Eliminer .shit Virus Fichiers (Nouveau Locky Ransomware)

stf-locky-ransomware-virus-thor-thor-extension-ransom-note-htmlLa dernière itération de ransomware Locky est déjà ici. Les fichiers maintenant sont cryptés avec une nouvelle extension – .shit, mais c’est possible que d’autres extensions apparaissent aussi. Le Cryptovirus utilise maintenant les fichiers HTML (.hta) et provoque les serveurs de Commandement et Contrôle (C & C) à fournir son fichier de payload. Pour voir comment éliminer le ransomware et comment essayer de restaurer vos données, lisez soigneusement l’article suivant.

Résumé du Virus

Nom Locky
Type Ransomware (Rançongiciel), Cryptovirus
Short Description Le ransomware crypte vos données, puis il affiche un message aléatoire avec des instructions pour le paiement..
Symptômes Les fichiers cryptés auront l’extension .shit jointe à eux.
Méthode de distribution Les e-mails de spam, serveurs C & C, fichiers HTML sous forme de .hta
Detection Tool Voir si votre système a été affecté par Locky

Telecharger

L’instrument d’élimination

Expérience d’utilisateur Joignez-vous à notre forum pour discuter Locky..
Outil de récupération de données Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque.

Locky Ransomware – Distribution

La dernière version du ransomware Locky utilise les serveurs de commande et de contrôle comme un moyen de distribution. Les serveurs poussent le dernier payload pour le Cryptovirus. Le fichier de payload est vu dans deux formats – comme un fichier HTML ou comme un téléchargeur JScript. Respectivement ils ont les extensions – .hta et .wsf / .js. Ces fichiers peuvent être dans un .zip pour une détection plus difficile par le logiciel de sécurité. Vous pouvez voir les détections d’un tel fichier, sans qu’il soit obscurcie dans une archive, sur le site de VirusTotal:

stf-locky-ransomware-virus-thor-extension-payload-security-command-and-control-servers-budget-xls-vbs-file-c2-linuxsucks-php

La plupart des fichiers de payload ont le nom Receipt avec des chiffres aléatoires après, donc il semble une facture ou quittance légitime. Vous pouvez voir comment ressemble le corps d’un tel e-mail ci-dessous:

De: Free Haut Debit
Date: Lun, 24 Oct 2016
Sujet: [Espace] Notification de facture Freebox (95854808)
Bonjour,
Vous trouverez ci-jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe Free
Fichier joint: Facture_Free_201610_6292582_95854808.zip

Cet e-mail est en français parce que la France est l’un des pays les plus ciblés, ainsi que le Royaume-Uni, l’Allemagne, l’Arabie Saoudite, la Pologne et la Serbie, selon les chercheurs de logiciels malveillants de MalwareHunterTeam. Les e-mails ressemblent comme s’ils contiennent un message de facture légitime. Celui ci-dessus tente de surprendre l’utilisateur en lui faire penser qu’il doit payer 75 euros à une compagnie ou pour un service. Axé sur la «dette», la plupart des utilisateurs qui ne sont pas au courant de ransomware, vont ouvrir le fichier joint pour voir ce qui se passe exactement.

Une autre variante d’une lettre de spam lié à la nouvelle campagne en anglais:

From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js

Locky ransomware pourrait se propager aussi autour des médias sociaux et des sites de partage de fichiers. Évitez les liens suspects ou inconnus, les pièces jointes et les fichiers en général. Avant d’ouvrir un fichier, faites toujours du scan avec une application de sécurité. Vous devriez lire les conseils de prévention de ransomware dans notre forum.

Locky Ransomware – Analyse

Une nouvelle tendance du ransomware Locky a été découverte. Le Cryptovirus ramène les serveurs C2 (serveurs de Commandement et de Contrôle) de nouveau dans son schéma de distribution de payload, comme décrit ci-dessus. Cela porte à une livraison extrêmement rapide du script malveillant qui libère le virus sur l’ordinateur compromis. Vous pouvez prévisualiser certains des serveurs C2, ici:

• 185.102.13677:80/linuxsucks.php
• 91.200.14124:80/linuxsucks.php
• 109.234.35215:80/linuxsucks.php
• bwcfinntwork:80/linuxsucks.php

Cependant, quelques versions de Locky ransomware ont été observées, qui mettent également l’extension .shit, sans utiliser des serveurs C2, mais un fichier .DLL pour son point d’entrée, ce qui en fait un moyen hors ligne pour infecter des machines informatiques, sans parvenir à aucun emplacement de téléchargement.

Liste avec certains des sites de téléchargement de payload

Après l’exécution du payload, vos fichiers vont se crypter, et apparaîtra une note de rançon. Une copie de la note sera crée dans les fichiers avec le nom_WHAT_is.bmp

La demande de rançon avec des instructions sera définie comme votre fond d’écran, et elle est la même que les variantes antérieures (y compris les erreurs grammaticales):

Le texte est le suivant:

!!! INFORMATION IMPORTANTE!!!
Tous vos fichiers sont cryptés avec RSA-2048 et chiffrements AES-128.
Plus d’informations sur le RSA et AES peut être trouvée ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Le décryptage de vos fichiers est seulement possible avec une clé privée et une programme de décryptage, qui se trouvent sur notre serveur secret.
Pour recevoir votre clé privée suivre l’un des liens:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si toutes ces adresses ne sont pas disponibles, procédez comme suit:
1. Téléchargez et installez le Navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après l’installation, lancez le navigateur et attendez l’initialisation.
3. Tapez dans la barre d’adresse: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Suivez les instructions sur le site.
!!! Votre ID d’identification personnel: 5DYGW6MQXIPQSSBB !!!

Le virus Locky vous relie à un domaine de réseau caché par le service TOR (mais pas hébergé sur le même). Le service qui charge a la même apparence que celle de ses prédécesseurs.

stf-locky-ransomware-virus-thor-extension-locky-decryptor-page-payment-instructions

Le ransomware Locky doit encore être vaincu, car son cryptage est très fort et les chercheurs n’ont pas encore trouvé des failles dans le code du virus. Les victimes des itérations précédentes du ransomware ont signalé qu’ils n’ont pas réussi à récupérer leurs fichiers après avoir payé aux cybercriminels. Pour ce motif, il n’y a aucune raison de contacter les fraudeurs ni penser à les payer. Comme on le voit à ce moment-là, les criminels continueront à faire plus de campagnes de ransomware.

Actuellement, une liste complète des types de fichier qui deviennent cryptées n’est pas disponible, mais les fichiers avec les extensions suivantes ont été rapportés comme cryptés:

.txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx

Les fichiers cryptés auront l’extension .shit ajouté à la fin de leur nom. L’algorithme de chiffrement qui est prétendu être utilisé par Locky est RSA-2048 avec chiffrements AES 128-bit.

Ce nouvel type de Locky ransomware probablement effacera les Shadow Volume Copies sur le système d’exploitation Windows via la commande suivante:

vssadmin.exe delete shadows /all /Quiet

Continuez à lire pour comprendre comment éliminer le ransomware et voir quelles sont les méthodes que vous pouvez essayer pour déchiffrer certaines de vos données du fichier.

Eliminez Locky Virus e Restaurez les Fichiers .shit

Si votre ordinateur a été infecté par le virus Locky ransomware, vous devriez avoir une certaine expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de cette ransomware aussi vite que possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez éliminer le ransomware et suivre le guide d’instructions étape par étape ci-dessous. Pour voir les moyens que vous pouvez essayer pour récupérer vos données, voir l’étape intitulé 2. Restaurer les fichiers chiffrés par Locky Ransomware.

Éliminer le manuellement le Ransomware Locky de votre ordinateur Manually delete

Remarque! Avis important concernant la menace du Locky: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.

1. Chargez votre ordinateur en Mode sans échec dans le but d’isoler et d’éliminer les objets et les fichiers associés au Ransomware Locky
2.Trouvez les fichiers malveillants créés par Locky sur votre ordinateur

Supprimer automatiquement Locky en téléchargeant un programme anti-malware sophistiqué.

1. Installer SpyHunter, afin d’analyser et d’éliminer Locky.
2. Faites une sauvegarde de vos données pour les protéger contre les infections futures d'Locky
3. Restauration de fichiers chiffrés par le Locky
Optionnel: Utilisation des outils alternatifs anti-malware

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.