Comment éliminer le ransomware CoinVault et restaurer vos fichiers ?

14 Avr 2015

Dans la plupart des cas, lorsque vous êtes victime d’un ransomware, vous êtes dans l’incapacité d’agir. Heureusement que de temps à autre, la police et les entreprises de cybersécurité arrivent à freiner les serveurs de commande et de contrôle de ces ransomwares pour en extraire des informations. Ces informations sont très utiles dans la mesure où elles contribuent à la création d’outils de déchiffrage et à la récupération des fichiers des utilisateurs. Récemment, la cyberpolice néerlandaise et Kaspesky Lab ont mis au point une solution pour les victimes de CoinVault.

coinvault-logo

Si vous souhaitez vous informer d’avantage sur CoinVault, vous pouvez consulter notre rapport détaillé Securelist. Si vous êtes intéressé par la façon dont nous avons créé une solution de déchiffrage, vous pouvez vous référer à notre très complet blogpost. Enfin, si vous êtes à la recherche d’instructions pouvant vous aider à vous débarrasser de ce ransomware et à récupérer vos fichiers, regardez ce qui suit et mettons-nous au travail.

Étape 1: Êtes-vous infecté par un CoinVault?

Assurez-vous dans un premier temps de savoir si vos fichiers ont été volés par CoinVault et non pas par n’importe quel autre ransomware. Ceci est très facile à déterminer : si vous êtes infecté par CoinVault, vous verrez une image comme celle qui suit :

convault-decryption-1

Étape 2: Obtenez l’adresse du portefeuille Bitcoin

En bas à droite du CoinVault, vous verrez l’adresse du portefeuille Bitcoin (celle-ci est marquée par une ellipse noire sur l’image ci-dessus). Il est très important pour vous de copier et de sauvegarder cette adresse !

Étape 3: Obtenez la liste des fichiers chiffrés

Dans le coin, en haut, à gauche de la fenêtre du malware, vous pourrez voir « View encrypted filelist » (marquée par une ellipse bleue sur l’image ci-dessus). Cliquez dessus et sauvegardez le document obtenu dans un fichier.

Étape 4: Éliminez CoinVault

Dirigez-vous sur https://kas.pr/kismd-cvault et téléchargez la version d’essai gratuite de Kaspersky Internet Security. Installez-la et cela éliminera CointVault de votre système. Assurez-vous d’avoir bien sauvegardé toutes les informations décrites et évoquées dans les étapes 2 et 3.

Étape 5: Visitez https://noransom.kaspersky.com

Sur https://noransom.kaspersky.com vous devrez rentrer l’adresse du portefeuille Bitcoin mentionné dans l’étape 2. Si votre adresse de portefeuille Bitcoin est connue, le IV ( » Initialization Vector « ) et la clé de déchiffrage apparaitront sur l’écran. Sachez cependant que plusieurs clés et IV peuvent apparaitre. Dans ce cas, veillez à sauvegarder toutes les clés et les IV de votre ordinateur car vous en aurez besoin par la suite.

coinvault-decryption-2

Étape 6: Téléchargez l’outil de déchiffrage

Téléchargez l’outil de déchiffrage sur https://noransom.kaspersky.com et exécutez-le sur votre ordinateur. Si un message d’erreur apparait (comme vous le voyez ci-dessous), rendez-vous à l’étape 7. Si aucun message d’erreur n’apparait, passez l’étape 7 et allez directement à l’étape 8.

coinvault-decryption-3

Étape 7: Téléchargez et installez des bibliothèques logicielles supplémentaires

Allez sur http://www.microsoft.com/en-us/download/details.aspx?id=40779 et suivez les instructions de la page Web. Ensuite, installez le logiciel.

Étape 8: Démarrez l’outil de déchiffrage

Démarrez l’outil et vous verrez apparaitre à l’écran comme ci-dessous :

coinvault-decryption-4

Étape 9: Testez si le déchiffrage fonctionne correctement

Lorsque vous lancez l’outil pour la première fois, nous vous conseillons fortement de faire le test de décryptage qui consiste à effectuer la démarche suivante :

 Cliquez sur « Select file » dans « Single File Decryption » et sélectionnez un fichier que vous souhaitez déchiffrer .
 Entrez l’IV (initialization vector) de la page Web dans le champ « Enter IV ».
 Entrez la clé de la page Web dans le champ « Key ».
 Cliquez sur « Start ».

À présent, vérifiez si le nouveau fichier créé a été déchiffré correctement.

Étape 10: Déchiffrez tous les fichiers volés par CoinVault

Si tout s’est déroulé correctement lors de l’étape 9, vous pourrez ensuite récupérer tous vos dossiers un par un. Pour cela, sélectionnez la liste des fichiers (étape 3), entrez l’IV et la clé puis cliquez sur « Start ». Vous pouvez sélectionner « Overwrite encrypted file with decrypted contents » si vous le souhaitez.

Si vous recevez plusieurs IV et plusieurs clés lorsque vous entrez l’adresse du portefeuille Bitcoin, soyez vigilants. Nous ne sommes pas sûrs à 100% de la provenance des multiples IV et clés de chaque portefeuille Bitcoin. C’est pourquoi dans ce cas, nous vous recommandons fortement de décocher la case  » Overwrite encrypted file with decrypted contents « . Si l’opération ne s’effectue pas correctement pour le déchiffrage, vous pouvez tenter une autre paire IV+clé jusqu’à ce que le fichier en question soit déchiffré avec succès.
Si vous ne recevez pas d’IV et de clé, vous devrez attendre et visiter de nouveau https://noransom.kaspersky.com. L’enquête se poursuit, et nous ajouterons de nouvelles clés dès que celles-ci seront disponibles.