCKER

Décrypter TeslaCrypt :
TeslaCrypt est un ransomware apparaut dès Février 2015.
Changement des noms de fichiers: Les dernières versions de TeslaCrypt ne renomment pas vos fichiers.
Message de demande de rançon: Un message apparait sur votre PC vous demandant de suivre les instructions pour payer la rançon sur l’un des sites suivants: « u24er.ovaarmor.com » « 123d.feustude.at » ou « k234.ascotprue.com »
DECRYPTER TESLACRYPT

Décrypter HiddenTear :
Il s’agit d’un des premiers ransomware open-source hébergé par GitHub en Aout 2015. Depuis, des centaines de versions de HiddenTear ont été produites. HiddenTear utilise le cryptage AES.
Changement des noms de fichiers: Les fichiers cryptés ont l’une des extensions suivantes : .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.
Message de demande de rançon: Après avoir crypté les fichiers, le ransomware affiche la demande de rançon sous la forme d’un fichier : READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML
DECRYPTER HIDDENTEAR

Décrypter Jigsaw :
Jigsaw est un ransomware apparu en Mars 2016. Ce ransomware porte le nom d’un jeu en ligne : The Jigsaw Killer et la plupart des variantes de ce ransomware affichent le message de demande de rançon aux couleurs du jeu.
Changement des noms de fichiers: Les fichiers cryptés ont l’une des extensions suivantes : .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, .gefickt.
Message de demande de rançon: Après avoir crypté les fichiers, le ransomware affiche la demande de rançon sous la forme d’un message incluant un timer expliquant que passé un certain lapse de temps, des fichiers seront supprimés jusqu’au paiement de la rançon.
DECRYPTER JIGSAW

Décrypter Stampado :
Stampado est une souche de ransomware qui utilise l’outil de cryptage AutoIt. Il est apparu en aout 2016. Il continue d’être distribué sur le blacknet ce qui explique la résurgence de nouvelles versions. L’une de ces versions est appelé Philadelphia.
Changement des noms de fichiers: Ce ransomware ajoute l’extension .locked à vos fichiers.
Message de demande de rançon: Une demande de rançon « Your files have been encrypted by Stampado » apparait sur votre écran.
DECRYPTER STAMPADO

Le ransomware qui a chiffré vos fichiers n’apparait pas dans cette liste ?
Avast coopère avec le projet NoMoreRansom, une initiative publique-privée qui a pour objectif de lutter contre les rançongiciels. Elle regroupe toutes les solutions de décryptage de ransomware disponibles. Vous pouvez consulter la liste de l’ensemble des outils de décryptage disponible ici :
https://www.nomoreransom.org/fr/decryption-tools.html
Cette liste est mise à jour régulièrement, dès qu’une solution de déchiffrage est découverte pour un nouveau ransomware.

FAQ Ransomware :

Si je suis attaqué par un ransomware, dois-je payer la rançon ?
Non. Il ne faut en aucun cas, payer la rançon. Cela finance la cybercriminalité, vous expose de futures attaques et ne garantit pas la récupération de vos fichiers.
Si vous êtes attaqué par un ransomware, vous devez isoler l’appareil infecté en le déconnectant d’Internet et du réseau, pour éviter d’infecter vos autres appareils. Ensuite, signalez l’attaque sur cybermalveillance.gouv.fr
Sur les fichiers cryptés, relevez le nom de l’extension qui a été ajouté à vos fichiers lors du chiffrement. A partir du nom d’extension des fichiers cryptés, vous pourrez déterminer le nom du ransomware qui vous a infecté. A partir du nom du ransomware, essayez de vérifier si une solution de décryptage existe et utilisez cet outil de déchiffrement pour nettoyer votre machine et récupérer vos fichiers.
Si aucun outil de déchiffrement n’existe pour votre ransomware, réinitialiser votre PC à son état d’usine en effaçant toutes les données et en restaurant le système d’exploitation à sa configuration d’origine. Ensuite, utilisez vos sauvegardes pour récupérer vos fichiers.

Pourquoi est-ce si compliqué de trouver une solution de décryptage pour un ransomware ?
Les ransomwares utilisent des algorithmes de chiffrement robustes, conçu justement pour ne pas être déchiffrés facilement (AES ou RSA avec des clés très longues). Seuls les hackers disposent de la clé privée qui permet le déchiffrement et sans cette clé, il est très difficile de décrypter leurs algorithmes.
Toutefois, des équipes complètes d’ingénieurs travaillent à temps plein sur le problème pour vous fournir des outils de déchiffrement, même si ces outils ne couvrent pas toutes les variantes de ransomware. C’est pourquoi il est indispensable de se protéger contre les ransomware avec un antivirus qui inclut un bouclier anti-ransomware, comme Avast Premium Security, pour les particuliers et Avast Essential Business Security pour les entreprises.

Qui sont les victimes des ransomwares ?
Tout le monde peut être victime d’un ransomware. Les pirates informatiques ciblent aussi bien les particuliers qui sont peu protégés et les entreprises qui ont des infrastructures les moins sécurisées et qui paient bien souvent les rançons par peur de la mauvaise publicité ou de la divulgation des données de leurs clients sur le Darb Web.
Les ransomwares ciblent aussi les collectivités et les hôpitaux qui ont besoin d’un service continu et qui stockent des données sensibles.

Comment se protéger efficacement contre les ransomwares ?
La première des protections reste l’utilisation d’une suite de sécurité complète qui inclut un bouclier anti-ransomware comme Avast Premium Security, pour les particuliers ou Avast Essential Business Security pour les entreprises.
Assurez-vous de sauvegarder vos données régulièrement et de ne jamais laisser les sauvegardes connectés en permanence. Avast Business Cloud Backup est spécialement conçu pour permettre aux entreprises de récupérer leurs données rapidement en cas d’incident.
Méfiez-vous des pièces jointes et des liens suspects dans vos Emails. Avast inclut dans toutes ses solutions antivirus, le bouclier Email qui bloque les pièces jointes et les Emails malveillants avant qu’ils n’atteignent votre boite Email.
Les ransomwares s’introduisent aussi dans vos appareils via des logiciels qui ne sont pas à jour, c’est la raison pour laquelle il est primordial de conserver vos logiciels à jour. Le Software Updater d’Avast Premium Security automatise la mise à jour des logiciels tiers (Java, Adobe…etc.). Pour les entreprises, Avast a conçu Avast Business Patch Management qui centralise la gestion des correctifs de tous les logiciels de votre parc informatique via une console de gestion centralisée.
Enfin, pensez à sensibiliser vos utilisateurs aux risques cyber. Notre blog Avast regorge d’informations utiles sur les différentes menaces de cybersécurité que vous pouvez rencontrer, comment les détecter et comment s’en protéger.