Comment récupérer les fichiers du ransomware .Kvag ?

Question

Problème: Comment récupérer les fichiers du ransomware .Kvag ?

Aidez-moi, s'il vous plaît. Aujourd'hui, j'ai découvert que je ne pouvais ouvrir aucun de mes fichiers sur le PC, y compris les photos qui sont très importantes pour moi. Il semble que chaque fichier soit remplacé par une icône vide et que la fin du fichier soit devenue .kvag. Qu'est-ce que c'est? Est-il possible de récupérer mes fichiers ?

Résolu réponse

Si vos fichiers ont été ajoutés avec l'extension .kvag, votre ordinateur a été infecté par ARRÊTER/Djvu ransomware. Les virus ransomware sont parmi les plus dévastateurs à l'état sauvage, car ils verrouillent toutes les données personnelles telles que les images, les vidéos, la musique, la base de données et autres. Alors que d'autres logiciels malveillants peuvent être éliminés avec succès avec un logiciel antivirus sans conséquences majeures, les fichiers cryptés par ransomware restent verrouillés.

Le logiciel de rançon STOP a été lancé pour la première fois en décembre 2017 par des cybercriminels inconnus et est resté l'une des familles de logiciels malveillants les plus importantes au monde. Au moment de la rédaction, plus de 150 variantes de ce ransomware existent, Kvag étant l'un des derniers.

Les données sont verrouillées à l'aide d'AES^[1] – algorithme de chiffrement symétrique. Cela signifie qu'une clé secrète est utilisée pour verrouiller tous les fichiers, puis envoyée à un centre de commandement et de contrôle.^[2] serveur qui est sous le contrôle des pirates informatiques derrière le ransomware Kvag. Pour déchiffrer les fichiers, les utilisateurs ont besoin de la clé que détiennent les acteurs malveillants et, bien entendu, ils ne sont pas disposés à l'abandonner gratuitement.

Apprenez à récupérer des fichiers cryptés par le ransomware Kvag

Les développeurs de ransomware Kvag demandent une rançon en monnaie numérique Bitcoin – généralement 980 $. Cependant, pour gagner la confiance des utilisateurs, ils offrent également une remise de 50 % si le contact est établi dans les 72 heures suivant l'infection. Voici l'extrait de la demande de rançon _readme.txt qui est déposé dans chacun des dossiers contenant les fichiers cryptés :

Le prix de la clé privée et du logiciel de décryptage est de 980 $.
Remise de 50% disponible si vous nous contactez dans les 72 premières heures, le prix pour vous est de 490 $.
Veuillez noter que vous ne restaurerez jamais vos données sans paiement.
Vérifiez votre e-mail dans le dossier « Spam » ou « Courrier indésirable » si vous n'obtenez pas de réponse plus de 6 heures.
Pour obtenir ce logiciel, vous devez écrire sur notre e-mail :
[email protégé]

Le paiement d'une rançon est fortement déconseillé, car la possibilité d'être victime d'une arnaque reste élevée. Les escrocs n'ont pas à vous envoyer la clé requise après votre paiement, car ils ont déjà reçu leur argent. Au lieu de cela, vous pouvez essayer des solutions alternatives sur la façon de décrypter les fichiers cryptés par le ransomware Kvag - nous les fournissons ci-dessous.

Contrairement aux logiciels malveillants furtifs, les ransomwares ne cachent pas leur présence et ne touchent aucun fichier vital pour le système d'exploitation, car son objectif est l'extorsion d'argent plutôt que la corruption du système d'exploitation ou des données vol. Néanmoins, le ransomware Kvag peut injecter plusieurs modules dans le PC - ceux-ci peuvent espionner les activités du navigateur Web des utilisateurs et voler des informations sensibles, y compris les détails de la carte de crédit.

Cependant, ce n'est pas le seul facteur pour lequel la suppression du ransomware Kvag doit être effectuée dès que possible. Si vous essayez de récupérer des fichiers cryptés alors que la charge utile malveillante ou ses modules sont toujours présents, les fichiers seront cryptés à plusieurs reprises, rendant le processus de récupération inutile.

Note de rançon du virus Kvag

Étant donné que de nouvelles versions comme le virus Kvag sont publiées relativement souvent, tous les moteurs antivirus ne les détectent pas. Néanmoins, à l'heure actuelle, 50 moteurs AV pourraient détecter et éliminer l'infection. Le malware est reconnu sous ces noms :^[3]

• Win32:Ramnit-CC [Trj]
• Cheval de Troie: Win32/CryptInject. BG!VTT
• Troyen. GénériqueKD.32452318
• Troyen. Une rançon. Arrêter
• TROJ_GEN.R002C0OIE19
• Troyen. MalPack. GS, etc

Une fois que vous vous êtes assuré que le virus a disparu, vous pouvez procéder à la récupération de fichiers. Alors que les premières versions du ransomware STOP ont été déchiffrées relativement rapidement à l'aide d'outils personnalisés d'experts en sécurité, les variantes ultérieures ont été considérablement améliorées par les criminels. De plus, le ransomware Kvag ne peut plus être déchiffré à l'aide de STOPDécrypteur – un outil qui pourrait récupérer les fichiers verrouillés dans certaines circonstances.

Supprimez le ransomware Kvag et le fichier d'hôtes Windows avant de procéder à la récupération de fichier

Comme mentionné ci-dessus, vous devez supprimer le ransomware Kvag pour vous assurer que les fichiers récupérés ne seront pas à nouveau cryptés. Pour cela, nous vous recommandons d'utiliser RéimagerMachine à laver Mac X9 – cet outil peut également restaurer le registre Windows qui a été modifié par des logiciels malveillants.

Le ransomware Kvag est connu pour empêcher les utilisateurs d'accéder aux sites de sécurité pour obtenir des directives en modifiant le fichier des hôtes Windows.^[4] En outre, il peut également interférer avec le logiciel anti-malware lorsque vous essayez de le supprimer. Dans un tel cas, vous devez entrer en mode sans échec avec mise en réseau et effectuer une analyse complète du système :

• Faites un clic droit sur Démarrer et choisissez Réglages
• Cliquer sur Mise à jour et sécurité et sélectionnez Récupération
• Trouver Démarrage avancé rubrique et cliquez sur Redémarrer maintenant ( cette volonté immédiatement redémarrez votre PC) Entrez en mode sans échec si le ransomware Kvag falsifie votre logiciel de sécurité
• Après un redémarrage, sélectionnez Dépannage > Options avancées > Paramètres de démarrage et cliquez Redémarrage
• Une fois le PC redémarré, appuyez sur F5 ou 5 pour accéder Mode sans échec avec réseau

Après avoir éliminé le virus, vous devriez aller à C:\\Windows\\System32\\drivers\\etc sur votre ordinateur et supprimez le hôtes déposer. Kvag a peut-être changé en fichier hosts afin de vous empêcher d'accéder à des sites liés à la sécurité. Supprimer le fichier pour arrêter la fonction

Option 1. Utiliser Data Recovery Pro

Data Recovery Pro est l'un des principaux produits de récupération. Initialement, cette application n'a pas été conçue pour déchiffrer les fichiers cryptés par Kvag ou un autre logiciel de rançon – elle ne possède tout simplement pas une telle fonction. Cependant, il essaie d'atteindre l'emplacement où se trouvait un fichier avant qu'il ne soit modifié et, si aucune nouvelle information n'a été écrit dessus (cela dépend de combien le PC a été utilisé depuis l'infection), Data Recovery Pro pourrait récupérer le copie de travail. Ainsi, le programme pourrait être en mesure de récupérer au moins certaines de vos données de cette façon.

• Télécharger Récupération de données Pro [lien de téléchargement] et lancez le processus d'installation
• Suivez les instructions à l'écran pour finaliser l'installation et double-cliquez sur le raccourci Data Recovery Pro sur votre bureau pour démarrer le programme
• Prendre Option d'analyse complète et sélectionnez Lancer l'analyse (vous pouvez également rechercher des fichiers individuels en fonction de mots-clés)
• Une fois l'analyse terminée, vous pourrez sélectionner les fichiers qui pourraient être récupérables et choisir Récupérer Data Recovery Pro pourrait être en mesure de récupérer au moins certains de vos fichiers

Option 2. ShadowExplorer pourrait être en mesure de récupérer toutes vos données si le ransomware Kvag n'a pas réussi à supprimer les clichés instantanés de volume

ShadowExplorer est une application simple qui peut utiliser des clichés instantanés de volumes pour récupérer des versions saines de fichiers chiffrés par le ransomware Kvag. Cependant, le malware aurait dû échouer lors de la suppression de ces sauvegardes Windows pour que le programme fonctionne efficacement :

• Télécharger ShadowExplorer [lien de téléchargement] et installez-le
• Suivez les instructions à l'écran pour terminer l'installation et cliquez sur le raccourci du programme pour le lancer
• Sélectionnez le lecteur et le dossier que vous souhaitez récupérer
• Faites un clic droit et choisissez Exportation ShadowExplorer pourrait être en mesure de récupérer les fichiers cryptés du ransomware Kvag dans certaines circonstances

Option 3. La fonctionnalité des versions précédentes de Windows pourrait fonctionner si la restauration du système était activée

Cette méthode ne fonctionne que si vous avez activé la restauration du système. Notez que cette méthode vous oblige à récupérer les fichiers cryptés .Kvag un par un, cela peut donc prendre un certain temps :

• Localisez le fichier que vous souhaitez récupérer
• Faites un clic droit dessus et sélectionnez Restaurer les versions précédentes La fonctionnalité des versions précédentes de Windows peut être un moyen lent de récupérer des données - mais parfois c'est peut-être le seul moyen de le faire
• Cliquez sur la version précédente et sélectionnez Restaurer

Option 4. Contactez Dr. Web si vous êtes prêt à payer pour le processus de décryptage

Dr. Web est un éditeur russe de logiciels anti-malware spécialisé dans diverses solutions de sécurité pour les particuliers et les entreprises. La société est également connue pour être activement impliquée dans le développement de décrypteurs de ransomware pour diverses variantes d'arrêt - .DATAWAIT, .INFOWAIT et d'autres ont un outil de travail par Dr. Web.

Le ransomware Kvag, ainsi que d'autres variantes les plus récentes, peuvent être partiellement déchiffrés par Dr. Web. Cependant, seuls les fichiers PDF et MS Office peuvent être récupérés de cette manière (pas d'images ou d'autres fichiers).

L'inconvénient de tout cela est que le service n'est pas gratuit - le pack Rescue coûte 150€. Si vous êtes intéressé, vous pouvez demander le service de décryptage ici. Néanmoins, le service est gratuit pour les utilisateurs qui avaient déjà installé le logiciel Dr. Web avant l'infection par le ransomware Kvag.

Si rien ne fonctionnait…

Si aucune des méthodes ci-dessus n'a fonctionné, il n'existe actuellement aucun autre moyen de récupérer les fichiers cryptés par le ransomware Kvag. Le seul moyen actuellement est de payer la rançon aux pirates et d'espérer qu'ils fourniront réellement un outil de travail. Cependant, sachez qu'on ne peut pas faire confiance aux acteurs de la menace - ils pourraient vous envoyer un exécutable malveillant à la place ou ne plus jamais vous contacter une fois que vous aurez payé la rançon.

À partir de maintenant, vous devez faire une copie de tous les fichiers cryptés et attendre que les chercheurs en sécurité parviennent à trouver des moyens de récupérer les fichiers cryptés par le virus de fichier Kvag, et cela peut prendre un certain temps.

Récupérer automatiquement les fichiers et autres composants du système

Pour récupérer vos fichiers et autres composants du système, vous pouvez utiliser des guides gratuits par des experts ugetfix.com. Cependant, si vous pensez que vous n'êtes pas assez expérimenté pour mettre en œuvre vous-même l'ensemble du processus de récupération, nous vous recommandons d'utiliser les solutions de récupération répertoriées ci-dessous. Nous avons testé chacun de ces programmes et leur efficacité pour vous, il vous suffit donc de laisser ces outils faire tout le travail.

Reimage - un programme de réparation Windows spécialisé breveté. Il diagnostiquera votre PC endommagé. Il analysera tous les fichiers système, DLL et clés de registre qui ont été endommagés par des menaces de sécurité.Reimage - un programme de réparation spécialisé breveté de Mac OS X. Il diagnostiquera votre ordinateur endommagé. Il analysera tous les fichiers système et clés de registre qui ont été endommagés par des menaces de sécurité.
Ce processus de réparation breveté utilise une base de données de 25 millions de composants pouvant remplacer tout fichier endommagé ou manquant sur l'ordinateur de l'utilisateur.
Pour réparer le système endommagé, vous devez acheter la version sous licence de Réimager outil de suppression de logiciels malveillants.

presse