Cette page a été créée pour aider les victimes de la dernière variante du ransomware de la famille Djvu, appelée .Qual. Il ne s’agit pas d’un nom officiel, mais seulement du suffixe des fichiers que les victimes voient et recherchent sur Internet, tout comme pour les menaces de ransomware .Watz et .Waqa. Toutes les variantes de Djvu fonctionnent de la même manière depuis des années.
La bonne nouvelle est que nous pouvons vous aider à supprimer le virus .Qual avec succès. Vous devez le faire de toute façon car le ransomware cryptera à nouveau vos fichiers même si vous les déverrouillez.
La mauvaise nouvelle est qu’il existe des moyens de décrypter les fichiers gratuitement, mais ils ne garantissent certainement pas le retour de vos données. En fait, ils ne peuvent agir que si des critères spécifiques sont remplis dès le départ.
RÉSUMÉ:
Nom | .Qual |
Type | Ransomware |
Outil de détection |
Première partie – Faites-le rapidement pour arrêter le virus .Qual
Éteignez l’appareil infecté. Lisez l’intégralité de ce guide avant d’entreprendre quoi que ce soit. Lisez-le sur votre téléphone ou sur un autre ordinateur portable. C’est important car si vos données ne sont pas entièrement cryptées, vous devrez interrompre le processus pendant que nous vous montrons ce qu’il faut faire. Sinon, vous perdrez encore plus de données.
Dans un premier temps, nous recommandons de télécharger un outil gratuit sur le PC infecté par le virus .Qual.s – STOP/DJVU Vaccine v1.0 (lien vers les versions GitHub de l’outil).
Il vous suffit d’exécuter l’outil avec les privilèges de l’administrateur. Cliquez avec le bouton droit de la souris sur stop_vaccine.exe et sélectionnez Exécuter en tant qu’administrateur. Cela empêchera le virus .Qual de poursuivre le cryptage en lui faisant croire qu’il a déjà tout terminé. Cela vous donnera au moins le temps d’évaluer la situation.
À partir de là, vous avez plusieurs options. Vous DEVEZ supprimer le ransomware avant d’essayer de restaurer vos fichiers car il contient un cheval de Troie actif sur votre PC. Même si vous réinstallez Windows et effacez complètement votre PC, il a infecté le système d’exploitation et il reviendra.
Les infections par ransomware sont l’une des rares choses qui nécessitent absolument un logiciel pour faire quoi que ce soit. Vous devez être à l’aise avec le téléchargement pour utiliser ce guide.
Pouvez-vous supprimer le virus .Qual manuellement ?
Si vous ne souhaitez pas télécharger l’un des programmes que nous recommandons, la suppression manuelle du virus .Qual sera très difficile pour vous. Les ransomwares ont tendance à modifier et à accéder à des dizaines de fichiers. Les meilleures pistes que nous pouvons vous donner sont les suivantes :
- Aller à ce lien VirusTotal and examine in the Behavior tab what the .Qual virus does. You need to hunt all files and stop all processes the ransomware created.
- Commencez par cliquer avec le bouton droit de la souris sur 89A2.exe dans votre dossier Task Manager, cliquer Open FIle Location,et voir où elle va. Il s’agit du processus principal de l’infection. Veillez à activer l’option Fichiers et dossiers cachés dans Windows au cas où il vous enverrait vers un fichier caché. Après avoir localisé l’origine du processus, arrêtez-le dans le Gestionnaire des tâches. Supprimez ensuite le fichier vers lequel vous avez été envoyé.
- Appuyez ensuite sur la touche Windows key, écrire Task Scheduler, et ouvrez-le. Une fois qu’il est ouvert, découvrez ce que fait chaque entrée en faisant un clic droit sur l’entrée –> Propriétés –> Actions et voyez où va chaque entrée. Faites attention au nom de la tâche et au dossier à partir duquel elle commence. Aucune tâche ne devrait commencer à partir de Local, Downloads, Temp, or Roaming. Cliquez avec le bouton droit de la souris et Supprimer toute tâche faisant partie de l’infection. Cela devrait supprimer les déclencheurs qui redémarrent le virus .Qual.
À partir de là, le mieux que nous puissions vous recommander est de jeter tout fichier suspect dans le fichier virustotal.com. S’il est signalé par plusieurs fournisseurs, il s’agit soit d’une partie du virus .qual, soit du cheval de Troie qui l’a aidé à s’introduire. Veillez à tout nettoyer pour le moment.
La partie suivante du guide consiste à essayer de récupérer vos fichiers. Une fois vos tentatives terminées, nous vous recommandons de réinstaller Windows et de formater vos disques durs. Vous vous demandez peut-être pourquoi ne pas le faire dès le départ ? La réponse est qu’un ransomware peut réapparaître même après une réinstallation. C’est très sérieux. Vous devez donc commencer par supprimer ses fichiers et ses tâches.
Comment récupérer les fichiers .Qual ?
Ne tournons pas autour du pot : la plupart des gens arrivent sur des pages comme celle-ci parce qu’un ransomware a déposé une note sur leur bureau. Malheureusement, le virus .Qual et toutes les autres variantes de DJVU ne le font qu’une fois qu’ils ont terminé. En d’autres termes, vos données sont déjà verrouillées si vous avez vu le message. Cela limite considérablement vos options et, en toute honnêteté, il n’y a aucune garantie que vous récupériez un jour vos données.
Malgré cela, le verrouillage de vos fichiers ne signifie pas que vous devez les abandonner, surtout s’ils sont importants pour vous. Nous allons vous présenter plusieurs méthodes de récupération potentielles que vous pouvez utiliser gratuitement et qui peuvent fonctionner dans certains cas.
N’oubliez pas qu’il est essentiel de supprimer le ransomware avant de tenter de récupérer des fichiers, car ils risquent d’être à nouveau verrouillés si le virus n’est pas supprimé.
Identifier le ransomware .Qual
Avant d’essayer l’une des solutions de récupération, vous devez d’abord identifier le type de ransomware auquel vous avez affaire. De toute évidence, puisque vous êtes arrivé sur cette page, vous êtes probablement certain que vos fichiers ont été cryptés par . Qual. Si c’est le cas et qu’il n’y a aucun doute dans votre esprit qu’il s’agit exactement du ransomware auquel vous avez affaire, n’hésitez pas à sauter cette partie et à passer aux options de récupération. Toutefois, si vous n’êtes pas sûr à 100 % de l’identité du virus, nous vous recommandons d’utiliser un outil en ligne gratuit appelé ID Ransomware :
- Pour utiliser ID Ransomware, allez tout d’abord à l’adresse suivante sur son site.
- Cliquez ensuite sur “Choose File” sous Ransom Note, naviguez jusqu’au fichier de message de rançon que le virus a créé sur votre PC et téléchargez-le.
- S’il n’y a pas de demande de rançon, utilisez la section Adresses et copiez-collez-y les adresses électroniques ou les liens hypertextes fournis par le rançongiciel.
- Cliquez ensuite sur le bouton “Choose File” option under Sample Encrypted Fileet télécharger un ou plusieurs fichiers cryptés.
- Dans quelques instants, la famille du ransomware devrait être identifiée, et s’il s’agit bien de .Qual, vous pouvez passer aux options de décryptage que nous allons vous présenter.
Notez que les options de récupération suggérées ci-dessous sont destinées à fonctionner pour les fichiers .Qual spécifiquement. Elles peuvent toujours fonctionner pour d’autres variantes de ransomware, mais les chances sont plus faibles.
S’il s’avère que vous avez affaire à un autre type de Ransomware, nous vous recommandons de le rechercher sur notre site pour voir si nous disposons d’un guide de suppression et de récupération dédié. Si nous n’avons pas encore de guide pour cette autre menace, nous vous recommandons de la rechercher sur le site Web de NoMoreRansom site, où vous trouverez la liste la plus complète des outils de récupération actuellement disponibles.
Comment décrypter les fichiers .Qual avec Emisoft STOP Djvu Decryptor
À notre connaissance, Emisoft est actuellement le seul fournisseur de sécurité qui propose un outil de décryptage pour les fichiers verrouillés par les virus ransomware STOP Djvu, tels que le ransomware .Qual. Cela ne signifie pas que l’utilisation de cet outil garantit la restauration de vos fichiers, mais c’est l’une des meilleures options dont vous disposez actuellement.
Le décrypteur Emisoft STOP Djvu ne peut déverrouiller que les fichiers cryptés par une clé hors ligne disponible sur ses serveurs. Par conséquent, vous devez maintenir une connexion constante à l’Internet pendant le processus de décryptage. Si la clé hors ligne correspondante n’est pas disponible sur les serveurs d’Emisoft ou si une clé en ligne a été utilisée à la place, cet outil ne restaurera pas vos données.
Ceci étant dit, voici comment utiliser le décrypteur :
- Cliquez sur ce lien to télécharger le décrypteur Emisoft Djvu.
- Cliquez avec le bouton droit de la souris sur le fichier téléchargé, sélectionnez Run as administrator, puis cliquez sur Yes dans la fenêtre du contrat de licence.
- Le décrypteur démarre et répertorie les lecteurs de votre PC. Vous pouvez simplement cliquer sur Decrypt, cela ralentira le processus, c’est pourquoi nous vous recommandons de sélectionner d’abord Clear object list, puis ajoutez un par un les répertoires exacts où sont stockés les fichiers cryptés.
- Ensuite, cliquez sur le bouton Decrypt et attendez que l’outil fasse son travail.
Important: Le décrypteur copie tous les fichiers qu’il parvient à récupérer, en laissant les copies verrouillées d’origine sur votre PC. Cela permet d’éviter la perte de données au cas où certains fichiers ne seraient pas récupérés correctement. Cependant, notez que cela pourrait rapidement remplir l’espace de stockage de votre PC si vous décryptez beaucoup de données à la fois ou si votre espace libre est limité. Si vous souhaitez désactiver cette fonction, allez dans l’onglet Options et supprimez la coche.
Récupérer les fichiers .Qual avec PhotoRec
Un autre moyen de restaurer les fichiers verrouillés consiste à récupérer les versions originales que le ransomware a supprimées. De nombreux ransomwares fonctionnent en copiant les fichiers ciblés dans la mémoire vive de l’ordinateur, en les chiffrant, puis en supprimant les originaux. Vous pouvez essayer d’utiliser un outil gratuit appelé PhotoRec pour restaurer ces originaux.
Tous les virus de ransomware ne fonctionnent pas de cette manière, mais cela vaut la peine d’essayer cette méthode, alors voici ce que vous devez faire :
- Téléchargez l’outil PhotoRec à partir de ici, cliquez dessus avec le bouton droit de la souris et extrayez son contenu.
- Ouvrez le dossier qui apparaît, recherchez et cliquez avec le bouton droit de la souris sur qphotorec_win, et l’exécuter en tant qu’administrateur.
- Cliquez sur la case située sous “Please select a media drive” puis choisissez le lecteur où sont stockés les fichiers cryptés.
- Une fois que PhotoRec a analysé le disque, il affiche une liste de ses partitions. Sélectionnez la partition où se trouvent les fichiers verrouillés – elle doit avoir un système de fichiers NTFS.
- Ensuite, cliquez sur le bouton File Formats à partir du bas, cochez uniquement les cases correspondant aux types de fichiers que vous souhaitez restaurer, puis cliquez sur OK. Si vous ne désélectionnez pas les types de fichiers qui ne vous intéressent pas (ou que vous n’avez tout simplement pas), vous ralentirez inutilement le processus.
- Cliquez maintenant sur le bouton Browse et choisissez un répertoire dans lequel les fichiers restaurés seront enregistrés. Nous vous recommandons vivement de connecter un lecteur externe ou une clé USB à votre PC et d’y enregistrer les fichiers, par mesure de précaution contre la perte de données qui ne seraient pas restaurées correctement.
- Enfin, cliquez sur le bouton Search qui lancera le processus de récupération.
Attendez patiemment que le processus se termine et une fois que c’est fait, cliquez sur Quit et allez dans le dossier de destination spécifié pour les fichiers récupérés afin de voir si et combien de vos données ont été restaurées.
Comment restaurer les fichiers audio et vidéo .Qual avec Media_Repair
Media_Repair est un outil gratuit qui vous permet de restaurer des fichiers appartenant à certains formats audio et vidéo couramment utilisés, à savoir MP3, WAV, MP4, MOV, 3GP et M4V. L’outil nécessite un fichier de référence, qui devrait idéalement être une version identique non chiffrée d’un fichier chiffré.
Media_Repair peut également fonctionner si vous utilisez un fichier de référence totalement différent, à condition qu’il soit enregistré par le même appareil ou créé avec le même programme, avec les mêmes paramètres, et qu’il ait le même format que les fichiers cryptés que vous cherchez à restaurer. Cependant, les chances de réussite de la restauration avec cette méthode sont naturellement plus faibles.
Voici comment utiliser cet outil :
- Placez le ou les fichiers de référence que vous allez utiliser dans le même dossier que vos données cryptées.
- Télécharger Media_Repair depuis ce lien. Il sera téléchargé sous la forme d’un fichier .ZIP, dont vous devrez extraire le contenu.
- Lancez ensuite l’application Media_Repair qui a été extraite.
- Dans le panneau de gauche, naviguez jusqu’au répertoire où sont stockés le fichier de référence et les fichiers cryptés.
- Dans le panneau de droite, sélectionnez l’un des fichiers cryptés, puis cliquez sur l’icône du moniteur à droite. L’outil vous indiquera alors si le fichier peut être récupéré.
- Si Media_Repair vous indique qu’il pourrait être en mesure de restaurer vos fichiers, sélectionnez votre fichier de référence et cliquez sur l’icône inférieure à droite. Cela indiquera au programme qu’il s’agit du fichier qu’il doit utiliser comme référence.
- Ensuite, maintenez enfoncée la touche Ctrl et sélectionnez tous les fichiers que vous souhaitez récupérer, qui ont le même format et sont enregistrés par le même appareil que le fichier de référence.
- Ensuite, cliquez sur le bouton Play et attendez que Media_Repair tente de récupérer les données spécifiées.
Notez que vous pouvez interrompre le processus à tout moment en cliquant sur le bouton Stop. Une fois la récupération terminée, allez dans le répertoire contenant les fichiers cryptés et vous y trouverez un nouveau dossier nommé “FIXED“. Ouvrez ce dossier et vérifiez si vos fichiers ont été restaurés et combien. L’outil ne supprime pas les fichiers cryptés d’origine, donc si l’un d’entre eux n’a pas été restauré, vous pouvez toujours essayer d’autres méthodes de récupération.
Leave a Comment