Le chercheur en sécurité BloodDolly vient de découvrir un nouveau crypto-Ransomware appelé Alpha Ransomware.

 

Alpha Ransomware ou Alfa Ransomware à été crée par les développeurs de Cerber.
Actuellement les fichiers chiffrés par Alfa Ransomware ne sont pas décryptables.
Il utilise deux noms différents dans la demande de rançon et le site de paiement TOR, il aura le nom de « Alpha Ransomware« .
Alors que dans le site de paiement de TOR, on y trouvera le nom de « Alfa Decryptor » avec son logo personnalisé.

 

 

Alfa Ransomware

 

Alfa Ransomware-2

 

 

Pour le décryotage de vos fichiers , vous réclame 1.5 Bitcoin = 969.618 USD ou 876.926 €

 

BitcoinsRansomware-013

 

 

Alpha Ransomware ou Alfa Ransomware va scanner tous les lecteurs locaux et crypter les fichiers en y ajoutant l’extension .bin.

 

Les types de fichiers ciblés par Alpha Ransomware sont:

 

.c, .h, .m, .ai, .cs, .db, .nd, .pl, .ps, .py, .rm, .3dm, .3ds, .3fr, .3g2,
.3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .cdr, .cer, .cpp, .cr2, .crt,
.crw, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml,
.eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max,
.mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .nef, .nk2, .nrw, .oab,
.obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab,
.pas, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst,
.ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .rw2,
.rwl, .sql, .sr2, .srf, .srt, .srw, .svg, .swf, .tex, .tga, .thm, .tlg, .txt,
.vob, .wav, .wb2, .wmv, .wpd, .wps, .no, .xlk, .xlr, .xls, .yuv, .back, .docm,
.docx, .flac, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .xlsx

 

 

Il va créer deux Fichiers de demande de rançon appelés:

README HOW TO DECRYPT YOUR FILES.HTML

et

README HOW TO DECRYPT YOUR FILES.TXT que l’on trouve sur le bureau et dans les dossiers Documents.
Ces notes de rançon contiennent des informations sur ce qui est arrivé aux fichiers de la victime, des liens vers les sites de paiement de TOR et d’une victime ID unique qui doit être utilisé pour se connecter au site de paiement.

 

#####################################

Cannot you find the files you need?
Is the content of the files that you looked for not readable?
It is normal because the files’ names, as well as the data in your files have been encrypted.

###########################################

!!! If you are reading this message it means the software
!!! “Alpha Ransomware” has been removed from your computer.

###########################################
What is encryption?
——————-
Encryption is a reversible modification of information for security
reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely
reversible (in other words to have a possibility to decrypt your files)
you should have an individual private key.
But not only it.
It is required also to have the special decryption software
(in your case “Alpha Decryptor” software) for safe and complete
decryption of all your files and data.

############################################

Everything is clear for me but what should I do?
————————————————
The first step is reading these instructions to the end.
Your files have been encrypted with the “Alpha Ransomware” software; the
instructions (“README HOW TO DECRYPT YOUR FILES.TXT” and “README HOW TO DECRYPT YOUR FILES.HTML”)
in the folders with your encrypted files are not viruses, they will
help you.
After reading this text the most part of people start searching in the
Internet the words the “Alpha Ransomware” where they find a lot of
ideas, recommendations and instructions.
It is necessary to realize that we are the ones who closed the lock on
your files and we are the only ones who have this secret key to
open them.
!!! Any attempts to get back your files with the third-party tools can
!!! be fatal for your encrypted files.
The most part of the third-party software change data within the
encrypted file to restore it but this causes damage to the files.
Finally it will be impossible to decrypt your files.
When you make a puzzle but some items are lost, broken or not put in its
place – the puzzle items will never match, the same way the third-party
software will ruin your files completely and irreversibly.
You should realize that any intervention of the third-party software to
restore files encrypted with the “Alpha Ransomware” software may be
fatal for your files.

####################################

!!! There are several plain steps to restore your files but if you do
!!! not follow them we will not be able to help you, and we will not try
!!! since you have read this warning already.

####################################

For your information the software to decrypt your files (as well as the
private key provided together) are paid products.
After purchase of the software package you will be able to:
1. decrypt all your files;
2. work with your documents;
3. view your photos and other media;
4. continue your usual and comfortable work at the computer.
If you understand all importance of the situation then we propose to you
to go directly to your personal page where you will receive the complete
instructions and guarantees to restore your files.

######################################

If you need our help:
1. run your Internet browser (if you do not know what it is run the Internet Explorer);
2. enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button “Connect” (if you use the English version);
7. a normal Internet browser window will be opened after the initialization;
8. type or copy the address in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
11. enter your personal key:
12. press ENTER;
If you have any problems during installation or operation of Tor Browser,
please, visit https://www.youtube.com/ and type request in the search bar
“install tor browser windows” and you will find a lot of training videos
about Tor Browser installation and operation.
If TOR address is not available for a long period (2-3 days) it means you
are late; usually you have about 2-3 weeks after reading the instructions
to restore your files.

#######################################

Additional information:
You will find the instructions for restoring your files in those folders
where you have your encrypted files only.
The instructions are made in two file formats – HTML and TXT for
your convenience.
Unfortunately antivirus companies cannot protect or restore your files
but they can make the situation worse removing the instructions how to
restore your encrypted files.
The instructions are not viruses; they have informative nature only, so
any claims on the absence of any instruction files you can send to your
antivirus company.

########################################

Alpha Ransomware Project is not malicious and is not intended to harm a
person and his/her information data.
The project is created for the sole purpose of instruction regarding
information security, as well as certification of antivirus software for
their suitability for data protection.
Together we make the Internet a better and safer place.

#########################################

If you look through this text in the Internet and realize that something
is wrong with your files but you do not have any instructions to restore
your files, please, contact your antivirus support.

#########################################

 

 

Les sites de paiement actuels TOR pour la Alfa Ransomware sont http://alfadecrfgqkcw6m.onion et http://2uxzf2mxe23f3clc.onion.

Alpha Ransomware va également créer un autorun pour l’exécutable afin qu’il démarre à chaque fois qu’un utilisateur se connecte à Windows.
Celui-çi appelé MSEstl et l’exécutable seront situés dans %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe.

Le Ransomware supprimera les Shadow Copy sur le PC de la victime afin qu’elle ne puisse les utiliser pour récupérer leurs fichiers cryptés.

 

 

En attendant vous pouvez désinfecter le PC

 

 

ZHPDiag de Nicolas Coolman

* Télécharger ZHPDiag (de Nicolas coolman) sur votre bureau !!

* Cliquer Dessus >> ZHPDiag

* Une fois le téléchargement achevé,

* Double clique sur sur le logo de ZHPDiag.exe.

qui se trouve sur ton bureau »

* /!\Utilisateurs de Windows 10 / Windows 8.1 /Windows 8 / Windows 7/ Windows Vista.

Faites un clic droit sur le logo de ZHPDiag.exe.

qui se trouve sur ton bureau « exécuter en tant qu’Administrateur »

* La fenêtre de Contrôle de Compte Utilisateur s’ ouvre >> « Voulez-vous autoriser le programme…. » ,

* Cliquez sur Scanner

 

 

ZHPDiag Juin 2016-

 

* L’analyse se lance alors

* Important >> Pendant l analyse de ton PC par ZHPDiag ne toucher à plus rien !!!!!

Même si c ‘est marqué  » Message ( Ne réponds pas ) attendez

* Enregistrer le rapport sur votre Bureau

* Hébergez le rapport ZHPDiag.txt

Copier/coller ce lien dans votre message

 

 

ou

 

 

Farbar Recovery Scan Tool

Version pour Windows 64 Bits

 

* Téléchargez Farbar Recovery Scan Tool sur votre bureau pas ailleurs

A télécharger ici => Farbar Recovery Scan Tools 64 Bits

* Utilisateurs Windows 10/ Windows 8.1 /Windows 8 / Windows 7/ Windows Vista> Clic droit sur le Fichier FRST64.exe

choisir >>  » Exécuter en tant qu’administrateur » pour le lancer

* La fenêtre s’ ouvre

laissez les cases cochées par défaut

* si vous avez la fenêtre  » clause de non-responsabilité  » => cliquez sur Oui.

 

 

FRST termes

 

* Clique sur le bouton => Analyser

 

FRST

 

 

* Deux rapports FRST.txt et Addition.txt vont être générés sur ton bureau.

* Héberge les rapports

* Copier/coller les liens des rapports !!!
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

Farbar Recovery Scan Tool

Version pour Windows 32 Bits

* Téléchargez Farbar Recovery Scan Tool sur ton bureau pas ailleurs

A télécharger ici => Farbar Recovery Scan Tools 32 Bits

 

* Utilisateurs Windows XP => Double-clic sur le Fichier FRST.exe
* Utilisateurs Windows 10/ Windows 8.1 /Windows 8 / Windows 7/ Windows Vista -> Clic droit sur le Fichier FRST.exe

Choisir >>  » Exécuter en tant qu’administrateur  » pour le lancer

* La fenêtre s’ ouvre

laisse les cases cochées par défaut

* si tu as le message « Disclaimer of warranty » => clique sur Oui.

* Clique sur le bouton => Analyser

 

 

FRST

 

 

* Deux rapports FRST.txt et Addition.txt vont être générés sur ton bureau.

* Héberge les rapports

* Poste les liens des rapports !!!

 

 

Autres Outils à utiliser par aprés

 

Télécharger Malwarebytes
A télécharger ici => Malwarebytes

 

 

Malwarebytes Anti-Malware-13

 

 

Pour l’instant il n’y a pas de solutions pour le Décryptage.
Pour le décryptage des Fichiers vous pouvez tenter:

 

Vous pouvez tenter de Restaurer les Versions précédentes de fichiers

avec ShadowExplorer.

 

Tout d’abord:
Il faut s’assurer que le programme de cryptage ne tourne plus.
L’arrêt du PC stoppe le cryptage
Celui-çil est lié à un lancement manuel d’une macro dans un fichier word.

 

Dans un premier temps afficher les fichiers et dossiers cachés

 

 

Shadow explorer va vous permettre d’accéder à ces points de restauration et de farfouiller dedans pour restaurer celui que vous voulez.

 

Dans Shadow Explorer, vous choisissez le volume, la date du point de restauration puis une fois que vous avez localisé votre fichier, il n’y a plus qu’à faire un clic droit dessus et exporter.

 

Téléchargement => Téléchargement ShadowExplorer

Compatible Windows 10/ Windows 8.1 – 8 / Windows 7 / Windows Vista

 

Version portable (zip) => Version Portable ShadowExplorer

 

Exemple ici avec la version Portable

Prenez la version Portable

 

 

ShadowExplorer-1

 

 

Extraire et allez dans le dossier

 

 

ShadowExplorer-2

 

 

Lancez Shadowexplorer
Clic droit => Exécuter en tant qu’administrateur

 

 

ShadowExplorer-3

 
l’ outil s’ouvre sur l’arborescence du disque dur.

 

 

ShadowExplorer-4

 

La fenêtre principale s’ouvre,
Elle permet de choisir le disque dans une liste déroulante ou plusieurs points de restauration en fonction de la date.

Dans le premier onglet vous pouvez choisir la partition à explorer.
Le deuxième onglet vous propose tous les points de sauvegarde disponibles triés par Dates et heures.

 

 

ShadowExplorer-5

 
Sélectionnez le point de sauvegarde qui vous intéresse
Recherchez le fichier à restaurer.
cliquez droit dessus => choisissez Export ou (Exporter).

 

 

ShadowExplorer-6

 

 

ShadowExplorer-7

 
Sélectionnez le répertoire où enregistrer le fichier à restaurer.
Si le fichier ou dossier existe déjà dans la destination il est demandé une confirmation de remplacement.
Si vous ne voulez pas le remplacement,
répondez No
Choisissez une autre destination (recommandé).
L’ ancienne version de fichier est restaurée.

 

Une fois terminé, cacher à nouveau les les fichiers et dossiers

 

ou essayez avec

 

 

PhotoRec

Ici=> PhotoRec

 

PhotoRec-0

 

PhotoRec-3

 

 

ou

 

 

R-Studio

Ici => R-Studio

 

R-Studio-00

 

R-Studio-2

 

 

ou

 

 

Recuva

Ici => Recuva

 

 

Quelques Conseils:

Sauvegardez régulièrement vos fichiers/Docs sur un service de stockage en ligne,
ou sur un support externe et non connecté en permanence au réseau.
Utiliser un Antivirus et un Système d’exploitation à jour.
Ne pas cliquer sur des liens trop attreyants.
Afficher les extensions des fichiers sur le(s) PC.
Ne cliquer que sur des programmes dont vous avez confiance.
Revoir les droits sur les partages de fichiers
Droits non admin sur les postes des utilisateurs
Ne rester pas connecté de façon permanente, juste le temps nécessaire.
Restreindre les droits d’accès en écriture.
N’autorisez pas les macros dans des documents joints reçus par emails.
Ou n’activez les macros dans vos outils bureautiques.

 

 

VIRUS-3-1 !!.

 

 

 

Si le Site vous a aider dans la résolution de votre problème et si vous souhaitez le remercier,

Vous avez la possibilité de faire un don afin de l’encourager dans ses démarches.

Utilisez le bouton çi-dessous


Vous avez la possibilité de faire un don

 

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

Recopier le çi- dessous
captcha