Virus GASH (fichier .gash) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION

by Brendan Smith
mai 9, 2023

Le virus Gash est une famille STOP/DJVU d’infections de type ransomware. Ce virus crypte vos fichiers (vidéo, photos, documents) qui peuvent être suivis par une extension spécifique “.gash”. Il utilise une méthode de cryptage forte, ce qui rend impossible le calcul de la clé de quelque manière que ce soit.

Gash utilise une clé unique pour chaque victime, à une exception près :

  • Si Gash ne peut pas établir de connexion à son serveur de commande et de contrôle (serveur C&C) avant de démarrer le processus de chiffrement, il utilise la clé hors ligne. Cette clé est la même pour toutes les victimes, ce qui permet de déchiffrer les fichiers chiffrés lors d’une attaque par ransomware.

J’ai rassemblé une collection complète de toutes les solutions, astuces et pratiques possibles pour neutraliser le virus Gash et décrypter les fichiers. Dans certains cas, il est facile de récupérer vos fichiers. Et parfois c’est tout simplement impossible.

Il existe plusieurs méthodes universelles pour récupérer des fichiers .gash chiffrés, qui seront démontrées ci-dessous. Il est essentiel de lire attentivement l’intégralité du manuel d’instructions et de s’assurer de tout comprendre. Ne sautez aucune étape. Chacune de ces étapes est très importante et doit être complétée par vous.

Virus Gash ?

☝️ Gash peut être correctement identifié comme une infection rançongiciel STOP/DJVU.

Gash

🤔 Le virus Gash est un rançongiciel issu de la famille DJVU/STOP. Son objectif principal est de chiffrer les fichiers qui sont importants pour vous. Après ce virus rançongiciel demande à ses victimes une rançon (490 $ – 980 $) en BitCoin.

Le ransomware Gash est un type spécifique de malware qui crypte vos fichiers et vous oblige ensuite à payer pour les restaurer. La famille Djvu/STOP ransomware a été révélée et analysée pour la première fois par l’analyste de virus Michael Gillespie.

Le virus Gash est similaire à d’autres rançongiciels DJVU tels que : Qore, Qopz, Saba. Ce virus crypte tous les types de fichiers populaires et ajoute son extension particulière “.gash” dans tous les fichiers. Par exemple, le fichier “1.jpg”, sera changé en “1.jpg.gash“. Dès que le cryptage est terminé, le virus génère un fichier de message spécial “_readme.txt” et le dépose dans tous les dossiers contenant les fichiers modifiés.

L’image ci-dessous donne une vision claire de l’apparence des fichiers avec l’extension “.gash”:

Gash Virus - encrypted .gash files

Gash File (STOP/DJVU Ransomware)

Nom Virus Gash
Famille de rançongiciels1 DJVU/STOP2 rançongiciel
Extension .gash
Remarque sur les rançongiciels _readme.txt
La rançon De 490 $ à 980 $ (en Bitcoins)
Contact [email protected], [email protected]
Détection Wacatac: How to remove trojan from your computer?, Trojan:Win32/Azorult.CC!MTB, Trojan.Polyransom
Les symptômes
  • Crypté la plupart de vos fichiers (photos, vidéos, documents) et ajoute une extension “.gash” particulière ;
  • Peut supprimer les clichés instantanés de volume pour rendre impossibles les tentatives de la victime de restaurer les données ;
  • Ajoute une liste de domaines au fichier HOSTS pour bloquer l’accès à certains sites liés à la sécurité ;
  • Installe un cheval de Troie voleur de mot de passe sur le système, comme Vidar Stealer ou RedLine Stealer ;
  • Gère l’installation d’une SmokeLoader Backdoor ;
Outil de réparation Pour supprimer d’éventuelles infections par des logiciels malveillants, analysez votre PC :
Essai gratuit de 6 jours disponible.

Ce texte demandant le paiement est pour récupérer les fichiers via la clé de déchiffrement :

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – L’alerte effrayante demandant aux utilisateurs de payer la rançon pour décrypter les données encodées contient ces avertissements frustrants

Le rançongiciel Gash se présente sous la forme d’un ensemble de processus destinés à effectuer différentes tâches sur l’ordinateur d’une victime. L’un des premiers lancés est winupdate.exe, un processus délicat qui affiche une fausse invite de mise à jour Windows pendant l’attaque. Ceci est destiné à convaincre la victime qu’un ralentissement soudain du système est causé par une mise à jour de Windows. Cependant, en même temps, le ransomware exécute un autre processus (généralement nommé par quatre caractères aléatoires) qui commence à analyser le système à la recherche de fichiers cibles et à les chiffrer. Ensuite, le rançongiciel supprime les clichés instantanés de volumes du système à l’aide de la commande CMD suivante :

vssadmin.exe Delete Shadows /All /Quiet

Une fois supprimé, il devient impossible de restaurer l’état précédent de l’ordinateur à l’aide des points de restauration système. Le fait est que les opérateurs de ransomwares se débarrassent de toutes les méthodes basées sur le système d’exploitation Windows qui pourraient aider la victime à restaurer des fichiers gratuitement. De plus, les escrocs modifient le fichier Windows HOSTS en y ajoutant une liste de domaines et en les mappant à l’adresse IP localhost. En conséquence, la victime rencontrera une erreur DNS_PROBE_FINISHED_NXDOMAIN lors de l’accès à l’un des sites Web bloqués.

Nous avons remarqué que les rançongiciels tentent de bloquer les sites Web qui publient divers guides pratiques pour les utilisateurs d’ordinateurs. Il est évident qu’en restreignant des domaines spécifiques, les escrocs tentent d’empêcher la victime d’accéder en ligne à des informations pertinentes et utiles sur les attaques de rançongiciels. Le virus enregistre également deux fichiers texte sur l’ordinateur de la victime qui fournissent des détails liés à l’attaque : la clé de cryptage publique et l’identifiant personnel de la victime. Ces deux fichiers sont appelés bowsakkdestx.txt et PersonalID.txt.

Gash ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Après toutes ces modifications, le malware ne s’arrête pas. Les variantes de STOP/DJVU ont tendance à déposer le cheval de Troie voleur de mot de passe Vidar sur les systèmes compromis. Cette menace a une longue liste de capacités, telles que :

  • Voler Steam, Telegram, identifiant/mot de passe Skype ;
  • Voler des portefeuilles de crypto-monnaie ;
  • télécharger des logiciels malveillants sur l’ordinateur et les exécuter ;
  • Voler les cookies du navigateur, les mots de passe enregistrés, l’historique de navigation, etc.
  • Afficher et manipuler des fichiers sur l’ordinateur de la victime ;
  • Permettre aux pirates d’effectuer d’autres tâches à distance sur l’ordinateur de la victime.

L’algorithme de cryptographie utilisé par le rançongiciel DJVU/STOP est AES-256. Donc, si vos documents sont cryptés avec une clé de décryptage en ligne, qui est totalement distincte. La triste réalité est qu’il est impossible de décrypter les fichiers sans la clé unique.

Dans le cas où Gash fonctionnait en mode en ligne, il vous est impossible d’accéder à la clé AES-256. Il est stocké sur un serveur distant appartenant aux fraudeurs qui promeuvent le virus Gash.

Pour recevoir la clé de déchiffrement, le paiement doit être de 980 $. Pour obtenir les détails du paiement, les victimes sont encouragées par le message à contacter les fraudeurs par email ([email protected]).

Le message du rançongiciel indique les informations suivantes :

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

[email protected]

Reserve e-mail address to contact us:

[email protected]

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Ne payez pas pour Gash !

S’il vous plaît, essayez d’utiliser les sauvegardes disponibles ou l’outil Decrypter

Le fichier _readme.txt indique également que les propriétaires d’ordinateurs doivent entrer en contact avec les représentants de Gash pendant 72 heures à compter du moment où les fichiers ont été cryptés. À condition de nous contacter dans les 72 heures, les utilisateurs bénéficieront d’une remise de 50 %. Ainsi, le montant de la rançon sera réduit à 490 $). Cependant, évitez de payer la rançon !

Je vous recommande fortement de ne pas contacter ces fraudeurs et de ne pas payer. L’une des solutions de travail les plus réelles pour récupérer les données perdues – en utilisant simplement les sauvegardes disponibles, ou utilisez Decrypter outil.

La particularité de tous ces virus applique un ensemble similaire d’actions pour générer la clé de déchiffrement unique pour récupérer les données chiffrées.

Ainsi, à moins que le rançongiciel ne soit encore au stade de développement ou qu’il ne présente des défauts difficiles à détecter, la récupération manuelle des données chiffrées est une chose que vous ne pouvez pas effectuer. La seule solution pour éviter la perte de vos précieuses données est de faire régulièrement des sauvegardes de vos fichiers cruciaux.

Notez que même si vous maintenez régulièrement de telles sauvegardes, elles doivent être placées dans un emplacement spécifique sans flâner, sans être connectées à votre poste de travail principal.

Par exemple, la sauvegarde peut être conservée sur la clé USB ou sur un autre stockage sur disque dur externe. En option, vous pouvez vous référer à l’aide du stockage d’informations en ligne (cloud).

Inutile de mentionner que lorsque vous conservez vos données de sauvegarde sur votre appareil commun, elles peuvent être chiffrées de la même manière ainsi que d’autres données.

Pour cette raison, localiser la sauvegarde sur votre PC principal n’est certainement pas une bonne idée.

Comment j’ai été infecté ?

Ransomware a différentes méthodes à intégrer à votre système. Mais peu importe la méthode utilisée dans votre cas.

Gash ransomware attack

Attaque de Gash suite à une tentative de phishing réussie.

Néanmoins, voici les fuites courantes par lesquelles il peut être injecté dans votre PC :
  • installation masquée avec d’autres applications, en particulier les utilitaires qui fonctionnent en tant que freeware ou shareware ;
  • lien douteux dans les spams menant au programme d’installation du virus
  • ressources d’hébergement gratuites en ligne ;
  • utiliser des ressources peer-to-peer (P2P) illégales pour télécharger des logiciels piratés.

Il y a eu des cas où le virus Gash était déguisé en un outil légitime, par exemple, dans les messages demandant de lancer des mises à jour de logiciels ou de navigateurs indésirables. C’est généralement ainsi que certaines fraudes en ligne visent à vous forcer à installer manuellement le rançongiciel Gash, en vous faisant participer directement à ce processus.

Certes, la fausse alerte de mise à jour n’indiquera pas que vous allez réellement injecter le ransomware. Cette installation sera dissimulée sous une alerte mentionnant que vous devriez mettre à jour Adobe Flash Player ou un autre programme douteux quel qu’il soit.

Bien sûr, les applications piratées représentent également les dégâts. L’utilisation du P2P est à la fois illégale et peut entraîner l’injection de logiciels malveillants graves, y compris le rançongiciel Gash.

En résumé, que pouvez-vous faire pour éviter l’injection du rançongiciel Gash dans votre appareil ? Même s’il n’y a pas de garantie à 100% pour empêcher votre PC d’être endommagé, je veux vous donner certains conseils pour empêcher la pénétration de Gash. Vous devez être prudent lors de l’installation de logiciels gratuits aujourd’hui.

Assurez-vous de toujours lire ce que les installateurs proposent en plus du programme gratuit principal. Évitez d’ouvrir des pièces jointes douteuses. N’ouvrez pas les fichiers des destinataires inconnus. Bien sûr, votre programme de sécurité actuel doit toujours être mis à jour.

Le malware ne parle pas ouvertement de lui-même. Il ne sera pas mentionné dans la liste de vos programmes disponibles. Cependant, il sera masqué sous certains processus malveillants s’exécutant régulièrement en arrière-plan, à partir du moment où vous lancez votre PC.

Comment supprimer le virus Gash ?

En plus d’encoder les fichiers d’une victime, le virus Gash a également commencé à installer le Vidar Stealer sur l’ordinateur pour voler les identifiants de compte, les portefeuilles de crypto-monnaie, les fichiers de bureau, etc.3
Raisons pour lesquelles je recommanderais GridinSoft4

  1. Exécutez le fichier d’installation.

    Run Setup.exe
    GridinSoft Anti-Malware Setup

  2. Appuyez sur le bouton “Installer”.

    GridinSoft Anti-Malware Install

  3. Une fois installé, Anti-Malware s’exécutera automatiquement.

    GridinSoft Anti-Malware Splash-Screen

  4. Attendez la fin.

    GridinSoft Anti-Malware Scanning

  5. Cliquez sur “Nettoyer maintenant”.

    GridinSoft Anti-Malware Scan Result

About the author

Brendan Smith

Cybersecurity analyst covering malware families, suspicious files, and detection alerts. Brendan focuses on clear explanations of what a warning means, when it may be a false positive, and which cleanup steps are appropriate.

View all posts

Leave a Comment