Virus avec des Fichiers .thor – Supprimer la dernière souche de Locky

stf-locky-ransomware-virus-thor-thor-extension-ransom-note-htmlUne toute nouvelle souche de Locky ransomware a été détectée du jour au lendemain par des chercheurs de logiciels malveillants après la découverte de la variante avec l’extension .shit. Les auteurs du virus ont décidé de ramener le thème de la mythologie nordique à leurs projets de ransomware et nous pouvons voir l’extension .thor ajoutée aux fichiers chiffrés. Pour voir comment supprimer le virus et comment essayer de restaurer vos fichiers, lisez l’article complet.

Résumé du Virus

Nom .thor files
Type Ransomware, Cryptovirus
Brève description Le ransomware crypte vos données, puis il affiche un message aléatoire avec des instructions pour le paiement.
Symptômes Les fichiers cryptés auront l’extension .thor jointe à eux.
Méthode de distribution Les e-mails de spam, Pièces jointes de courrier électronique (.wsf, .js, .hta, .zip, .vbs, .bin), Documents Google
Outil de
détection
Voir si votre système a été affecté par Locky
.thor files

Download

Malware Removal Tool

Outil de récupération de données Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque.

LockyRansomware – Distribution

La dernière souche malveillante du ransomware Locky utilise les serveurs de Commandement et Contrôle comme méthode de distribution. Les e-mails de spam avec un corps de texte vide contiennent des pièces jointes qui fournissent un téléchargeur sur votre PC. Dès lors, le téléchargeur assemble le ransomware et crypte vos données. Les pièces jointes de courrier électronique ressemblent à des documents légitimes, tandis que le nom, l’adresse et le courrier électronique de l’expéditeur peuvent être falsifiés par rapport aux entreprises réelles et aux données de leurs employés. Les pièces jointes sont des détenteurs de scripts ou des téléchargeurs, et les types de fichiers utilisés sont: .wsf, .js, .hta, .zip, .vbs et .bin.

Voici un exemple d’un tel fichier détecté par Payload Security:

stf-locky-ransomware-virus-thor-extension-payload-security-command-and-control-servers-budget-xls-vbs-file-c2-linuxsucks-php

Locky ransomware pourrait également être diffusé autour des réseaux sociaux et des sites de partage de fichiers. Une des plateformes signalées pour la livraison des fichiers malveillants est Google Docs. N’ouvrez pas les liens, les pièces jointes et les fichiers qui sont suspects ou dont l’origine est inconnue. Avant d’ouvrir des fichiers, assurez-vous qu’ils ne sont pas des types de fichiers répertoriés ci-dessus, y compris les fichiers .exe. En outre, effectuez toujours un scan avec un outil de sécurité et vérifiez les fichiers pour leurs signatures et taille. Vous devriez consulter le sujet sur les conseils de prévention des ransomware écrits dans notre forum.

LockyRansomware – Description

Locky ransomware utilise une nouvelle extension sur les fichiers chiffrés et c´est l’extension .thor . On peut dire que les auteurs du cryptovirus reviennent à ses racines – c’est-à-dire que la mythologie nordique était dans l’esprit des cybercriminels. La plupart des extensions utilisées par le ransomware portaient le nom de Thor, Odin, et Loki, qui sont tous des Dieux dans la mythologie nordique. Cependant, les escrocs auraient pu avoir les bandes dessinées de Marvel et le portrait de films des Dieux à l’esprit. Ce qui est encore plus intéressant – Heimdallr est aussi un Dieu norvégien (fils d’Odin) et Heimdal Security est nommé d’après lui. Les créateurs de logiciels malveillants se moquent de Heimdal Security? Ou des programmes contre logiciels malveillants en général?
Le virus utilise des serveurs C2 (Command and Control) servers pour la livraison de ses fichiers payload comme décrit dans la section précédente. Les fichiers contiennent un script malveillant qui télécharge un fichier .dll sur votre ordinateur. Une fois exécuté, votre système informatique devient infecté. Vous pouvez consulter certains des serveurs C2, ici:

  • 185.102.136.77:80/linuxsucks.php
  • 91.200.14.124:80/linuxsucks.php
  • 91.226.92.225:80/linuxsucks.php
  • 77.123.14.137:221/linuxsucks.php
  • yptehqhsgdvwsxc.biz/linuxsucks.php
  • fvhnnhggmck.ru/linuxsucks.php
  • krtwpukq.su/linuxsucks.php
  • tdlqkewyjwakpru.ru/linuxsucks.php

Lockyransomware peut être téléchargé à partir de nombreux sites de téléchargement, dont certains sont répertoriés ci-dessous.

Liste des sites de téléchargement de payload:

Une fois execute le fichier .DLL, il chiffrera vos fichiers et affichera une note de rançon. Des copies de cette note seront diffusées dans des répertoires avec des fichiers cryptés avec le nom _WHAT_is. L’un est un fichier .bmp et l’autre est un fichier .html, où le fichier image sera défini comme fond de votre bureau.
La note de rançon du virus est la même que celle de l’extension .shit:

stf-locky-ransomware-virus-shit-extension-ransom-screen-desktop

Et quand vous chargez le fichier_WHAT_is.html, il ressemblera au suivant:

stf-locky-ransomware-virus-thor-thor-extension-ransom-note-html

Le texte est le suivant:

!!! INFORMATION IMPORTANTE!!!
Tous vos fichiers sont cryptés avec RSA-2048 et chiffrements AES-128.
Plus d’informations sur le RSA et AES peut être trouvée ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Le décryptage de vos fichiers est seulement possible avec une clé privée et une programme de décryptage, qui se trouvent sur notre serveur secret.
Pour recevoir votre clé privée suivre l’un des liens:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB2.
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si toutes ces adresses ne sont pas disponibles, procédez comme suit:
1. Téléchargez et installez le Navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après l’installation, lancez le navigateur et attendez l’initialisation.
3. Tapez dans la barre d’adresse: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Suivez les instructions sur le site.
!!! Votre ID d’identification personnel: 5DYGW6MQXIPQSSBB !!!

Le virus Locky emmène au service avec les instructions de paiement que nous avons vu dans les variantes passées. Le service peut être consulté si vous entrez le nom d’un fichier chiffré (ceci est fait pour limiter l’accès au service). Vous pouvez voir le site caché sur le réseau TOR dans l’image ci-dessous:

stf-locky-ransomware-virus-thor-extension-locky-decryptor-page-payment-instructions

Le Lockyransomware n’a pas de variantes qui ont été décryptées, et le code pour celui-ci est issu par les mêmes auteurs. Les utilisateurs précédemment infectés par une variante plus ancienne de ce virus ont rapporté qu’ils n’ont pas pu récupérer leurs données, même après avoir payé la rançon. Pour ce motif, il n’y a aucune raison de contacter les fraudeurs ni penser à les payer. Évidemment, les escrocs continueront simplement à faire d’autres virus de ransomware.
Les types de fichiers actuellement chiffrés par le ransomware Locky sont plus de 400 et ont les extensions suivantes:

txt, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .java, .jpg, .jpeg, .bmp, .tiff, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .ycbcra, .xis, .wpd, .tex, .sxg, .stx, .srw, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .s3db, .rwz, .rwl, .rdb, .rat, .raf, .qby, .qbx, .qbw, .qbr, .qba, .psafe3, .plc, .plus_muhd, .pdd, .oth, .orf, .odm, .odf, .nyf, .nxl, .nwb, .nrw, .nop, .nef, .ndd, .myd, .mrw, .moneywell, .mny, .mmw, .mfw, .mef, .mdc, .lua, .kpdx, .kdc, .kdbx, .jpe, .incpas, .iiq, .ibz, .ibank, .hbk, .gry, .grey, .gray, .fhd, .ffd, .exf, .erf, .erbsql, .eml, .dxg, .drf, .dng, .dgc, .des, .der, .ddrw, .ddoc, .dcs, .db_journal, .csl, .csh, .crw, .craw, .cib, .cdrw, .cdr6, .cdr5, .cdr4, .cdr3, .bpw, .bgt, .bdb, .bay, .bank, .backupdb, .backup, .back, .awg, .apj, .ait, .agdl, .ads, .adb, .acr, .ach, .accdt, .accdr, .accde, .vmxf, .vmsd, .vhdx, .vhd, .vbox, .stm, .rvt, .qcow, .qed, .pif, .pdb, .pab, .ost, .ogg, .nvram, .ndf, .m2ts, .log, .hpp, .hdd, .groups, .flvv, .edb, .dit, .dat, .cmt, .bin, .aiff, .xlk, .wad, .tlg, .say, .sas7bdat, .qbm, .qbb, .ptx, .pfx, .pef, .pat, .oil, .odc, .nsh, .nsg, .nsf, .nsd, .mos, .indd, .iif, .fpx, .fff, .fdb, .dtd, .design, .ddd, .dcr, .dac, .cdx, .cdf, .blend, .bkp, .adp, .act, .xlr, .xlam, .xla, .wps, .tga, .pspimage, .pct, .pcd, .fxg, .flac, .eps, .dxb, .drw, .dot, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .save, .safe, .pwm, .pages, .obj, .mlb, .mbx, .lit, .laccdb, .kwm, .idx, m11, .html, .flf, .dxf, .dwg, .dds, .csv, .css, .config, .cfg, .cer, .asx, .aspx, .aoi, .accdb, .7zip, .xls, .wab, .rtf, .prf, .ppt, .oab, .msg, .mapimail, .jnt, .doc, .dbx, .contact, .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .wallet, .upk, .sav, .ltx, .litesql, .litemod, .lbf, .iwi, .forge, .das, .d3dbsp, .bsa, .bik, .asset, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .nef, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .mdb, .sql, .sqlitedb, .sqlite3, .pst, .onetoc2, .asc, .lay6, .lay, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott, .odt, .doc, .pem, .csr, .crt, .key

Tous les fichiers cryptés auront l’extension .thor ajoutée à eux et leurs noms seront changés en symboles aléatoires. L’algorithme de cryptage que Locky prétend utiliser selon sa note de rançon est RSA-2048 avec des chiffres 128-bit AES et cela semble être vrai.

Le cryptovirus Locky supprimera presque certainement les Shadow Volume Copies du système d’exploitation Windows avec la chaîne de commande suivante:

→vssadmin.exe delete shadows /all /Quiet

Continuez à lire pour voir comment supprimer ce ransomware et vérifier quelles méthodes vous pouvez utiliser pour essayer de décrypter certains de vos fichiers.

Eliminez LockyRansomware et Restaurez les Fichiers .thor

Si votre ordinateur a été infecté par le virus Locky ransomware, vous devriez avoir une certaine expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de cette ransomware aussi vite que possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez éliminer le ransomware et suivre le guide d’instructions étape par étape ci-dessous. Pour voir les moyens que vous pouvez essayer pour récupérer vos données, voir l’étape intitulé 2. Restaurer les fichiers chiffrés par Locky.

Remarque! Avis important concernant la menace du .thor files: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.

1. Chargez votre ordinateur en Mode sans échec dans le but d’isoler et d’éliminer les objets et les fichiers associés au Ransomware .thor files
2.Trouvez les fichiers malveillants créés par .thor files sur votre ordinateur

Supprimer automatiquement .thor files en téléchargeant un programme anti-malware sophistiqué.

1. Installer SpyHunter, afin d’analyser et d’éliminer .thor files.
2. Faites une sauvegarde de vos données pour les protéger contre les infections futures d'.thor files
3. Restauration de fichiers chiffrés par le .thor files
Optionnel: Utilisation des outils alternatifs anti-malware

Leave a Comment

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload CAPTCHA.

Share on Facebook Share
Loading...
Share on Twitter Tweet
Loading...
Share on Google Plus Share
Loading...
Share on Linkedin Share
Loading...
Share on Digg Share
Share on Reddit Share
Loading...
Share on Stumbleupon Share
Loading...
Please wait...

Subscribe to our newsletter

Want to be notified when our article is published? Enter your email address and name below to be the first to know.