Ce guide fournit des informations sur la nouvelle version de Locky appelée Thor et donne des conseils sur les solutions de décryptage des fichiers avec l’extension .thor.
L’édition d’hier du logiciel de rançon Locky qui ajouté le suffixe .shit à ses fichiers n’a pas duré longtemps. La nouvelle inattendue qui a fait littéralement la une des journaux des heures plus tard est qu’un nouvel héritier du trône du cercle vicieux a été découvert. L’héritier concatène l’extension par défaut .thor et renomme les fichiers par des balivernes en chiffres et caractères. Il ne fait aucun doute que les fichiers importants de la victime sont renommés et également cryptés. En fin de compte, un utilisateur infecté sera confronté à une modification d’un document au hasard à quelque chose comme SU8DRICBA-EG3N-Y5GZ-00BA-A085959612E7.thor. Bien sûr, il n’existe aucun logiciel ordinaire qui sera en mesure d’ouvrir cette entrée. Personne, mais les auteurs de Locky ont la clé de déchiffrement privé qui peut faire revivre l’information biaisée, mais ils ne la fourniront pas gratuitement.
Selon des notes de rançon appelées _WHAT_is.html, [nombre aléatoire]_WHAT_is.html, et _WHAT_is.bmp, l’utilisateur a besoin de visiter leur page personnelle pour acheter le service de décryptage. Le logiciel de rançon Thor réitère les mêmes recommandations dans un nouveau fond d’écran qui remplace l’original automatiquement. L’avertissement prétend que tous les fichiers de la victime sont chiffrés avec and AES-128, deux systèmes de cryptographie extrêmement puissants qui sont pratiquement indéchiffrables s’ils sont appliqués correctement. La mauvaise nouvelle pour toutes les personnes infectées est que les développeurs de locky ont assez de nouvelles technologies pour effectuer parfaitement la partie de cryptage de leur inexecution.
L’ensemble de la chaîne d’interaction avec les cyberescrocs se déroule de la manière suivante : d’abord, l’utilisateur est censé d’ouvrir un des fichiers d’aide susmentionnés _WHAT_is.html/.bmp. Leur localisation est très simple puisque le logiciel de rançon les ajoute au bureau et à tous les dossiers qui contiennent au moins un élément chiffré. Le manuel de rançon a plusieurs, généralement deux, hyperliens qui mènent à la page du décrypteur de Locky. Une nuance notable est que cette page est uniquement accessible avec un navigateur Tor axé sur l’anonymat. La ressource en question informe la victime du montant de la rançon, ce qui est généralement 0,5 BTC (329€), et de l’adresse Bitcoin pour l’envoyer. Après que les extorqueurs vérifient et approuvent la transaction, ils promettent de rendre le décrypteur automatique disponible. Cependant, il n’y a aucune certitude que les acteurs de la menace seront fidèles à leur parole.
Parce qu’il n’y a pas de maillon faible dans la crypto réelle, le virus de l’extension .thor peut avoir un effet désastreux. Dans ces circonstances, il est fortement recommandé de faire des efforts pour éviter ce logiciel de rançon. L’infection prolifère sur le hameçonnage où les utilisateurs reçoivent des prévisions budgétaires, reçus ou factures fausses. L’archive ZIP attaché à l’un de ces messages rusés va extraire un fichier .vbs qui télécharge furtivement un programme d’installation DLL de Thor. Cela étant dit, c’est une très mauvaise idée d’ouvrir des pièces jointes d’email comme ça. En outre, effectuer des sauvegardes régulières de données devrait devenir l’habitude de tout le monde ces jours. Si cette version de Locky a déjà fait son sale boulot, commencez par quelques techniques légales, qui peuvent être utiles, pour restaurer les fichiers .thor.
Grâce à une base de données à jour de signatures des programmes malveillants et grâce encore à la détection intelligente des comportements, le logiciel recommandé peut rapidement localiser l’infection, éradiquer et corriger tous les changements nuisibles. Alors allez-y et procédez comme suit :
1. Télécharger et installer l’outil anti-logiciel malveillant. Ouvrez l’application laissez la vérifier votre PC pour des programmes potentiellement indésirables (PUPs) et autres types des logiciels malveillants en appuyant sur le bouton Analyser l’ordinateur maintenant.
Téléchargez le suppresseur du
virus d’extension des fichiers .thor
2. Rassurez-vous que le rapport d’analyse donne une liste de tous les éléments qui peuvent nuire à votre système d’exploitation. Sélectionnez les fichiers détectés et cliquez sur Réparer les menaces pour que le dépannage ne se termine.
Le craquage du cryptage utilisé par la rançon trojan est plus qu’une chose de la science-fiction plutôt que d’une perspective réalisable pour les masses. Voilà pourquoi le dépannage dans des situations difficiles de ce genre est une question de deux approches : l’une est de payer la rançon, ce qui ne constitue pas une option pour beaucoup de victimes ; et l’autre est d’appliquer des instruments qui tirent parti des faiblesses possibles du logiciel de rançon. Si ce dernier est votre choix, les conseils ci-dessous méritent d’être testés.
Les sauvegardes peuvent faciliter la tâche
Vous n’êtes pas seulement une personne chanceuse au cas où vous avez sauvegardé vos fichiers les plus importants, mais aussi vous êtes également un utilisateur sage et prudent. Cela ne veut pas nécessairement une activité qui nécessite des ressources lourdes ces jours – en fait, certains fournisseurs de services en ligne allouent une taille suffisante de l’espace de stockage en cloud gratuitement afin que chaque client peut facilement télécharger leurs données importantes sans payer un sou. Ayant enlevé le logiciel de rançon Thor, donc, tout ce que vous devez faire est de télécharger vos trucs depuis le serveur ou de les transférer d’une pièce externe de matériel si c’est le cas.
Restaurer les versions précédentes des fichiers cryptés
Un résultat positif de l’utilisation de cette technique dépend également de la possibilité du logiciel de rançon à effacer les copies d’ombre de volume (VSS) des fichiers sur votre PC. Ceci est une fonctionnalité de Windows qui maintient automatiquement les sauvegardes des données sur le disque dur aussi longtemps que la restauration du système est activée. Le logiciel de cryptage en question est programmé pour éteindre le service des copies d’ombre de volume (VSS), mais il avait apparemment échoué dans certains cas. La vérification de ses possibilités au sujet de cette solution de contournement est faisable de deux façons : par le menu Propriétés de chaque fichier ou au moyen de l’outil open-source remarquable appelé ShadowExplorer. Nous recommandons le logiciel, car il est automatisé ce qui rende le travail plus rapide et plus facile. Il suffit d’installer l’application et utiliser ses commandes intuitives pour obtenir les versions précédentes des objets cryptés rétablies.
La boîte à outils de restauration des donnés pour les secours
Certaines souches des logiciel de rançon sont connues par la suppression des fichiers d’origine après que le cryptage soit achevé. Comme hostile que cette activité apparaît, il peut jouer dans vos mains. Il existe des applications destinées à relancer l’information qui a été effacé à cause du matériel défectueux ou en raison d’une suppression accidentelle. L’outil appelé Data Recovery Pro par ParetoLogic propose ce type de capacité donc il peut être utilisé dans des scénarios d’attaque d’une rançon pour au moins restaurer des fichiers les plus importants. Donc, téléchargez et installez le programme, exécutez une analyse et laissez-le faire son travail.
L’évaluation a posteriori de la composante de précision dans les scénarios de suppression des logiciels malveillants est une grande habitude qui empêche le retour du logiciel nuisible ou la réplication de ses fractions sans surveillance. Assurez-vous que votre ordinateur est en bon état en exécutant un bilan de sécurité supplémentaire.