en cliquant ici

CryptoHost : le ransomware qui verrouille vos
données dans une archive RAR
http://www.logitheque.com/articles/cryptohost_le_ransomware_qui_verrouille_vos_donnees_dans_une_archive_rar_
1175.htm
Pas une semaine ne passe sans qu’un nouveau ransomware ne fasse son apparition. Un fléau
difficile à endiguer puisque ces rançongiciels et leurs clés de chiffrement sont de plus en plus
aboutis. Pour autant, les chercheurs et développeurs ne chôment pas et parviennent à
élaborer des solutions ciblées qui permettent aux victimes de ce genre de logiciels
malveillants de récupérer leurs données sans avoir à payer. C’est le cas pour CryptoHost, qui
déplaçait vos fichiers dans des archives RAR verrouillées.
CryptoHost : un ransomware pas comme les autres
Il se fait passer généralement pour le logiciel P2P uTorrent et se télécharge souvent sous le nom de de
uTorrent.exe pour gruger les utilisateurs. Il suffit de cliquer sur l'exécutable pour se faire avoir.
Contrairement à la plupart des ransomwares, CryptoHost connu également sous le nom de
Manamecrypt ne chiffre pas directement vos fichiers. Il opère tout simplement en déplaçant vos fichiers
dans une archive au format RAR protégée par un mot de passe.
Le logiciel malveillant s’installe le plus souvent CryptoHost est capable de cibler jusqu’à 34 types de
fichiers (doc, .docx, .pdf, .txt, .ppt, .pps, .pptx, .wps, .jpeg, .mp4, etc.) autant dire qu’il a le choix parmi
vos images, vos vidéos et vos documents. Il va déplacer vos fichiers dans une archive verrouillée située
dans le dossier C:\Users\Nom d’utilisateur\AppData\Roaming. Il affichera par la suite trois messages
différents sur votre bureau en vous précisant de régler la somme de 0.33 Bitcoins (environ 120 euros)
pour récupérer vos données.
Récupérer les fichiers verrouillés par CryptoHost
Une équipe de recherche composée de Michael Gillepsie, MalwareForMe, MalwareHunterTeam et enfin
Bleeping Computer a découvert le moyen de récupérer ses données en déverrouillant l’archive sans
payer cette fameuse rançon.
L’équipe révèle que le ransomware combine le numéro d’identification du processeur, le numéro de
série de carte mère ainsi que celui du disque « C:\ » pour générer un algorithme de cryptographie. C’est
cet algorithme qui est utilisé pour nommer l’archive RAR verrouillée. Par conséquent personne ne
possède le même mot de passe. Mais pas de panique, votre mot de passe correspond tout
simplement au nom de l’archive combiné à votre nom d’utilisateur. Un petit exemple et ce sera plus
clair :
Si votre archive se nomme "9876543210FEDCBA01234" et que votre nom d’utilisateur c’est « Michel »,
votre mot de passe est le suivant : 9876543210FEDCBA01234Michel.
Avant de rentrer votre mot de passe, pensez à stopper le processus de CryptoHost en passant par
votre gestionnaire de tâche (accessible en faisant CTRL + ALT + Suppr). Dans la liste des processus
vous trouverez « CryptoHost.exe », il vous suffira de faire un clic-droit sur le processus et de choisir
l’option « arrêter le processus ».
Image provenant de Bleeping Computer
Il faudra bien évidemment procéder à la suppression de CryptoHost par la suite en supprimant le
fichier suivant :
C:\Users\Nom d’utilisateur\AppData\Roaming folder\cryptohost.exe.
Vous pouvez également supprimer la clé de registre correspondante en passant par votre éditeur de
registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software%AppData%\cryptohost.exe
La plupart des antivirus sont désormais capables de supprimer le fichier avant sont installation avec
leurs dernières signatures. Ils ne le pouvaient pas auparavant car une fois qu’il avait infecté la machine,
le ransomware bloquait automatiquement le processus d’exécution de l’antivirus.
Pour prévenir ce genre de mésaventure, soyez très prudent lorsque vous téléchargez des fichiers sur le
web, renseignez-vous sur les sources et munissez-vous d’outils de protection et de désinfection.