Virus RSA-4096-Un nouveau ransomware

Décembre 2016

Le virus RSA-4096 est un malware de la catégorie Ransomware ou rançongiciels, il s'agit même d'un crypto-ransomware puisqu'il va chercher à prendre en otage vos documents et vous réclamer de payer une rançon afin de récupérer l'accès à ces derniers.
Ces malwares contrairement à certains Trojans vicieux sont particulièrement visibles puisqu'ils :
  • vont modifier l'extension des documents chiffrés (cryptés) et rendre leur ouverture impossible.
  • ouvrir un fichier instruction en format texte, image ou page WEB souvent au démarrage de l'ordinateur.





Qu'est-ce- que le virus RSA-4096

Il s'agit donc d'un crypto-ransomware, il s'agit purement exhortation numérique par la prise en otage de vos données numérique.

Celle-ci se fait par un chiffrement (ou cryptage en langage commun) des documents contenues sur l'ordinateur infecté.
Contrairement à ce qui est indiqué l'algorithme utilisé n'est pas RSA mais AES.
Le nom du malware "Virus RSA 4096" du message d'instruction laissé par cette infection.


En réalité, il existe deux familles de virus RSA 4096 différents laissant le même type de message :
  • TeslaCrypt RSA 4096 : qui sévit depuis Décembre 2015 via des emails malicieux et des WebExploits.
  • CryptXXX RSA 4096 : apparu en Avril 2016, ce dernier va exclusivement par des WebExploits.




La page suivante du site malekal.com décrit plus précisément les différences entre les deux familles : Le virus RSA 4096.

TeslaCrypt - RSA 4096

TeslaCrypt RSA 4096 se caractérise par des extensions du type .mp3, .jpg etc et des fichiers instructions du type -!RecOveR!-xxxxx
Les extensions et noms de fichiers changent tous les moits.

TeslaCrypt RSA 4096 place un fichier dans le dossier Document et une clef Run pour lancer ce dernier.

HKU\S-1-5-21-2310232938-1367323299-4047050468-1001\...\Run: [bssimgkyvmuw] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Marie-Monique\Documents\bwrdbkxohoos.exe"

CryptXXX RSA 4096

Si Windows a été infecté par CryptXXX RSA 4096, les documents chiffrés (cryptés) ont pour extension .crypt
CryptXXX s'installe dans le système à partir d'un fichier .DLL qui se charge au démarrage de Windows.
CryptXXX a aussi des fonctionnalités de stealer, c'est à dire qu'il est aussi capable de voler les mots de passe contenus dans l'ordinateur.

Supprimer le virus RSA 4096

Vous pouvez tenter une désinfection Malwarebytes Anti-Malware qui est assez efficace.
Si vous pensez que votre ordinateur est encore infecté ou si vous désirez simplement effectuer une inspection virale, vous pouvez demander une vérification dans la partie Virus du forum et sécurité : Virus et Sécurité.

Il est fortement conseillé avant d'utiliser des documents sur l'ordinateur de désinfecter celui-ci.
Malheureusement, la récupération des documents chiffrés par le virs RSA-4096 est impossible, vous devrez remettre en place une sauvegarde.

Après le virus RSA 4096

Comme expliqué plus haut, certaines familles peuvent voler les mots de passe après désinfection, il est fortement recommandé de changer tous ces mots de passe WEB.

Ces ransomwares RSA 4096 sont distribués par deux méthodes distincts.
  • des emails malicieux : Vous avez ouvert un fichier zip piégé.. soyez plus vigilant, vous pouvez aussi vous protéger des scripts malicieux et Trojan.Javascript en bloquant les scripts sur Windows : Comment se protéger des scripts malicieux sur Windows
  • WebExploit : si c'est cette méthode, certains logiciels et notamment plugins (Java, Adobe Flash) ne sont pas à jour et votre ordinateur est vulnérable. Pensez à maintenir vos logiciels à jour.


De manière générale, pour sécuriser Windows, vous pouvez suivre l'astuce : Sécuriser Windows et son ordinateur.

A voir également :

Ce document intitulé «  Virus RSA-4096-Un nouveau ransomware  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.