Bhui Virus


Bhui

Bhui est un virus de verrouillage de fichiers de type Ransomware et son rôle est de forcer les utilisateurs à effectuer un paiement de rançon. Bhui scelle les fichiers de ses victimes par l’application d’un cryptage avancé et ne libère pas les données tant que le paiement n’est pas effectué.

Une nouvelle infection basée sur un ransomware a fait son apparition et notre équipe “How to remove” a élaboré un guide de suppression qui lui est consacré. Le nom de la nouvelle menace est Bhui et, selon les informations disponibles, elle fonctionne comme un cryptovirus qui crypte secrètement les fichiers stockés sur l’ordinateur infecté en y plaçant un code complexe. L’infection génère ensuite une notification de demande de rançon sur l’écran de la victime, demandant le paiement d’une rançon en échange d’une clé de décryptage.

Si vous lisez cet article parce que Bhui a pris en otage vos fichiers et que vous ne savez pas quoi faire ou si vous cherchez un moyen d’éviter le paiement de la rançon et de supprimer le Ransomware, vous êtes au bon endroit. Vous trouverez ci-dessous des instructions à ce sujet, ainsi qu’un outil de suppression Bhui de confiance et quelques suggestions gratuites de récupération de fichiers, qui n’impliquent pas le paiement d’une rançon à qui que ce soit. Cependant, avant de les consulter, il est important de bien comprendre la situation dans laquelle vous vous trouvez et les solutions alternatives possibles.

Le virus Bhui

Le virus Bhui est la dernière menace malveillante de la catégorie des Ransomware et son cryptage avancé peut rendre tous les fichiers de votre ordinateur totalement inaccessibles. Même s’il est supprimé, le virus Bhui continuera à rendre vos données inaccessibles car le cryptage sera toujours présent.

La première chose à faire est de vérifier si des copies sûres des fichiers verrouillés sont stockées sur des périphériques externes ou sur des nuages. Si vous en trouvez, vous pourrez les recopier sur votre ordinateur une fois que vous l’aurez débarrassé du malware. Dans le cas redouté où vous n’avez pas de copies de sauvegarde, les chances de récupérer les données verrouillées, malheureusement, diminuent considérablement car la clé pour inverser le cryptage sera nécessaire et cette clé est conservée par les pirates.

Dans certaines versions de Ransomware (les moins avancées), la clé de chiffrement peut se trouver dans le code du malware lui-même, de sorte que les fichiers affectés peuvent être récupérés assez facilement. Cependant, ce n’est pas le cas avec Bhui.Fgui ou Fgnh. Il existe cependant des initiatives dans le cadre desquelles différentes sociétés de sécurité et agences gouvernementales collaborent pour mettre au point des outils spécialisés qui peuvent aider à déchiffrer le code de certaines infections par Ransomware. Ici, dans le guide “Comment supprimer”, par exemple, nous avons une liste fréquemment mise à jour d’outils de décryptage gratuits que vous pouvez consulter. Le guide que nous avons ici contient également certaines étapes qui peuvent vous aider à extraire certains fichiers du système lorsque cela est possible. Gardez cependant à l’esprit que l’attaque de Bhui peut avoir un effet très individuel sur chaque machine et que, par conséquent, l’efficacité des étapes peut varier.

Le décryptage du fichier .Bhui

Le décryptage du fichier .Bhui est l’inversion du processus de cryptage qui empêche l’accès à vos fichiers. Le décryptage du fichier .Bhui n’est généralement possible que si la bonne clé de décryptage est appliquée aux fichiers verrouillés.

Bien sûr, il y a toujours la possibilité de payer la rançon aux attaquants. Cependant, ce n’est pas une démarche conseillée car personne ne garantit qu’une fois le paiement effectué, la clé de décryptage sera envoyée à la victime. Il existe un risque important de perdre à la fois les données et l’argent. Par conséquent, nous encourageons nos lecteurs à commencer par nettoyer leur ordinateur des logiciels malveillants, puis à explorer d’autres solutions de récupération de fichiers.

Il est également très important de comprendre l’importance d’un bon plan de protection contre les Ransomwares qui implique, entre autres, des sauvegardes régulières (et la vérification qu’elles sont effectuées correctement et peuvent être utilisées sans problème). En outre, un outil fiable de protection du système peut aider à lutter contre certains cryptovirus Ransomware ainsi que contre de nombreuses autres menaces provenant d’Internet. Il est donc toujours bon d’avoir un tel logiciel dans son ordinateur.

Résumé:

NomBhui
TypeRansomware
Outil de détection

Supprimer Bhui Ransomware


Step1

Avant de commencer, nous vous conseillons d’enregistrer cette page en cliquant sur le bouton de signet qui se trouve dans la barre d’URL de votre navigateur. Cela vous permettra d’y accéder rapidement et de suivre toutes les étapes sans perdre les instructions.

Nous vous recommandons également de poursuivre les autres étapes de suppression de Bhui sur cette page après avoir redémarré votre ordinateur en Mode sans échec.

Step2

AVERTISSEMENT ! LISEZ ATTENTIVEMENT AVANT DE PROCÉDER !

Les menaces de ransomware comme Bhui exécutent généralement leurs processus malveillants en arrière-plan du système d’un ordinateur sans présenter de symptômes visibles. Cela leur permet de passer inaperçues et de causer des dommages importants. C’est pourquoi, lorsqu’on a affaire à ce type de malware, l’une des tâches les plus difficiles est de pouvoir découvrir et mettre fin à tous les processus potentiellement dangereux associés au ransomware qui sont déjà en cours d’exécution sur votre ordinateur. Pour ce faire, vous devez suivre attentivement les étapes suivantes.

Ouvrez le gestionnaire des tâches de Windows en appuyant simultanément sur les touches CTRL+SHIFT+ESC, puis sélectionnez l’onglet Processus dans les onglets supérieurs. Si vous voyez des processus qui consomment une quantité importante de ressources, qui ont un nom inhabituel ou qui semblent suspects, notez-les et cliquez avec le bouton droit de la souris sur chacun d’eux pour ouvrir le menu rapide. Cliquez ensuite sur “Ouvrir l’emplacement du fichier” pour voir les fichiers associés à ce processus.

malware-start-taskbar

Ensuite, vérifiez que les fichiers du processus ne contiennent pas de code dangereux en les exécutant à l’aide de l’antivirus en ligne gratuit fourni ci-dessous :

Each file will be scanned with up to 64 antivirus programs to ensure maximum accuracy
This scanner is free and will always remain free for our website's users.
This file is not matched with any known malware in the database. You can either do a full real-time scan of the file or skip it to upload a new file. Doing a full scan with 64 antivirus programs can take up to 3-4 minutes per file.
Drag and Drop File Here To Scan
Drag and Drop File Here To Scan
Loading
Analyzing 0 s
Each file will be scanned with up to 64 antivirus programs to ensure maximum accuracy
    This scanner is based on VirusTotal's API. By submitting data to it, you agree to their Terms of Service and Privacy Policy, and to the sharing of your sample submission with the security community. Please do not submit files with personal information if you do not want them to be shared.

    Si l’un des fichiers analysés s’avère dangereux, le processus qui lui est associé doit être interrompu dès que possible, et les fichiers eux-mêmes doivent être supprimés de votre ordinateur.

    Faites de même pour chaque processus qui contient des fichiers potentiellement dangereux jusqu’à ce que le système soit complètement nettoyé de tous les processus malveillants.

    Step3

    Si le ransomware a ajouté des éléments de démarrage potentiellement dangereux au système, ces éléments doivent également être désactivés, de la même manière que les processus liés à Bhui dans le gestionnaire des tâches ont été arrêtés.

    Pour ce faire, commencez par taper msconfig dans la barre de recherche de Windows, puis sélectionnez Configuration du système dans la liste des résultats de recherche. Ensuite, vérifiez les entrées sous l’onglet Démarrage et cherchez quelque chose d’inhabituel :

    msconfig_opt

    Il est recommandé d’examiner tout élément de démarrage dont le fabricant est “Inconnu” ou dont le nom est aléatoire, et de décocher sa case si vous trouvez suffisamment de preuves qu’il est lié au ransomware. Recherchez également tout autre élément de démarrage sur votre ordinateur que vous ne parvenez pas à identifier avec les programmes que vous lancez régulièrement sur votre ordinateur. Seuls les éléments de démarrage liés à des programmes auxquels vous faites confiance ou qui sont liés à votre système doivent être autorisés à continuer à fonctionner sur votre système.

    Step4

    Il est essentiel d’effectuer une recherche dans le registre du système afin de détecter si le ransomware y a ajouté ou non des entrées dangereuses. Pour ce faire, tapez Regedit dans le champ de recherche de Windows et appuyez sur Entrée pour lancer l’éditeur de registre. Ensuite, vous pouvez appuyer simultanément sur les touches CTRL et F de votre ordinateur et taper soigneusement le nom du ransomware dans la zone Rechercher pour rechercher la menace plus rapidement. Après cela, cliquez sur Rechercher suivant et s’il y a des résultats, éliminez soigneusement les entrées qui incluent le nom du ransomware.

    Attention ! Évitez de supprimer de votre registre tout ce dont vous n’êtes pas certain de vouloir vous débarrasser, car toute suppression erronée peut causer plus de tort que de bien à votre système. Si vous voulez éviter de causer des dommages par inadvertance, veuillez utiliser des solutions de suppression professionnelles pour éliminer complètement Bhui et les autres fichiers liés au ransomware de votre registre.

    Ensuite, analysez manuellement chacun des emplacements répertoriés ci-dessous à la recherche de fichiers et dossiers suspects appartenant à Bhui ou semblant être liés à la menace, et supprimez tout ce qui est dangereux. Vous pouvez utiliser la barre de recherche de Windows pour copier/coller les emplacements suivants un par un et cliquer sur Entrée pour les ouvrir :

    1. %AppData%
    2. %LocalAppData%
    3. %ProgramData%
    4. %WinDir%
    5. %Temp%

    Tout ce qui semble être une menace doit être supprimé de ces emplacements le plus rapidement possible. Si vous voulez vous débarrasser de tous les fichiers temporaires qui ont pu être enregistrés sur votre système, sélectionnez et supprimez tout ce qui se trouve dans le dossier Temp de votre ordinateur.

    Ensuite, vous devez vérifier le fichier Hosts de votre ordinateur pour voir si des modifications ont été imposées à votre insu. Si vous en trouvez, laissez-nous un commentaire ci-dessous, et nous ferons de notre mieux pour vous répondre rapidement.

    Pour commencer, appuyez simultanément sur les touches Windows et R pour ouvrir la boîte d’exécution, où vous pouvez copier/coller la commande suivante, et appuyez sur la touche Entrée pour l’exécuter :

    notepad %windir%/system32/Drivers/etc/hosts

    Veuillez nous faire savoir si le fichier Hosts a été modifié pour inclure certaines adresses IP suspectes dans la section Localhost, comme le montre l’image suivante :

    hosts_opt (1)

    Si tout vous semble correct, fermez simplement le fichier sans apporter de modifications.

    Step5

    Comment décrypter les fichiers Bhui

    Pour décoder efficacement les données cryptées, vous devrez peut-être utiliser une approche différente, en fonction de la version du ransomware qui a infecté votre machine. Pour déterminer la version du ransomware à laquelle vous avez affaire, vous devez examiner les extensions de fichier que le virus a ajoutées aux fichiers cryptés.

    Nouveau Djvu Ransomware

    La variante la plus récente de la famille des Djvu Ransomware à infecter les ordinateurs s’appelle STOP Djvu Ransomware. Cette nouvelle menace permet aux victimes de reconnaître facilement qu’elles ont été infectées, car elle attache l’extension de fichier .Bhui, qui est automatiquement ajoutée aux fichiers cryptés par le malware. Pour le moment, seuls les fichiers qui ont été cryptés à l’aide d’une clé hors ligne peuvent être décryptés. Si vous cliquez sur le lien suivant, vous pourrez accéder à un outil de décryptage qui pourrait vous être utile :

    https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

    Décryptage

    L’application de décryptage peut être lancée en téléchargeant le fichier depuis l’URL ci-dessus sur l’ordinateur, en sélectionnant “Exécuter en tant qu’administrateur”, puis en appuyant sur le bouton “Oui”. Avant de poursuivre, veuillez lire le contrat de licence, ainsi que les brèves instructions qui apparaissent à l’écran.

    En sélectionnant Décrypter à l’intérieur du programme, le processus de décryptage des données cryptées commencera. Veuillez garder à l’esprit que les données cryptées à l’aide de clés hors ligne inconnues ou d’un cryptage en ligne peuvent ne pas être décryptées par cet outil. Si vous avez des questions ou des préoccupations, veuillez les partager avec nous dans les commentaires ci-dessous, et nous ferons de notre mieux pour vous aider.

    Important ! Assurez-vous que tous les fichiers liés au ransomware et les entrées de registre potentiellement dangereuses ont été supprimés de votre ordinateur infecté avant de tenter de déchiffrer les données qui y ont été enregistrées. A scanner de virus en ligne gratuit et un logiciel anti-virus, tel que ceux accessibles sur notre page, vous aideront à vous débarrasser de XXX et des autres logiciels malveillants dangereux qui se répandent sur Internet.


    About the author

    blank

    Valentin Slavov

    Leave a Comment