Outils gratuits de déchiffrement des ransomware

Vous êtes victime d'un ransomware ? Ne payez pas la rançon !

Nos outils gratuits de déchiffrement des ransomwares peuvent vous aider à récupérer vos fichiers chiffrés par les types de ransomwares suivants . Il vous suffit de cliquer sur un nom pour voir les signes d'infection et obtenir notre correctif gratuit.

Vous souhaitez éviter les futures infections par des ransomwares ?

Téléchargez Avast Antivirus Gratuit.

Alcatraz Locker

Alcatraz Locker est un ransomware signalé pour la première fois à la mi-novembre 2016. Pour le chiffrement des fichiers utilisateurs, ce ransomware utilise le chiffrement AES 256 avec un codage Base64.

Changement des noms de fichiers :

Les fichiers chiffrés possèdent l'extension .Alcatraz.

Message de rançon :

Après avoir chiffré vos fichiers, un message similaire s'affiche (situé dans un fichier « ransomed.html » sur le bureau de l'utilisateur) :

+

Si Alcatraz Locker a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif Alcatraz Locker

Apocalypse

Apocalypse est un type de ransomware identifié pour la première fois en juin 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

Apocalypse ajoute les extensions .encrypted, .FuckYourData, .locked, .Encryptedfile ou .SecureCrypted à la fin des noms de fichiers. (Par exemple, Thesis.doc = Thesis.doc.locked)

Message de rançon :

L'ouverture d'un fichier portant l'extension .How_To_Decrypt.txt, .README.Txt, .Contact_Here_To_Recover_Your_Files.txt, .How_to_Recover_Data.txt ou .Where_my_files.txt (par exemple Thesis.doc.How_To_Decrypt.txt) déclenchera l’affichage d’une variante de ce message :

Télécharger le correctif Apocalypse Télécharger le correctif ApocalypseVM

BadBlock

BadBlock est un type de ransomware identifié pour la première fois en mai 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

BadBlock ne renomme pas vos fichiers.

Message de rançon :

Après avoir chiffré vos fichiers, BadBlock déclenche l'affichage de l'un des messages suivants (depuis un fichier nommé Help Decrypt.html) :

+ +

Si BadBlock a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour BadBlock pour Windows 32 bits Télécharger le correctif BadBlock pour Windows 64 bits

Bart

Bart est un type de ransomware identifié pour la première fois en juin 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

Bart ajoute l'extension .bart.zip à la fin du nom de vos fichiers. (par exemple, Thesis.doc = Thesis.docx.bart.zip) Il s'agit d'archives ZIP chiffrées contenant les fichiers d'origine.

Message de rançon :

Après avoir chiffré vos fichiers, Bart remplace le papier peint du bureau par une image similaire à celle présentée ci-dessous. Le texte de cette image peut également être utilisé pour identifier Bart et est stocké sur le bureau dans les fichiers nommés recover.bmp et recover.txt.

+

Si Bart a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Remerciements : Nous souhaiterions remercier Peter Conrad, auteur de PkCrack, qui nous a autorisé à utiliser sa bibliothèque dans notre outil de déchiffrement Bart.

Télécharger le correctif pour Bart

Crypt888

Crypt888 (également connu sous le nom de Mircop) est un type de ransomware identifié pour la première fois en juin 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

Crypt888 ajoute l'extension Lock. au début du nom de vos fichiers. (Par exemple, Thesis.doc = Lock.Thesis.doc).

Message de rançon :

Après avoir chiffré vos fichiers, Crypt888 remplace le papier peint du bureau par le suivant :

+ + + + + + +

Si Crypt888 a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour Crypt888

CryptoMix (hors ligne)

CryptoMix (également connu sous le nom de CryptFile2 ou Zeta) est un ransomware signalé pour la première fois en mars 2016. Au début de l'année 2017, une nouvelle variante de CryptoMix, appelée CryptoShield, est apparue. Les deux variantes chiffrent les fichiers à l'aide d'un chiffrement AES256 doté d'une clé de chiffrement téléchargée à partir d'un serveur distant. Cependant, si le serveur n'est pas disponible ou si l'utilisateur n'est pas connecté à Internet, le ransomware chiffrera les fichiers avec une clé fixe (« clé hors-ligne »).

Important : L'outil de déchiffrement fourni ne prend en charge que les fichiers chiffrés à l'aide d'une « clé hors-ligne ». Dans le cas où la clé hors-ligne n'a pas été utilisée pour chiffrer les fichiers, notre outil sera dans l'incapacité de les restaurer et aucune modification de fichier ne sera effectuée.

Changement des noms de fichiers :

les fichiers chiffrés portent l'une des extensions suivantes : .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd ou .rscl.

Message de rançon :

Les fichiers suivants se trouvent sur le PC après le processus de chiffrement :

+ + + +

Si CryptoMix a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour CryptoMix

CrySiS

CrySIS (JohnyCryptor, Virus Encoder ou Aura) est un ransomware signalé pour la première fois en septembre 2015. Il utilise le chiffrement AES256 avec le chiffrement asymétrique RSA1024.

Changement des noms de fichiers :

Les fichiers chiffrés possèdent de nombreuses extensions, notamment :
.johnycryptor@hackermail.com.xtbl,
.ecovector2@aol.com.xtbl,
.systemdown@india.com.xtbl,
.Vegclass@aol.com.xtbl,
.{milarepa.lotos@aol.com}.CrySiS,
.{Greg_blood@india.com}.xtbl,
.{savepanda@india.com}.xtbl,
.{arzamass7@163.com}.xtbl

Message de rançon :

Après avoir chiffré vos fichiers, l'un des messages suivants s'affiche (voir ci-dessous). Le message est situé dans Decryption instructions.txt, Decryptions instructions.txt ou README.txt sur le bureau de l'utilisateur.

+ + + + + + + +

Si CrySIS a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour CrySiS

Globe

Globe est un ransomware signalé pour la première fois en août 2016. Selon ses variantes, il utilise la méthode de chiffrement RC4 ou Blowfish. Parmi les signes d'infection figurent :

Changement des noms de fichiers :

Globe ajoute l'une des extensions suivantes au nom de fichier : ".ACRYPT", ".GSupport[0-9]", ".blackblock", ".dll555", ".duhust", ".exploit", ".frozen", ".globe", ".gsupport", ".kyra", ".purged", ".raid[0-9]", ".siri-down@india.com", ".xtbl", ".zendrz", ".zendr[0-9]", ou ".hnyear". De plus, certaines de ces versions chiffrent également le nom du fichier.

Message de rançon :

Après avoir chiffré vos fichiers, un message similaire s'affiche (situé dans un fichier « How to restore files.html » ou Read Me Please.hta) :

+ + +

Si Globe a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour Globe

HiddenTear

HiddenTear correspond à l'un des premiers codes open source de ransomware hébergés sur GitHub datant d'août 2015. Depuis cette date, des centaines de versions de HiddenTear ont été développées par des pirates à partir du code source d'origine. Ce ransomware utilise la méthode de chiffrement AES.

Changement des noms de fichiers :

les fichiers chiffrés portent l'une des extensions suivantes (la liste n'est pas exclusive) : .locked, .34xxx, .bloccato, .BUGSECCCC, .Hollycrypt, .lock, .saeid, .unlockit, .razy, .mecpt, .monstro, .lok, .암호화됨, .8lock8, .fucked, .flyper, .kratos, .krypted, .CAZZO, .doomed.

Message de rançon :

Une fois vos fichiers chiffrés, un fichier texte (READ_IT.txt, MSG_FROM_SITULA.txt, DECRYPT_YOUR_FILES.HTML) apparaît sur le bureau de l'utilisateur. Plusieurs versions peuvent également afficher un message de rançon :

+ + + +

Si HiddenTear a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour HiddenTear

Jigsaw

Jigsaw est un ransomware signalé pour la première fois en mars 2016. Son nom est tiré du personnage « Jigsaw » (le Tueur au Puzzle) dans la série de films « Saw ». Plusieurs versions de ce ransomware utilisent la photo de ce personnage sur l'écran de demande de rançon.

Changement des noms de fichiers :

les fichiers chiffrés portent l'une des extensions suivantes : .kkk, .btc, .gws, .J, .encrypted, .porno, .payransom, .pornoransom, .epic, .xyz, .versiegelt, .encrypted, .payb, .pays, .payms, .paymds, .paymts, .paymst, .payrms, .payrmts, .paymrts, .paybtcs, .fun, .hush, .uk-dealer@sigaint.org, ou .gefickt.

Message de rançon :

Une fois les fichiers chiffrés, l'un des écrans ci-dessous apparaît :

+ + + + + +

Si Jigsaw a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour Jigsaw

Legion

Legion est un type de ransomware identifié pour la première fois en juin 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

Legion ajoute une variante de ._23-06-2016-20-27-23_$f_tactics@aol.com$.legion ou .$centurion_legion@aol.com$.cbf à la fin des noms de fichiers. (Par exemple, Thesis.doc = Thesis.doc._23-06-2016-20-27-23_$f_tactics@aol.com$.legion)

Message de rançon :

Après avoir chiffré vos fichiers, Legion modifie le papier peint du bureau et affiche une fenêtre contextuelle comme celle-ci :

+

Si Legion a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour Legion

NoobCrypt

NoobCrypt est un ransomware signalé pour la première fois à la fin du mois de juillet 2016. Pour le chiffrement des fichiers d'utilisateurs, ce ransomware utilise la méthode de chiffrement AES 256.

Changement des noms de fichiers :

NoobCrypt ne modifie pas les noms de fichiers. Toutefois, il est impossible d'ouvrir les fichiers chiffrés avec l'application associée.

Message de rançon :

Après avoir chiffré vos fichiers, un message similaire s'affiche (situé dans un fichier « ransomed.html » sur le bureau de l'utilisateur) :

+ +

Si NoobCrypt a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour NoobCrypt

Stampado

Stampado est un ransomware développé à partir de l'outil de script Autolt. Il a été signalé pour la première fois en août 2016. Il est en vente sur le dark web et de nouvelles versions font sans cesse leur apparition. L'une d'entre elles est également appelée Philadelphia.

Changement des noms de fichiers :

Stampado ajoute l'extension « .locked » aux fichiers chiffrés. Certaines variantes chiffrent également le nom de fichier en lui-même, qui peut ainsi ressembler à : « document.docx.locked » ou 85451F3CCCE348256B549378804965CD8564065FC3F8.locked.

Message de rançon :

Une fois le processus de chiffrement terminé, l'écran suivant s'affiche :

+ +

Si Stampado a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour Stampado

SZFLocker

SZFLocker est un type de ransomware identifié pour la première fois en mai 2016. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

SZFLocker ajoute l'extension .szf à la fin du nom de vos fichiers. (Par exemple, Thesis.doc = Thesis.doc.szf).

Message de rançon :

Lorsque vous tentez d'ouvrir un fichier chiffré, SZFLocker déclenche l'affichage du message suivant (en polonais) :

+

Si SZFLocker a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour SZFLocker

TeslaCrypt

TeslaCrypt est un type de ransomware identifié pour la première fois en février 2015. Les symptômes d'infection sont les suivants :

Changement des noms de fichiers :

La dernière version de TeslaCrypt ne renomme pas vos fichiers.

Message de rançon :

Après avoir chiffré vos fichiers, TeslaCrypt affiche une variante du message suivant :

+

Si TeslaCrypt a chiffré vos fichiers, cliquez ici pour télécharger notre correctif gratuit :

Télécharger le correctif pour TeslaCrypt

Logo du navigateur Chrome

Avast vous recommande d'utiliser
le navigateur web GRATUIT Chrome™.