La dernière itération de ransomware Locky est déjà ici. Les fichiers maintenant sont cryptés avec une nouvelle extension – .shit, mais c’est possible que d’autres extensions apparaissent aussi. Le Cryptovirus utilise maintenant les fichiers HTML (.hta) et provoque les serveurs de Commandement et Contrôle (C & C) à fournir son fichier de payload. Pour voir comment éliminer le ransomware et comment essayer de restaurer vos données, lisez soigneusement l’article suivant.
Résumé du Virus
| Nom | Locky |
| Type | Ransomware (Rançongiciel), Cryptovirus |
| Short Description | Le ransomware crypte vos données, puis il affiche un message aléatoire avec des instructions pour le paiement.. |
| Symptômes | Les fichiers cryptés auront l’extension .shit jointe à eux. |
| Méthode de distribution | Les e-mails de spam, serveurs C & C, fichiers HTML sous forme de .hta |
| Detection Tool |
Voir si votre système a été affecté par Locky
Telecharger
L’instrument d’élimination
|
Expérience d’utilisateur | Joignez-vous à notre forum pour discuter Locky.. |
| Outil de récupération de données | Windows Data Recovery by Stellar Phoenix Avis! Ce produit scanne les secteurs des disques durs pour récupérer des fichiers perdus. Il est possible qu’il ne puisse pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d’entre eux, en fonction de la situation et si vous avez reformaté le disque. |
Locky Ransomware – Distribution
La dernière version du ransomware Locky utilise les serveurs de commande et de contrôle comme un moyen de distribution. Les serveurs poussent le dernier payload pour le Cryptovirus. Le fichier de payload est vu dans deux formats – comme un fichier HTML ou comme un téléchargeur JScript. Respectivement ils ont les extensions – .hta et .wsf / .js. Ces fichiers peuvent être dans un .zip pour une détection plus difficile par le logiciel de sécurité. Vous pouvez voir les détections d’un tel fichier, sans qu’il soit obscurcie dans une archive, sur le site de VirusTotal:
La plupart des fichiers de payload ont le nom Receipt avec des chiffres aléatoires après, donc il semble une facture ou quittance légitime. Vous pouvez voir comment ressemble le corps d’un tel e-mail ci-dessous:
De: Free Haut Debit
Date: Lun, 24 Oct 2016
Sujet: [Espace] Notification de facture Freebox (95854808)
Bonjour,
Vous trouverez ci-jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.
L’equipe Free
Fichier joint: Facture_Free_201610_6292582_95854808.zip
Cet e-mail est en français parce que la France est l’un des pays les plus ciblés, ainsi que le Royaume-Uni, l’Allemagne, l’Arabie Saoudite, la Pologne et la Serbie, selon les chercheurs de logiciels malveillants de MalwareHunterTeam. Les e-mails ressemblent comme s’ils contiennent un message de facture légitime. Celui ci-dessus tente de surprendre l’utilisateur en lui faire penser qu’il doit payer 75 euros à une compagnie ou pour un service. Axé sur la «dette», la plupart des utilisateurs qui ne sont pas au courant de ransomware, vont ouvrir le fichier joint pour voir ce qui se passe exactement.
Une autre variante d’une lettre de spam lié à la nouvelle campagne en anglais:
From: “Dee Compton”
Subject: Complaint letter
Date: Mon, 24 Oct 2016
Dear [Your email name],
Client sent a complaint letter regarding the data file you provided.
The letter is attached.
Please review his concerns carefully and reply him as soon as possible.
Best regards,
Dee Compton
Attachment: saved_letter_C10C6A2.js
Locky ransomware pourrait se propager aussi autour des médias sociaux et des sites de partage de fichiers. Évitez les liens suspects ou inconnus, les pièces jointes et les fichiers en général. Avant d’ouvrir un fichier, faites toujours du scan avec une application de sécurité. Vous devriez lire les conseils de prévention de ransomware dans notre forum.
Locky Ransomware – Analyse
Une nouvelle tendance du ransomware Locky a été découverte. Le Cryptovirus ramène les serveurs C2 (serveurs de Commandement et de Contrôle) de nouveau dans son schéma de distribution de payload, comme décrit ci-dessus. Cela porte à une livraison extrêmement rapide du script malveillant qui libère le virus sur l’ordinateur compromis. Vous pouvez prévisualiser certains des serveurs C2, ici:
• 185.102.13677:80/linuxsucks.php
• 91.200.14124:80/linuxsucks.php
• 109.234.35215:80/linuxsucks.php
• bwcfinntwork:80/linuxsucks.php
Cependant, quelques versions de Locky ransomware ont été observées, qui mettent également l’extension .shit, sans utiliser des serveurs C2, mais un fichier .DLL pour son point d’entrée, ce qui en fait un moyen hors ligne pour infecter des machines informatiques, sans parvenir à aucun emplacement de téléchargement.
Après l’exécution du payload, vos fichiers vont se crypter, et apparaîtra une note de rançon. Une copie de la note sera crée dans les fichiers avec le nom_WHAT_is.bmp
La demande de rançon avec des instructions sera définie comme votre fond d’écran, et elle est la même que les variantes antérieures (y compris les erreurs grammaticales):
Le texte est le suivant:
Tous vos fichiers sont cryptés avec RSA-2048 et chiffrements AES-128.
Plus d’informations sur le RSA et AES peut être trouvée ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Le décryptage de vos fichiers est seulement possible avec une clé privée et une programme de décryptage, qui se trouvent sur notre serveur secret.
Pour recevoir votre clé privée suivre l’un des liens:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si toutes ces adresses ne sont pas disponibles, procédez comme suit:
1. Téléchargez et installez le Navigateur Tor: https://www.torproject.org/download/download-easy.html
2. Après l’installation, lancez le navigateur et attendez l’initialisation.
3. Tapez dans la barre d’adresse: jhomitevd2abj3fk.onion/5DYGW6MQXIPQSSBB
4. Suivez les instructions sur le site.
!!! Votre ID d’identification personnel: 5DYGW6MQXIPQSSBB !!!
Le virus Locky vous relie à un domaine de réseau caché par le service TOR (mais pas hébergé sur le même). Le service qui charge a la même apparence que celle de ses prédécesseurs.
Le ransomware Locky doit encore être vaincu, car son cryptage est très fort et les chercheurs n’ont pas encore trouvé des failles dans le code du virus. Les victimes des itérations précédentes du ransomware ont signalé qu’ils n’ont pas réussi à récupérer leurs fichiers après avoir payé aux cybercriminels. Pour ce motif, il n’y a aucune raison de contacter les fraudeurs ni penser à les payer. Comme on le voit à ce moment-là, les criminels continueront à faire plus de campagnes de ransomware.
Actuellement, une liste complète des types de fichier qui deviennent cryptées n’est pas disponible, mais les fichiers avec les extensions suivantes ont été rapportés comme cryptés:
Les fichiers cryptés auront l’extension .shit ajouté à la fin de leur nom. L’algorithme de chiffrement qui est prétendu être utilisé par Locky est RSA-2048 avec chiffrements AES 128-bit.
Ce nouvel type de Locky ransomware probablement effacera les Shadow Volume Copies sur le système d’exploitation Windows via la commande suivante:
Continuez à lire pour comprendre comment éliminer le ransomware et voir quelles sont les méthodes que vous pouvez essayer pour déchiffrer certaines de vos données du fichier.
Eliminez Locky Virus e Restaurez les Fichiers .shit
Si votre ordinateur a été infecté par le virus Locky ransomware, vous devriez avoir une certaine expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de cette ransomware aussi vite que possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez éliminer le ransomware et suivre le guide d’instructions étape par étape ci-dessous. Pour voir les moyens que vous pouvez essayer pour récupérer vos données, voir l’étape intitulé 2. Restaurer les fichiers chiffrés par Locky Ransomware.
Éliminer le manuellement le Ransomware Locky de votre ordinateur Manually delete
Remarque! Avis important concernant la menace du Locky: l’élimination manuelle des nécessite des perturbations dans fichiers et registre du système. Donc, il pourrait provoquer des dommages à votre PC. Ne vous inquiétez pas, même si vos compétences en informatique ne sont pas sur le plan professionnel, vous pouvez effectuer l’élimination vous-même en 5 minutes à l’aide de l’instrument d’élimination de software malveillant.
1. Pour Windows 7, XP et Vista.
2. Pour Windows 8, 8.1 et 10.Pour les systèmes d’exploitation WindowsXP, Vista et 7:
1. Supprimer tous les CD et DVD et puis redémarrez votre ordinateur depuis le menu « Démarrer ».
2. Sélectionnez l’une des deux options ci-dessous:
– pour les ordinateurs avec un seul système d’exploitation: Appuyez plusieurs fois sur la touche “F8”, lors du redémarrage de votre ordinateur, après l’apparition du premier écran de démarrage. Au cas que vous voyez le logo de Windows à l’écran, vous devrez répéter les mêmes actions.
– pour les ordinateurs avec plusieurs systèmes d’exploitation : Les touches fléchées vous aideront à sélectionner le système d’exploitation que vous souhaitez démarrer en « mode sans échec ». Appuyez sur la touche « F8 » de la même manière que celle décrite ci-dessus pour les ordinateurs à un seul système d’exploitation.
3. Après l’affichage de l’écran avec les « Options de démarrage avancées », sélectionnez l’option de Mode sans échec souhaitée, à l’aide des touches fléchées. Une fois que vous avez fait votre choix, appuyez sur « Enter ».
4. Ouvrez une session sur votre ordinateur en utilisant votre compte d’administrateur.
Alors que votre ordinateur est en Mode sans échec, les mots « Mode sans échec » vont apparaitre dans chacun des quatre coins de votre écran.
Étape 1: Ouvrez le menu “Démarrage”.
Étape 2: En maintenant la touche Maj (Shift), cliquez sur la Puissance, puis Redémarrage Étape 3: Après le redémarrage, il apparaîtra sous le menu mentionne. À partir de là, vous devez sélectionner “Dépannage”.
Étape 3: Vous verrez le menu “Dépannage”. À partir de là, vous pouvez sélectionner la „Options avancées“.
Étape 4: Vous verrez le menu “Dépannage”. À partir de là, vous pouvez sélectionner la „Options avancées“.
Étape 5: Une fois le que le menu « Options avancées » apparaît, cliquez sur « Paramètres de démarrage».
Étape 6: Cliquez sur “Redémarrage”.
Étape 7: Un menu de redémarrage s’affiche. Vous devriez sélectionner Mode sans échec en appuyant sur le numéro correspondant, et de cette manière la machine va redémarrer.
Trouvez les fichiers malveillants créés par Locky
1. Pour Windows 8, 8.1 et 10Pour les Systèmes d’Exploitation Windows plus récents
Étape 1:
Sur votre clavier appuyez sur + R et écrivez explorer.exe dans la zone de texte Run et puis appuyez sur le bouton Ok.
Étape 2:
Cliquez sur your PC de la barre d’accès rapide. Cela est généralement une icône avec un moniteur et son nom est “My Computer”, “My PC” ou bien “This PC” ou ce que vous l´avez nommé.
Étape 3:
Accédez à la zone de recherche en haut à droite de l’écran de votre ordinateur et tapez “fileextension:” puis tapez l’extension de fichier. Si vous cherchez des malveillants exécutables, un exemple peut être “fileextension:exe”. Après avoir fait cela, laissez un espace et tapez le nom de fichier que vous croyez que le malware a créé. Voici comment cela peut apparaître si votre fichier a été trouvé:
N.B. Nous vous recommandons d’attendre le chargement complet de la barre verte dans la zone de navigation au cas où l´ordinateur est à la recherche du fichier et il ne l’a pas encore trouvé.
Supprimer automatiquement Locky en téléchargeant un programme anti-malware sophistiqué.
Installer SpyHunter, afin d’analyser et d’éliminer Locky.
1. Installer SpyHunter, afin d’analyser et d’éliminer Locky.2. Analysez avec SpyHunter, afin de detecter et supprimer Locky.Etape 2: Guidez-vous par les instructions de téléchargement fournies pour chaque navigateur.
Etape 3: Une fois que vous avez installé SpyHunter, attendez pour qu’il se mette à jour lui-même.
Etape 1: Une fois que la mise à jour soit terminée, cliquez sur le bouton « Analyser l’ordinateur maintenant »
Etape 2: Après que Spy Hunter ait finit avec l’analyse de votre ordinateur pour les fichiers d’ Locky cliquez sur le bouton “ « Fixer les menaces » afin de les éliminer automatiquement et en permanence.
Etape 3: Après que les infiltrations sur votre ordinateur sont supprimées, il est fortement recommandé de le redémarrer
STOPZilla Anti MalwareÉtape 1: Télécharger STOPZilla en cliquant ici..
Étape 2: Une fenêtre contextuelle apparaîtra. Cliquez sur le bouton «Enregistrer le fichier». Dans le cas où il n’est pas enregistré, cliquez sur le bouton Télécharger et ensuite et le sauvegardez ensuite. .
Étape 3:Une fois que vous avez téléchargé la configuration, il est nécessaire uniquement de l’ouvrir.
Étape 4: Il devrait apparaitre une pour l’installation. Cliquez sur le bouton «Suivant».
Étape 5: Marquez le cercle corespondant de « J’accepte l’accord », si vous avez examiné et acceptez les termes et conditions. Puis appuyez à nouveau sur le bouton « Suivant ».
Étape 6: Accédez à nouveau et puis cliquez sur le bouton ‘Installation’.
Étape 7: Une fois l’installation terminée, cliquez sur la touche ‘Finish’.
2. Analysez votre ordinateur avec STOPZilla Anti Malware, afin d’éliminer complètement tous les fichiers associés le Locky
Étape 1: Demarrer le STOPZilla, si vous ne l’avez pas déjà fait après le processus d’installation.
Étape 2: Attendez que le logiciel de se mettre à jour automatiquement et puis cliquez sur le touché “Réparer maintenant”. Dans le cas où l’analyse automatique ne commence pas, cliquez sur « Scan maintenant ».
Étape 3: Après l’élimination de toutes les menaces et objets en rapport avec les logiciels malveillants, il est préférable de redémarrer votre ordinateur.
