Virus QOQA (fichier .qoqa) — OUTIL DE DÉCRYPTAGE ET DE SUPPRESSION

Written by Brendan Smith

Le virus Qoqa est une famille STOP/DJVU d’infections de type ransomware. Ce virus crypte vos fichiers (vidéo, photos, documents) qui peuvent être suivis par une extension spécifique “.qoqa”. Il utilise une méthode de cryptage forte, ce qui rend impossible le calcul de la clé de quelque manière que ce soit.

Qoqa utilise une clé unique pour chaque victime, à une exception près :

  • Si Qoqa ne peut pas établir de connexion à son serveur de commande et de contrôle (serveur C&C) avant de démarrer le processus de chiffrement, il utilise la clé hors ligne. Cette clé est la même pour toutes les victimes, ce qui permet de déchiffrer les fichiers chiffrés lors d’une attaque par ransomware.
Brendan Smith
Brendan Smith
Expert en Sécurité Informatique
Tout d'abord, analysez votre PC avec un outil antivirus !
Je vais essayer de vous aider à supprimer le virus Qoqa et vous montrerai comment déchiffrer ou restaurer les fichiers cryptés. Il n'y a pas de meilleur moyen de reconnaître, de supprimer et d'empêcher les ransomwares que d'utiliser un logiciel anti-malware de GridinSoft.
Anti-Malware
Essai de 6 jours de Anti-Malware disponible.
CLUF | Politique de Confidentialité | 10% Off Coupon
Abonnez-vous à notre chaîne Telegram pour être le premier à être informé des nouvelles et de nos contenus exclusifs sur la sécurité de l'information.

J’ai rassemblé une collection complète de toutes les solutions, astuces et pratiques possibles pour neutraliser le virus Qoqa et décrypter les fichiers. Dans certains cas, il est facile de récupérer vos fichiers. Et parfois c’est tout simplement impossible.

Il existe plusieurs méthodes universelles pour récupérer des fichiers .qoqa chiffrés, qui seront démontrées ci-dessous. Il est essentiel de lire attentivement l’intégralité du manuel d’instructions et de s’assurer de tout comprendre. Ne sautez aucune étape. Chacune de ces étapes est très importante et doit être complétée par vous.

Virus Qoqa ?

☝️ Qoqa peut être correctement identifié comme une infection rançongiciel STOP/DJVU.

Qoqa

🤔 Le virus Qoqa est un rançongiciel issu de la famille DJVU/STOP. Son objectif principal est de chiffrer les fichiers qui sont importants pour vous. Après ce virus rançongiciel demande à ses victimes une rançon (490 $ – 980 $) en BitCoin.

Le ransomware Qoqa est un type spécifique de malware qui crypte vos fichiers et vous oblige ensuite à payer pour les restaurer. La famille Djvu/STOP ransomware a été révélée et analysée pour la première fois par l’analyste de virus Michael Gillespie.

Le virus Qoqa est similaire à d’autres rançongiciels DJVU tels que : Pozd, Pozq, Powd. Ce virus crypte tous les types de fichiers populaires et ajoute son extension particulière “.qoqa” dans tous les fichiers. Par exemple, le fichier “1.jpg”, sera changé en “1.jpg.qoqa“. Dès que le cryptage est terminé, le virus génère un fichier de message spécial “_readme.txt” et le dépose dans tous les dossiers contenant les fichiers modifiés.

L’image ci-dessous donne une vision claire de l’apparence des fichiers avec l’extension “.qoqa”:

Qoqa Virus - encrypted .qoqa files

Qoqa File (STOP/DJVU Ransomware)

NomVirus Qoqa
Famille de rançongiciels1DJVU/STOP2 rançongiciel
Extension.qoqa
Remarque sur les rançongiciels_readme.txt
La rançonDe 490 $ à 980 $ (en Bitcoins)
Contactsupport@fishmail.top, datarestorehelp@airmail.cc
Détection3Trojan.Ransom.VirLock, Ransom:MSIL/Cryptolocker.EK!MTB, Ransom:Win32/MedusaLocker.B!MTB
Les symptômes
  • Crypté la plupart de vos fichiers (photos, vidéos, documents) et ajoute une extension “.qoqa” particulière ;
  • Peut supprimer les clichés instantanés de volume pour rendre impossibles les tentatives de la victime de restaurer les données ;
  • Ajoute une liste de domaines au fichier HOSTS pour bloquer l’accès à certains sites liés à la sécurité ;
  • Installe un cheval de Troie voleur de mot de passe sur le système, comme Vidar Stealer ou RedLine Stealer ;
  • Gère l’installation d’une SmokeLoader Backdoor ;
Outil de réparation Pour supprimer d’éventuelles infections par des logiciels malveillants, analysez votre PC :


Essai gratuit de 6 jours disponible.

Ce texte demandant le paiement est pour récupérer les fichiers via la clé de déchiffrement :

_readme.txt (STOP/DJVU Ransomware)

_readme.txt (STOP/DJVU Ransomware) – L’alerte effrayante demandant aux utilisateurs de payer la rançon pour décrypter les données encodées contient ces avertissements frustrants

Le rançongiciel Qoqa se présente sous la forme d’un ensemble de processus destinés à effectuer différentes tâches sur l’ordinateur d’une victime. L’un des premiers lancés est winupdate.exe, un processus délicat qui affiche une fausse invite de mise à jour Windows pendant l’attaque. Ceci est destiné à convaincre la victime qu’un ralentissement soudain du système est causé par une mise à jour de Windows. Cependant, en même temps, le ransomware exécute un autre processus (généralement nommé par quatre caractères aléatoires) qui commence à analyser le système à la recherche de fichiers cibles et à les chiffrer. Ensuite, le rançongiciel supprime les clichés instantanés de volumes du système à l’aide de la commande CMD suivante :

vssadmin.exe Delete Shadows /All /Quiet

Une fois supprimé, il devient impossible de restaurer l’état précédent de l’ordinateur à l’aide des points de restauration système. Le fait est que les opérateurs de ransomwares se débarrassent de toutes les méthodes basées sur le système d’exploitation Windows qui pourraient aider la victime à restaurer des fichiers gratuitement. De plus, les escrocs modifient le fichier Windows HOSTS en y ajoutant une liste de domaines et en les mappant à l’adresse IP localhost. En conséquence, la victime rencontrera une erreur DNS_PROBE_FINISHED_NXDOMAIN lors de l’accès à l’un des sites Web bloqués.

Nous avons remarqué que les rançongiciels tentent de bloquer les sites Web qui publient divers guides pratiques pour les utilisateurs d’ordinateurs. Il est évident qu’en restreignant des domaines spécifiques, les escrocs tentent d’empêcher la victime d’accéder en ligne à des informations pertinentes et utiles sur les attaques de rançongiciels. Le virus enregistre également deux fichiers texte sur l’ordinateur de la victime qui fournissent des détails liés à l’attaque : la clé de cryptage publique et l’identifiant personnel de la victime. Ces deux fichiers sont appelés bowsakkdestx.txt et PersonalID.txt.

Qoqa ransomware virus saves public encryption key and victim's id in bowsakkdestx.txt file

Après toutes ces modifications, le malware ne s’arrête pas. Les variantes de STOP/DJVU ont tendance à déposer le cheval de Troie voleur de mot de passe Vidar sur les systèmes compromis. Cette menace a une longue liste de capacités, telles que :

  • Voler Steam, Telegram, identifiant/mot de passe Skype ;
  • Voler des portefeuilles de crypto-monnaie ;
  • télécharger des logiciels malveillants sur l’ordinateur et les exécuter ;
  • Voler les cookies du navigateur, les mots de passe enregistrés, l’historique de navigation, etc.
  • Afficher et manipuler des fichiers sur l’ordinateur de la victime ;
  • Permettre aux pirates d’effectuer d’autres tâches à distance sur l’ordinateur de la victime.

L’algorithme de cryptographie utilisé par le rançongiciel DJVU/STOP est AES-256. Donc, si vos documents sont cryptés avec une clé de décryptage en ligne, qui est totalement distincte. La triste réalité est qu’il est impossible de décrypter les fichiers sans la clé unique.

Dans le cas où Qoqa fonctionnait en mode en ligne, il vous est impossible d’accéder à la clé AES-256. Il est stocké sur un serveur distant appartenant aux fraudeurs qui promeuvent le virus Qoqa.

Pour recevoir la clé de déchiffrement, le paiement doit être de 980 $. Pour obtenir les détails du paiement, les victimes sont encouragées par le message à contacter les fraudeurs par email (support@fishmail.top).

Le message du rançongiciel indique les informations suivantes :

ATTENTION!

Don't worry, you can return all your files!

All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.

What guarantees you have?

You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.

You can get and look video overview decrypt tool:

https://we.tl/t-WJa63R98Ku

Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.

Please note that you'll never restore your data without payment.

Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.

To get this software you need write on our e-mail:

support@fishmail.top

Reserve e-mail address to contact us:

datarestorehelp@airmail.cc

Your personal ID:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Ne payez pas pour Qoqa !

S’il vous plaît, essayez d’utiliser les sauvegardes disponibles ou l’outil Decrypter

Le fichier _readme.txt indique également que les propriétaires d’ordinateurs doivent entrer en contact avec les représentants de Qoqa pendant 72 heures à compter du moment où les fichiers ont été cryptés. À condition de nous contacter dans les 72 heures, les utilisateurs bénéficieront d’une remise de 50 %. Ainsi, le montant de la rançon sera réduit à 490 $). Cependant, évitez de payer la rançon !

Je vous recommande fortement de ne pas contacter ces fraudeurs et de ne pas payer. L’une des solutions de travail les plus réelles pour récupérer les données perdues – en utilisant simplement les sauvegardes disponibles, ou utilisez Decrypter outil.

La particularité de tous ces virus applique un ensemble similaire d’actions pour générer la clé de déchiffrement unique pour récupérer les données chiffrées.

Ainsi, à moins que le rançongiciel ne soit encore au stade de développement ou qu’il ne présente des défauts difficiles à détecter, la récupération manuelle des données chiffrées est une chose que vous ne pouvez pas effectuer. La seule solution pour éviter la perte de vos précieuses données est de faire régulièrement des sauvegardes de vos fichiers cruciaux.

Notez que même si vous maintenez régulièrement de telles sauvegardes, elles doivent être placées dans un emplacement spécifique sans flâner, sans être connectées à votre poste de travail principal.

Par exemple, la sauvegarde peut être conservée sur la clé USB ou sur un autre stockage sur disque dur externe. En option, vous pouvez vous référer à l’aide du stockage d’informations en ligne (cloud).

Inutile de mentionner que lorsque vous conservez vos données de sauvegarde sur votre appareil commun, elles peuvent être chiffrées de la même manière ainsi que d’autres données.

Pour cette raison, localiser la sauvegarde sur votre PC principal n’est certainement pas une bonne idée.

Comment j’ai été infecté ?

Ransomware a différentes méthodes à intégrer à votre système. Mais peu importe la méthode utilisée dans votre cas.

Qoqa ransomware attack

Attaque de Qoqa suite à une tentative de phishing réussie.

Néanmoins, voici les fuites courantes par lesquelles il peut être injecté dans votre PC :

  • installation masquée avec d’autres applications, en particulier les utilitaires qui fonctionnent en tant que freeware ou shareware ;
  • lien douteux dans les spams menant au programme d’installation du virus
  • ressources d’hébergement gratuites en ligne ;
  • utiliser des ressources peer-to-peer (P2P) illégales pour télécharger des logiciels piratés.

Il y a eu des cas où le virus Qoqa était déguisé en un outil légitime, par exemple, dans les messages demandant de lancer des mises à jour de logiciels ou de navigateurs indésirables. C’est généralement ainsi que certaines fraudes en ligne visent à vous forcer à installer manuellement le rançongiciel Qoqa, en vous faisant participer directement à ce processus.

Certes, la fausse alerte de mise à jour n’indiquera pas que vous allez réellement injecter le ransomware. Cette installation sera dissimulée sous une alerte mentionnant que vous devriez mettre à jour Adobe Flash Player ou un autre programme douteux quel qu’il soit.

Bien sûr, les applications piratées représentent également les dégâts. L’utilisation du P2P est à la fois illégale et peut entraîner l’injection de logiciels malveillants graves, y compris le rançongiciel Qoqa.

En résumé, que pouvez-vous faire pour éviter l’injection du rançongiciel Qoqa dans votre appareil ? Même s’il n’y a pas de garantie à 100% pour empêcher votre PC d’être endommagé, je veux vous donner certains conseils pour empêcher la pénétration de Qoqa. Vous devez être prudent lors de l’installation de logiciels gratuits aujourd’hui.

Assurez-vous de toujours lire ce que les installateurs proposent en plus du programme gratuit principal. Évitez d’ouvrir des pièces jointes douteuses. N’ouvrez pas les fichiers des destinataires inconnus. Bien sûr, votre programme de sécurité actuel doit toujours être mis à jour.

Le malware ne parle pas ouvertement de lui-même. Il ne sera pas mentionné dans la liste de vos programmes disponibles. Cependant, il sera masqué sous certains processus malveillants s’exécutant régulièrement en arrière-plan, à partir du moment où vous lancez votre PC.

Comment supprimer le virus Qoqa ?

En plus d’encoder les fichiers d’une victime, le virus Qoqa a également commencé à installer le Vidar Stealer sur l’ordinateur pour voler les identifiants de compte, les portefeuilles de crypto-monnaie, les fichiers de bureau, etc.4
Raisons pour lesquelles je recommanderais GridinSoft5

Il n’y a pas de meilleur moyen de reconnaître, supprimer et empêcher les ransomwares que d’utiliser un logiciel anti-malware de GridinSoft6.

  1. Télécharger l’outil de suppression.

    Vous pouvez télécharger GridinSoft Anti-Malware en cliquant sur le bouton ci-dessous :

  2. Exécutez le fichier d’installation.

    Une fois le téléchargement du fichier d’installation terminé, double-cliquez sur le fichier setup-antimalware-fix.exe pour installer GridinSoft Anti-Malware sur votre système.

    Run Setup.exe

    Un contrôle de compte d’utilisateur vous demandant d’autoriser GridinSoft Anti-Malware à apporter des modifications à votre appareil. Donc, vous devez cliquer sur “Oui” pour continuer l’installation.

    GridinSoft Anti-Malware Setup

  3. Appuyez sur le bouton “Installer”.

    GridinSoft Anti-Malware Install

  4. Une fois installé, Anti-Malware s’exécutera automatiquement.

    GridinSoft Anti-Malware Splash-Screen

  5. Attendez la fin.

    GridinSoft Anti-Malware commencera automatiquement à analyser votre ordinateur à la recherche d’infections Qoqa et d’autres programmes malveillants. Ce processus peut prendre 20 à 30 minutes, je vous suggère donc de vérifier périodiquement l’état du processus d’analyse.

    GridinSoft Anti-Malware Scanning

  6. Cliquez sur “Nettoyer maintenant”.

    Une fois l’analyse terminée, vous verrez la liste des infections détectées par GridinSoft Anti-Malware. Pour les supprimer, cliquez sur le bouton “Nettoyer maintenant” dans le coin droit.

    GridinSoft Anti-Malware Scan Result
  7. Trojan Killer pour les cas particuliers

    Dans certains cas, le ransomware Qoqa peut bloquer l’exécution des fichiers d’installation de différents programmes anti-malware. Dans cette situation, vous devez utiliser le lecteur amovible avec un outil antivirus préinstallé.

    Il existe très peu d’outils de sécurité pouvant être configurés sur les clés USB, et les antivirus qui peuvent le faire nécessitent dans la plupart des cas d’obtenir une licence assez coûteuse. Dans ce cas, je peux vous recommander d’utiliser une autre solution de GridinSoft – Trojan Killer Portable. Il dispose d’un mode d’essai gratuit de 14 jours qui offre toutes les fonctionnalités de la version payante 7. Ce terme sera certainement suffisant à 100 % pour éliminer les logiciels malveillants.

Comment décrypter les fichiers .qoqa ?

Solution de restauration pour les gros “fichiers .qoqa

Essayez de supprimer l’extension .qoqa sur quelques GROS fichiers et ouvrez-les. Soit le rançongiciel Qoqa a lu et n’a pas crypté le fichier, soit il a bogué et n’a pas ajouté le marqueur de fichier. Si vos fichiers sont très volumineux (2 Go +), ce dernier est le plus probable. S’il vous plaît, faites-moi savoir dans les commentaires si cela fonctionnera pour vous.

Les dernières extensions ont été publiées vers la fin du mois d’août 2019 après que les criminels ont apporté des modifications. Cela inclut Nuow, Nuis, Nury, etc.

À la suite des modifications apportées par les criminels, STOPDecrypter n’est plus pris en charge. Il a été supprimé et remplacé par le Emsisoft Decryptor for STOP Djvu Ransomware développé par Emsisoft et Michael Gillespie.

Vous pouvez télécharger l’outil de décryptage gratuit ici : Décrypteur pour STOP Djvu.

  1. Téléchargez et exécutez l’outil de décryptage.

    Commencez à télécharger l’outil de décryptage.

    Assurez-vous de lancer l’utilitaire de décryptage en tant qu’administrateur. Vous devez accepter les termes de la licence qui apparaîtront. Pour cela, cliquez sur le bouton “Oui” :

    Emsisoft Decryptor - license terms

    Dès que vous acceptez les termes de la licence, l’interface utilisateur principale du décrypteur apparaît :

    Emsisoft Decryptor - user interface

  2. Sélectionnez les dossiers à déchiffrer.

    Sur la base des paramètres par défaut, le décrypteur remplira automatiquement les emplacements disponibles afin de décrypter les lecteurs actuellement disponibles (ceux connectés), y compris les lecteurs réseau. Des emplacements supplémentaires (facultatifs) peuvent être sélectionnés à l’aide du bouton “Ajouter”.

    Les décrypteurs suggèrent normalement plusieurs options en tenant compte de la famille spécifique de logiciels malveillants. Les options actuellement possibles sont présentées dans l’onglet Options et peuvent y être activées ou désactivées. Vous pouvez trouver une liste détaillée des options actuellement actives ci-dessous.

  3. Cliquez sur le bouton “Décrypter”.

    Dès que vous ajoutez tous les emplacements souhaités pour le décryptage dans la liste, cliquez sur le bouton “Décrypter” afin de lancer la procédure de décryptage.

    Notez que l’écran principal peut vous diriger vers une vue d’état, vous informant du processus actif et des statistiques de déchiffrement de vos données :

    Emsisoft Decryptor - the decryption statistics

    Le décrypteur vous avertira dès que la procédure de décryptage sera terminée. Si vous avez besoin du rapport pour vos papiers personnels, vous pouvez le sauvegarder en choisissant le bouton “Enregistrer le journal”. Notez qu’il est également possible de le copier directement dans votre presse-papiers et de le coller dans des e-mails ou des messages ici si vous en avez besoin.

Le décrypteur Emsisoft peut afficher différents messages après une tentative infructueuse de restauration de vos fichiers qoqa:

✓ Error: Unable to decrypt file with ID: [your ID]
Il n’y a pas de clé de décryptage correspondante dans la base de données du décrypteur Emsisoft.
✓ No key for New Variant online ID: [your ID]
Remarque : cet identifiant semble être un identifiant en ligne, le déchiffrement est impossible
Vos fichiers originaux ont été cryptés avec une clé en ligne. Ainsi, personne d’autre n’a la même paire de clés de chiffrement/déchiffrement. La récupération des fichiers qoqa sans payer les criminels est impossible. 🙁
✓ Result: No key for new variant offline ID: [example ID]
Cet ID semble être un ID hors ligne. Le déchiffrement pourrait être possible à l’avenir.
Une clé hors ligne a été utilisée, mais les fichiers n’ont pas pu être restaurés (la clé de déchiffrement hors ligne n’est pas encore disponible). Mais recevoir ce message est une bonne nouvelle pour vous, car il pourrait être possible de restaurer vos fichiers qoqa à l’avenir. 🙂
Cela peut prendre quelques semaines ou quelques mois avant que la clé de décryptage ne soit trouvée et téléchargée sur le décrypteur. Veuillez suivre les mises à jour concernant les versions déchiffrables de DJVU ici.
✓ Remote name could not be resolved
C’est une indication d’un problème DNS sur votre PC. Notre première recommandation est de réinitialiser votre fichier HOSTS par défaut.

Comment restaurer des fichiers .qoqa?

Dans certains cas, le rançongiciel Qoqa n’est pas une catastrophe pour vos fichiers…

La fonctionnalité de mécanisme de cryptage Qoqa ransomware est la suivante : elle crypte chaque fichier octet par octet, puis enregistre une copie du fichier, en supprimant (et sans remplacer !) le fichier d’origine. Par conséquent, les informations sur l’emplacement du fichier sur le disque physique sont perdues, mais le fichier d’origine n’est pas supprimé du disque physique. La cellule, ou le secteur où ce fichier a été stocké, peut toujours contenir ce fichier, mais il n’est pas répertorié par le système de fichiers et peut être écrasé par des données qui ont été chargées sur ce disque après la suppression. Par conséquent, il est possible de récupérer vos fichiers à l’aide d’un logiciel spécial.

I recently had my pc infected by the Qoqa virus. It managed to bypass 2 Antivirus software and 2 malware fighters.

Anyway, after realizing it was an online algorithm, it is impossible to retrieve my encrypted files. I also had my backup drive plugged in at the time of the virus, and this was also infected, or so I thought. Every folder within my backup drive had been infected and was encrypted. However, despite losing some important files, I retrieved almost 80% of my 2TB storage.

When I started going through the folders, I noticed the readme.txt ransom note in every folder. I opened some of the folders and found that all files that were not in a subfolder within that folder had been encrypted. However, I found a flaw and glimmer of hope when I went into the subfolders in other folders and found that these files had not been encrypted. Every folder within my c and d drives, including subfolders, had been encrypted, but this was not the case with the backup drive. Having subfolders created within a folder has saved 80% of my data.

As I said, I believe this to be only a small loophole on a backup drive. I’ve since found a further 10 % of my data on another hard drive on a different pc. So my advice is if you use a backup drive, create subfolders. I was lucky, I guess. But I was also unlucky that the virus hit as I was transferring some files from my backup.

Hopefully, this can help some other people in my situation.

Jamie Newland
Some pointers for recovery repair of Qoqa files (true for all STOP/DJVU variants):

  • I have seen Qoqa variants fail to encrypt deeper nested folders, so that you can check that. You may find those are not encrypted.
  • This ransomware saves encrypted data to a new file, deletes the original. So there’s a slight chance part of that deleted file can be recovered using file recovery software. It’s unlikely the folder structure can be restored, so a free tool like PhotoRec may be as good as any.
  • This ransomware only partially encrypts (about the first 150 KB), so depending on file size and type of data, the not encrypted part may be recoverable.
  • Joep

    Récupérer vos fichiers avec PhotoRec

    PhotoRec est un programme open source, créé à l’origine pour la récupération de fichiers à partir de disques endommagés ou pour la récupération de fichiers au cas où ils seraient supprimés. Cependant, au fil du temps, ce programme a obtenu la capacité de récupérer les fichiers de 400 extensions différentes. Par conséquent, il peut être utilisé pour la récupération de données après l’attaque du rançongiciel.

    Au début, vous devez télécharger cette application. C’est 100% gratuit, mais le développeur déclare qu’il n’y a aucune garantie que vos fichiers seront récupérés. PhotoRec est distribué dans un pack avec un autre utilitaire du même développeur – TestDisk. L’archive téléchargée portera le nom TestDisk, mais ne vous inquiétez pas. Les fichiers PhotoRec sont juste à l’intérieur.

    Pour ouvrir PhotoRec, vous devez rechercher et ouvrir le fichier “qphotorec_win.exe”. Aucune installation n’est requise – ce programme contient tous les fichiers dont il a besoin à l’intérieur de l’archive, vous pouvez donc l’installer sur votre clé USB et essayer d’aider votre ami/parents/toute personne qui a été attaquée par DJVU/STOP ransomware.

    PhotoRec file in the folder

    Après le lancement, vous verrez l’écran vous montrant la liste complète de vos espaces disque. Cependant, cette information est probablement inutile, car le menu requis est placé un peu plus haut. Cliquez sur cette barre, puis choisissez le disque qui a été attaqué par un rançongiciel.

    Choose the disc in PhotoRec

    Après avoir choisi le disque, vous devez choisir le dossier de destination pour les fichiers récupérés. Ce menu est situé dans la partie inférieure de la fenêtre PhotoRec. La meilleure desicion est de les exporter sur clé USB ou tout autre type de disque amovible.

    Choosing the destination folder of recovery

    Ensuite, vous devez spécifier les formats de fichier. Cette option est également située en bas. Comme il a été mentionné, PhotoRec peut récupérer les fichiers d’environ 400 formats différents.

    Choose the file format

    Enfin, vous pouvez lancer la récupération des fichiers en appuyant sur le bouton “Rechercher”. Vous verrez l’écran où les résultats de l’analyse et de la récupération sont affichés.

    Recovery process

    Guide de récupération des fichiers Qoqa


    Frequently Asked Questions

    🤔 Comment puis-je ouvrir les fichiers “.qoqa” ?

    Certainement pas. Ces fichiers sont cryptés par un rançongiciel. Le contenu des fichiers .qoqa n’est pas disponible tant qu’il n’est pas déchiffré.

    🤔 Les fichiers Qoqa contiennent des informations importantes. Comment puis-je les décrypter en urgence ?

    Si vos données restées dans les fichiers .qoqa sont très précieuses, vous avez probablement fait une copie de sauvegarde.
    Si ce n’est pas le cas, vous pouvez essayer de les restaurer via la fonction système – Restore Point.
    Toutes les autres méthodes demanderont de la patience.

    🤔 Vous avez conseillé d’utiliser GridinSoft Anti-Malware pour supprimer Qoqa. Cela signifie-t-il que le programme supprimera mes fichiers cryptés ?

    Bien sûr que non. Vos fichiers cryptés ne constituent pas une menace pour l’ordinateur. Ce qui s’est passé est déjà arrivé.

    Vous avez besoin de GridinSoft Anti-Malware pour supprimer les infections actives du système. Le virus qui a crypté vos fichiers est probablement encore actif et exécute périodiquement un test de capacité à crypter encore plus de fichiers. En outre, ces virus installent souvent des enregistreurs de frappe et des portes dérobées pour d’autres actions malveillantes (par exemple, le vol de mots de passe, de cartes de crédit).

    🤔 Le virus Qoqa a bloqué le PC infecté : je n’arrive pas à obtenir le code d’activation.

    Dans cette situation, vous devez préparer la clé USB avec un Trojan Killer préinstallé.

    🤔 Decryptor n’a pas déchiffré tous mes fichiers, ou tous n’ont pas été déchiffrés. Que dois-je faire ?

    Avoir de la patience. Vous êtes infecté par la nouvelle version du rançongiciel STOP/DJVU et les clés de déchiffrement n’ont pas encore été publiées. Suivez l’actualité sur notre site.

    Nous vous tiendrons au courant lorsque de nouvelles clés Qoqa ou de nouveaux programmes de décryptage apparaîtront.

    🤔 Que puis-je faire maintenant ?

    Le ransomware Qoqa chiffre uniquement les 150 premiers Ko de fichiers. Ainsi, les fichiers MP3 sont plutôt volumineux, certains lecteurs multimédias (Winamp par exemple) peuvent être en mesure de lire les fichiers, mais – les 3 à 5 premières secondes (la partie cryptée) seront manquantes.

    Vous pouvez essayer de trouver une copie d’un fichier original qui a été chiffré :

    • Fichiers que vous avez téléchargés sur Internet et qui ont été cryptés et que vous pouvez télécharger à nouveau pour obtenir l’original.
    • Les photos que vous avez partagées avec votre famille et vos amis et qu’ils peuvent simplement vous renvoyer.
    • Les photos que vous avez téléchargées sur les réseaux sociaux ou les services cloud tels que Carbonite, OneDrive, iDrive, Google Drive, etc.)
    • Pièces jointes dans les e-mails que vous avez envoyés ou reçus et enregistrés.
    • Fichiers sur un ordinateur plus ancien, un lecteur flash, un lecteur externe, une carte mémoire d’appareil photo ou un iPhone sur lequel vous avez transféré des données vers l’ordinateur infecté.

    Vous pouvez également contacter les sites gouvernementaux de fraude et d’escroquerie suivants pour signaler cette attaque :

    Pour signaler l’attaque, vous pouvez contacter les conseils d’administration locaux (une liste complète que vous pouvez trouver ici). Par exemple, si vous vivez aux États-Unis, vous pouvez discuter avec Bureau local du FBI, IC3 ou Secret Service.

    Guide vidéo

    C’est mon didacticiel vidéo préféré : Comment utiliser GridinSoft Anti-Malware et Emsisoft Decryptor pour corriger les infections par ransomware.

    Si le guide ne vous aide pas à supprimer le virus Qoqa, veuillez télécharger le GridinSoft Anti-Malware que j’ai recommandé. N’oubliez pas de partager votre expérience dans la résolution du problème. Veuillez laisser un commentaire ici ! Cela peut aider d’autres victimes à comprendre qu’elles ne sont pas seules. Et ensemble, nous trouverons des moyens de régler ce problème.

    J’ai besoin de votre aide pour partager cet article.

    C’est à votre tour d’aider les autres. J’ai écrit cet article pour aider les gens comme vous. Vous pouvez utiliser les boutons ci-dessous pour partager ceci sur vos réseaux sociaux préférés Facebook, Twitter ou Reddit.
    Brendan Smith
    Sending
    User Review
    3.89 (9 votes)
    Comments Rating 0 (0 reviews)

    References

    1. Mes fichiers sont cryptés par un ransomware, que dois-je faire maintenant?
    2. À propos de DJVU (STOP) Ransomware.
    3. Encyclopédie des menaces.
    4. Vulnérabilité des mots de passe Windows (Mimikatz HackTool): https://howtofix.guide/mimikatz-hacktool/
    5. GridinSoft Anti-Malware Review du site HowToFix : https://howtofix.guide/gridinsoft-anti-malware/
    6. Plus d’informations sur les produits GridinSoft : https://gridinsoft.com/comparison
    7. Trojan Killer Review : https://howtofix.guide/trojan-killer/

    Anglais Allemand Japonais Espagnol Portugais - du Brésil Turc Chinois traditionnel Coréen Indonésien Hindi Italien

    About the author

    Brendan Smith

    I'm Brendan Smith, a passionate journalist, researcher, and web content developer. With a keen interest in computer technology and security, I specialize in delivering high-quality content that educates and empowers readers in navigating the digital landscape.

    With a focus on computer technology and security, I am committed to sharing my knowledge and insights to help individuals and organizations protect themselves in the digital age. My expertise in cybersecurity principles, data privacy, and best practices allows me to provide practical tips and advice that readers can implement to enhance their online security.

    Leave a Reply

    Sending