Assiste.com

Rector (Cryptoware - Ransomware) - Décrypter les fichiers cryptés par Rector

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018

29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Rector (Cryptoware - Ransomware) - Comment décrypter les fichiers cryptés par le Cryptoware et Ransomware Rector.

Dossier : Cryptoware - Ransomware

Ransomware (logiciels de demande de rançon)
Cryptowares (logiciels de demande de rançon)
Ingénierie sociale (manipulation mentale)

Synonymes
Virus d'extortion
Cryptovirus d'extorsion
Rançongiciel
Virus Gendarmerie

Origine des attaques
Exploitation d'une faille de sécurité
Flash Player pas à jour
Silverlight pas à jour
Acrobat Reader pas à jour
Java pas à jour
ActiveX pas désactivé
Drive-by download
Cheval de Troie
Faux codecs
Publicités trompeuses
Virus PEBCAK

Contre-mesures
Entretien périodique d'un PC
Mise à jour de tous les plugins
Bloquer tous les mécanismes publicitaires
Eviter les téléchargeurs et installeurs piégés
Malwarebytes Anti-Malware (MBAM) Premium
Cryptomonitor
Cryptoprevent Malware Prevention
Versions précédentes des fichiers

Assimilables aux Ransomwares
DDoS (Distributed Denial of Service)

Rector (Cryptoware - Ransomware)

Rector est un ransomware de type cryptoware et développé et déployé par des cybercriminels.

Rector chiffre (crypte) vos fichiers puis vous demande de payer une rançon pour acheter l'outil de déchiffrement (décryptage) qui vous permettra de retrouver l'usage des fichiers pris en otage.

Reconnaître Rector

Rector chiffre les fichiers utilisateur ayant les extensions .jpg, .doc, .pdf ou .rar.

Rector est développé par un cybercriminel qui utilise le pseudo « ††KOPPEKTOP†† ».

Le message de demande de rançon, par Rector, est en russe (écriture cyrilique).

Les coordonnées affichées de contact du cybercriminel sont :
ICQ : 557973252 ou 481095 ou 550553357
EMAIL : v-martjanov@mail.ru ou rrurururu@mail.ru

Parfois, il apparaît une demande de laisser un message dans le livre d'or de l'un de ces sites :

http://trojan....sooot.cn/
http://malware....66ghz.com/

Un message remplace le bureau de l'ordinateur infecté :

Rector (Cryptoware - Ransomware) (crédit : Kaspersky)

Decrypter Rector sans payer la rançon

Téléchargez l'utilitaire gratuit de Kaspersky : RectorDecryptor.exe

Lancez son exécution

Dans sa fenêtre d'accueil, cliquez sur le bouton Start scan

Une fois le déchiffrement (décryptage) terminé, vous pouvez supprimer les copies cryptées de ces fichiers (extensions .vscrypt, .infected, .bloc, .korrektor, etc. ...) en cochant la case Delete crypted files after decryption dans les paramètres de RectorDecryptor.exe

RectorDecryptor.exe produit un rapport (un journal) de ce qu'il a fait qui, par défaut, se trouve dans un fichier à la racine du disque système utilisé (généralement le disque C:). La syntaxe du nom de ce fichier est : <Nom de l'utilitaire>.<Version>_<Date>_<Heure>_log.txt, ce qui donne, par exemple :
C:RectorDecryptor.2.3.7.0_10.02.2011_15.31.43_log.txt

Cet utilitaire permet quelques paramètres de lancement additionnels, accessibles si on le lance depuis une invite de commande.

-l <nom_du_fichier> : enregistrer le rapport vers un fichier dont on spécifie le nom
-h : afficher la liste des clés disponibles
-fpath <chemin_d'accès_au_dossier> : force RectorDecryptor.exe à ranger tous les fichiers déchiffrés dans le dossier spécifié.

Rector : si le problème persiste

Si l'utilitaire RectorDecryptor n'a pas aidé à déchiffrer les fichiers :

Historique des mises à jour de cette page
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Discussion...

Discussion ? propos de cet article...