Le nettoyage d’un ordinateur victime d’un rançongiciel peut parfois être très complexe. Il est donc essentiel de se prémunir contre ces attaques en protégeant son ordinateur. Enfin, il ne faut jamais oublier qu’un virus informatique peut être associé à d’autres malveillances, il sera donc toujours important de rechercher tous les virus qui peuvent être présents et ensuite de modifier ses mots de passe en ligne. Les conseils donnés ici font référence à différents outils qui ont été testés dans ces situations, tous sont accessibles gratuitement. Vous pouvez la plupart du temps obtenir de l’aide auprès de la société qui publie votre antivirus. Vous trouverez aussi une page listant différents outils de sécurité qui peuvent vous être utiles dans ces situations. Voici une procédure générique qui va vous permettre de désinfecter votre ordinateur des rançongiciels. Cette procédure est divisée en trois sous-procédures, selon la version du rançongiciel auquel vous êtes confronté :
Désinfection en mode sans échec – certains rançongiciels empêchant le redémarrage en mode sans échec, celle-ci ne fonctionne pas systématiquement.
Restauration du système (sans perte de données) depuis la ligne de commandes en mode sans échec.
Désinfection en démarrant sur un cédérom de secours (ou clef USB).
Attention: Ces opérations peuvent être compliquées pour un simple usager de l’outil informatique, n’hésitez pas à demander de l’aide à des personnes qui seraient plus à l’aise que vous, et en entreprise ou dans les administrations, il est indispensable de faire appel aux personnels spécialisés. Vous pouvez chercher de l’assistance sur les forums d’entraide animés par nos partenaires et d’autres acteurs de la sécurité sur Internet. Pensez à sécuriser par la suite votre ordinateur, ce dernier étant vulnérable à de nouvelles infections. Procédure 1 : désinfection en mode sans échec Vous pouvez suivre la procédure suivante en mode sans échec:
Redémarrage en mode sans échec, pour cela :
Redémarrer l’ordinateur, et avant le logo Windows,…
Tapoter sur la touche F8, un menu va apparaître.
Choisir Mode sans échec avec prise en charge du réseau et appuyer sur la touche entrée du clavier. (Si le redémarrage en mode sans échec ne fonctionne pas, passez à la procédure 2).
Une fois en mode sans échec:
Suppression des éléments malicieux via RogueKiller:
Télécharger RogueKiller : [Vous devez être inscrit et connecté pour voir ce lien]
Après le pre-scan, Lancer un Scan en cliquant le bouton Scan à droite
Le bouton Suppression devrait être dégrisé. Cliquez dessus afin de supprimer les éléments détectés.
Supprimer les éléments malicieux avec Malwarebyte’s Anti-Malware :
Télécharger et installer Malwarebyte’s Anti-Malware
Mettre à jour
Faire un scan rapide
Supprimer toutes les détections en cliquant sur le bouton Supprimer Sélection.
Redémarrer l’ordinateur, si le rançongiciel ne se lance plus, c’est gagné.
Vous n’avez plus qu’à sécuriser votre ordinateur. Procédure 2 : Restauration du système en invite de commandes en mode sans échec Cette procédure consiste à lancer une restauration du système en invite de commandes en mode sans échec. La restauration du système restaure une image du système antérieure, vous ne perdez aucune donnée. Windows XP
Redémarrer en mode sans échec, pour cela :
Redémarrer l’ordinateur, avant le logo Windows,…
Tapoter sur la touche F8, un menu va apparaître.
Choisir Invite de commandes en mode sans échec et appuyer sur la touche entrée du clavier. (Si le redémarrage en mode sans échec ne fonctionne pas, passez à la procédure suivante).
Une fois en mode sans échec et l’invite de commandes affichée, saisir les commandes suivantes en validant par entrée:
cd %windir%
cd system32
cd restore
rstrui.exe
Laissez-vous guider dans la restauration du système, en sélectionnant une date de restauration antérieure à l’infection.
Windows Vista/Seven
Redémarrer en mode sans échec, pour cela:
Redémarrer l’ordinateur, avant le logo Windows,…
Tapoter sur la touche F8, un menu va apparaître.
Choisir Invite de commandes en mode sans échec et appuyer sur la touche entrée du clavier. (Si le redémarrage en mode sans échec ne fonctionne pas, passez à la procédure suivante).
Laissez-vous guider dans la restauration du système, en sélectionnant une date de restauration antérieure à l’infection.
[Vous devez être inscrit et connecté pour voir cette image] Windows Seven : Restauraton du système au démarrage Dans le cas de Windows Seven, Il est possible de lancer une restauration du système au démarrage de l’ordinateur. Note : si vous avez déjà tenté une restauration du système en ligne de commandes en mode sans échec – paragraphe précédent – et que la restauration du système n’a pas fonctionné, cela ne sert à rien de tenter par cette option.
Redémarrer l’ordinateur, et avant le logo Windows,…
Tapoter sur la touche F8, un menu va apparaître.
Dans le menu, sélectionner l’option Réparer l’ordinateur.
Un nom d’utilisateur et mot de passe sont à fournir [Vous devez être inscrit et connecté pour voir cette image].
Le menu d’options de récupération système s’ouvre.
Sélectionner Restaurer le système.
Laissez-vous guider dans la restauration du système, en sélectionnant une date de restauration antérieure à l’infection.
Après restauration Si la restauration a fonctionné, vous devriez être débarrassé du rançongiciel. Il est tout de même conseillé de scanner son ordinateur afin de supprimer d’éventuelles autres infections. Vous pouvez le faire avec Malwarebyte’s Anti-Malware. Enfin sécurisez votre ordinateur, ce dernier est encore vulnérable et peux être à nouveau infecté en surfant. Procédure 3 : Désinfection par CD Live Windows Unlocker depuis le CD Live « Kaspersky Rescue Disk » est aussi une solution. Celle-ci consiste à démarrer sur un système alternatif afin d’avoir accès aux fichiers Windows et supprimer les éléments malicieux. Le principe est de :
Graver le fichier image (ISO) du CD Live « Kaspersky Rescue Disk » avec un logiciel de gravure : [Vous devez être inscrit et connecté pour voir ce lien]
Booter dessus (démarrer dessus), se reporter à la page suivante : [Vous devez être inscrit et connecté pour voir ce lien]
Redémarrer l’ordinateur et changer la séquence de démarrage [Vous devez être inscrit et connecté pour voir ce lien] afin de démarrer sur le CD et non sur Windows.
Notez qu’il est possible de mettre l’ISO sur une clef USB, dans le cas où vous n’avez pas de lecteur CD-Rom :
Procédure Kaspersky : [Vous devez être inscrit et connecté pour voir ce lien]
Procédure Malekal : [Vous devez être inscrit et connecté pour voir ce lien]
Une fois que vous êtes sur le CD Live Kaspersky Rescue Disk, suivez la procédure suivante pour supprimer les rançongiciels:
Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification. (Dans l’exemple ci-dessous : C:\Documents and Settings\Mak\Application Data\flint4ytw.exe) Si aucune ligne suspicious modification n’est affichée, alors aucun élément malicieux n’a été supprimé.
[Vous devez être inscrit et connecté pour voir cette image] En vidéo:
Rédigé avec l’appui technique du forum Malekal.com
tu as oublier de preciser qu'une fois qu'on a fait une restauration systeme il faut desactive cette fonction 1 Mn et la remettre en route de maniere a avoir un nouveau point de restauration nickel