Ytbn Virus


Ytbn

Ces derniers temps, Ytbn a envahi les ordinateurs d’utilisateurs peu méfiants et les empêche d’accéder à leurs propres fichiers informatiques. Ytbn est donc un représentant de la catégorie des malwares cryptovirus de type ransomware.

Cela signifie que ce programme malveillant empêche les utilisateurs d’accéder à leurs données en les cryptant. Les fichiers concernés deviennent alors illisibles et ne peuvent être ouverts par aucun logiciel, sauf si une clé de décryptage spéciale est appliquée. C’est ici qu’intervient le ransomware.

Pour obtenir cette clé de décryptage, que l’on pourrait dire que les pirates responsables de l’infection détiennent en « otage », les victimes doivent payer une forte somme en « rançon ». Il s’agit d’un système de chantage séculaire qui, malheureusement, n’a fait que gagner en importance ces dernières années et ne semble pas près de ralentir.

Dans cet article, nous allons décrire les moyens par lesquels Ytbn est distribué et les outils disponibles pour le combattre. Plus précisément, nous avons élaboré un guide de suppression qui vous montrera comment supprimer ce virus de votre PC. Et dans la deuxième partie du guide, vous trouverez également des informations concernant le processus de restauration de vos données.

Le virus Ytbn

Le virus Ytbn utilise un cryptage complexe afin de rendre les fichiers de l’utilisateur inaccessibles à quiconque n’est pas en possession d’une clé de décryptage. Ce processus de cryptage rend également le virus Ytbn invulnérable à la plupart des logiciels antivirus.

Le fait est que les programmes antivirus ne sont pas déclenchés par le cryptage, car il ne s’agit pas d’un processus intrinsèquement malveillant. Et ce fait permet à des variantes comme Ytbn de fonctionner directement sous leurs radars sans être interrompues. Pour cette raison, la meilleure façon de combattre ces attaques est de les prévenir. Pour ce faire, il faut savoir comment les ransomwares sont distribués, ce que nous allons vous révéler dans un instant.

Mais un moyen encore plus fiable de rendre une attaque de ransomware comme celle-ci pratiquement inoffensive est de sauvegarder les données précieuses que vous craignez de perdre. En outre, conservez les copies de vos fichiers sur un service en nuage ou, mieux encore, sur un disque dur distinct qui n’est pas constamment connecté à votre ordinateur ou à un réseau.

La distribution du fichier Ytbn

La distribution du fichier Ytbn se fait généralement à l’aide de messages de spam. Vous pouvez également télécharger le fichier Ytbn si vous cliquez sur une publicité en ligne compromise ou infectée.

Cette dernière est communément appelée malvertising et constitue un moyen très courant de distribuer divers prix malveillants de programmes, y compris des ransomwares comme Ytbn. Ceci étant dit, il est important de noter que les ransomwares s’appuient souvent sur l’aide de virus backdoor (généralement des chevaux de Troie) pour infecter un ordinateur donné.

Le principe de fonctionnement est le suivant : vous êtes d’abord infecté par le cheval de Troie, qui est un expert dans la détection et l’exploitation des vulnérabilités de votre système. Une fois que c’est fait, il laisse le ransomware s’installer. C’est donc une bonne idée de rechercher les chevaux de Troie sur votre ordinateur dès que vous avez manipulé Ytbn.

Résumé:

Nom Ytbn
Type Ransomware
Outil de détection

Supprimer Ytbn Ransomware

Étape 1:

Tapez Gestionnaire des tâches dans le menu Démarrer, sélectionnez le premier élément des résultats et allez dans son onglet Processus. Dans cet onglet, vous devez trouver le ou les processus qui sont exécutés par le virus Ytbn. Ces processus peuvent porter le même nom que la menace, mais dans la plupart des cas, ils sont nommés différemment, alors utilisez votre propre jugement pour les repérer. Recherchez les processus gourmands en ressources, aux noms peu familiers/suspicieux, qui consomment une grande partie de la mémoire RAM de l’ordinateur ou de la puissance de son processeur.

malware-start-taskbar

Si vous suspectez un processus donné, effectuez une recherche en ligne avec son nom pour voir quelles informations vous pouvez trouver à son sujet et pour confirmer que le processus suspect n’est pas un processus exécuté par Windows.

Une fois que vous avez effectué vos recherches et confirmé que le processus suspect ne provient pas de Windows, vous devez cliquer avec le bouton droit de la souris sur ce processus dans le Gestionnaire des tâches et sélectionner l’option Ouvrir l’emplacement du fichier. Les fichiers situés dans le dossier qui s’ouvre ensuite doivent être analysés à la recherche de logiciels malveillants. Utilisez le prochain scanner en ligne gratuit et/ou un outil antivirus/anti-malware de votre choix pour tester les fichiers.

Each file will be scanned with up to 64 antivirus programs to ensure maximum accuracy
This scanner is free and will always remain free for our website's users.
This file is not matched with any known malware in the database. You can either do a full real-time scan of the file or skip it to upload a new file. Doing a full scan with 64 antivirus programs can take up to 3-4 minutes per file.
Drag and Drop File Here To Scan
Drag and Drop File Here To Scan
Loading
Analyzing 0 s
Each file will be scanned with up to 64 antivirus programs to ensure maximum accuracy
    This scanner is based on VirusTotal's API. By submitting data to it, you agree to their Terms of Service and Privacy Policy, and to the sharing of your sample submission with the security community. Please do not submit files with personal information if you do not want them to be shared.

    Si un fichier est détecté comme étant un logiciel malveillant, revenez au processus suspect, cliquez à nouveau avec le bouton droit de la souris, puis cliquez sur Terminer l’arborescence des processus.

    Ensuite, supprimez le dossier où se trouvent les fichiers malveillants – dans certains cas, vous ne serez peut-être pas autorisé à le faire car certains des fichiers qu’il contient ne peuvent pas être supprimés pour le moment. Si tel est votre cas, supprimez tous les fichiers que vous pouvez dans le dossier d’emplacement des fichiers, puis passez aux étapes suivantes. Une fois que vous avez terminé, essayez à nouveau de supprimer le dossier d’emplacement des fichiers.

    Étape 2:

    ATTENTION! LIRE ATTENTIVEMENT AVANT DE PROCEDER!

    Ensuite, vous devez démarrer l’ordinateur en mode sans échec – le lien fourni vous mènera à une page contenant des instructions détaillées en anglais sur la façon d’accéder au mode sans échec.


    Étape 3:

    Allez maintenant dans votre menu Démarrer, tapez configuration du système et appuyez sur Entrée. Sélectionnez Démarrage dans la fenêtre qui s’ouvre et recherchez les éléments de démarrage suspects dans la liste affichée. S’il y a des éléments que vous ne reconnaissez pas ou auxquels vous ne faites pas confiance, décochez-les, puis sélectionnez Appliquer. Faites de même avec les éléments dont le fabricant est inconnu, à moins que vous ne fassiez confiance à ces éléments et que vous sachiez qu’ils sont liés à des logiciels sûrs.
    msconfig_opt

    Enfin, cliquez sur OK pour terminer cette étape et passer à la suivante.

    Étape 4:

    Collez cette ligne »notepad %windir%/system32/Drivers/etc/hosts » dans le menu Démarrer (sans les guillemets) et appuyez sur la touche Entrée.

    Un fichier notepad nommé Hosts devrait apparaître sur votre écran – en bas, il y a une ligne qui dit LocalHost – s’il y a des adresses IP ou d’autres textes écrits en dessous, vous devez copier ces adresses/textes et les mettre dans les commentaires ci-dessous. Nous y jetterons un coup d’oeil et vous dirons si quelque chose doit être fait à leur sujet.
    hosts_opt (1)

    Si nous vous disons que les IP que vous nous avez envoyées proviennent du virus Ytbn, vous devrez les supprimer de votre fichier Hosts, puis cliquer sur Fichier > Enregistrer pour sauvegarder les modifications.

    Étape 5:

    Avertissement : Pour réaliser cette étape, vous devrez modifier le registre de votre ordinateur en supprimant les entrées de logiciels malveillants. Soyez très prudent et ne supprimez que les éléments dont vous êtes certain qu’ils proviennent d’Ytbn. En cas de doute, il est préférable de nous consulter dans la section des commentaires avant de procéder à la suppression. Sinon, vous pourriez finir par supprimer un élément que vous n’êtes pas censé supprimer, ce qui causerait davantage de problèmes à votre système.

    Appuyez sur la touche Windows + R et tapez regedit dans la boîte d’exécution. Appuyez sur Entrée et lorsque Windows vous demande l’autorisation de l’administrateur, cliquez sur Oui pour continuer.

    Lorsque l’Éditeur du Registre s’ouvre, cliquez sur son menu Édition, puis sur Rechercher. Tapez le nom du virus dans la case Rechercher et cliquez sur Rechercher suivant. Vous serez amené au premier élément du Registre qui porte le nom du virus. Supprimez cet élément, répétez la recherche, et si un autre élément est trouvé, supprimez-le également. Continuez à chercher et à supprimer jusqu’à ce qu’il n’y ait plus d’éléments dans l’éditeur de registre portant le nom Ytbn.

    Ensuite, trouvez les trois répertoires suivants dans le panneau gauche de l’éditeur de registre.

    • HKEY_CURRENT_USER > Software
    • HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run
    • HKEY_CURRENT_USER > Software > Microsoft > Internet Explorer > Main

    Votre tâche consiste à trouver et à supprimer tous les dossiers suspects qui attirent votre attention et qui pourraient être liés au malware. Ces dossiers ont généralement des noms longs, composés de lettres et de chiffres disposés de manière aléatoire. Si vous voyez un tel dossier, supprimez-le, mais seulement si vous êtes certain qu’il n’est pas censé être là. Comme nous l’avons dit, vous pouvez toujours nous interroger dans les commentaires sur une entrée de registre donnée avant de la supprimer.

    Étape 6:

    Copiez-collez chacune des lignes suivantes dans le menu Démarrer et appuyez sur la touche Entrée après chacune d’elles pour accéder au dossier auquel elle correspond.

    1. %AppData%
    2. %LocalAppData%
    3. %ProgramData%
    4. %WinDir%
    5. %Temp%

    Supprimez les fichiers les plus récents de ces dossiers – tout ce qui se trouve entre le moment où le virus vous a infecté et le moment présent. Dans le dossier nommé Temp, vous devez tout supprimer.

    Enfin, revenez au dossier Emplacement des fichiers de la première étape et essayez de le supprimer. Cette fois, vous ne devriez pas avoir de problème à supprimer ce dossier ainsi que tous les fichiers qui s’y trouvent.

    Comment décrypter les fichiers Ytbn

    Ce guide devrait vous aider à supprimer Ytbn, mais il ne suffira pas à décrypter les fichiers qui ont déjà été chiffrés par le virus. Si vous souhaitez restaurer vos données cryptées sans payer la rançon, nous vous suggérons de consulter notre guide Comment décrypter un ransomware et d’essayer les méthodes de récupération alternatives suggérées qui y figurent. Cependant, avant de tenter de récupérer les fichiers verrouillés, vous devez vous assurer que le virus a complètement disparu de votre ordinateur, sinon les données que vous avez réussi à restaurer pourraient être à nouveau cryptées par la menace. Pour vérifier si des fichiers suspects sur votre ordinateur contiennent des logiciels malveillants, vous pouvez utiliser le scanner de logiciels malveillants en ligne gratuit disponible sur notre site.

    Notes finales

    Pour conclure, nous espérons sincèrement que les étapes incluses dans le guide ci-dessus ont ou vont vous aider à supprimer Ytbn. Si, pour une raison quelconque, le malware semble toujours présent sur l’ordinateur après avoir terminé le guide, n’oubliez pas d’essayer l’outil anti-malware recommandé sur la page actuelle – il peut rapidement localiser et s’occuper de tous les fichiers malware dans votre système ainsi que d’assurer la sécurité future de votre ordinateur contre d’autres menaces entrantes.

    blank

    About the author

    blank

    George Slaine

    Leave a Comment