Les cyberescrocs responsables de la distribution Locky, l’un des logiciels de rançon fléaux dominant de l’année en cours, semblent avoir commencé une nouvelle campagne avec quelques différences tangibles apportés à leur tactique d’extorsion. Le nouveau successeur baptisé Bart ransomware est en service, fonctionnant en même temps avec la nouvelle itération de Locky appropriée. Bart ajoute des fichiers précieux de ses victimes pour les archives ZIP qui ne peuvent pas être ouverts, sauf si l’utilisateur a le bon mot de passe pour déverrouiller l’archive. L’édition remaniée du cheval de Troie notoire, à son tour, est annexant l’extension .zepto aux objets brouillés.
Cette réincarnation de Locky souille les ordinateurs Windows par le spam du porte un chargeur contagieux, qui est en fait une entité JavaScript obscurcie. De toute évidence, ses auteurs se sont tournés vers un botnet différent après que leur campagne précédente avait baisser il y a quelques mois. Le flux de travail de compromis est tout à fait semblable à ce qu’il ressemblait avant : un utilisateur non averti reçoit un email accrocheur qui l’encourage à ouvrir la pièce jointe nuisible. L’exécution du logiciel de rançon est assez furtif pour la victime de ne pas remarquer la suite.
Le programme incriminé regarde silencieusement les fichiers personnels sur les disques locaux de la machine, les amovibles et les chemins de réseau mappés. Une fois que la liste est prête, le cheval de Troie exploite le chiffre AES-128 pour crypter tous les fichiers, puis applique le cryptosystème RSA-2048 asymétrique pour coder la clé secrète de déchiffrement.
Après avoir effectué les manipulations de chiffrement de données complexes, la maladie rend indiscernable les noms de fichiers et concentre l’extension .zepto à chacun. Par conséquence, une donnée aléatoire obtient un nom semblable à D7F6EEBA-D9FC508E-0B2C-82EED365C05D.zepto. Il modifie également l’image de bureau de Windows pour _HELP_instructions.bmp et crée un nouveau fichier nommé _HELP_instructions.html l’intérieur de chaque dossier crypté ainsi que sur le bureau approprié. Ce sont des instructions de rançon qui contiennent un ID d’identification personnel de la victime, plusieurs liens Tor pour recevoir la clé privée, et le message d’avertissement suivant: « Tous vos fichiers sont cryptés avec les chiffres RSA-2048 et AES-128 ». Les auteurs poursuivent en disant « Le déchiffrement de vos fichiers est seulement possible avec la clé privée et le programme, qui est sur notre serveur de secret décrypter ».
Lorsque la victime suit l’une des passerelles Tor énumérés dans le document _HELP_instructions.html (.bmp), ils finissent sur le « Locky Decryptor Page ». La page est conçue spécialement pour la présentation des paiements à une adresse Bitcoin unique et télécharger le décrypteur. La rançon que la demande des acteurs de la menace pour la récupération équivaut à 0,5 Bitcoins, soit environ 300 USD. Si un grand réseau d’entreprise est victime de cette ransomware, le rachat sera très probablement présupposer un paiement plus important.
Le retour du logiciel de rançon Locky est certainement une mauvaises nouvelles pour l’industrie de la sécurité et les utilisateurs finaux dans le monde entier. Le gang derrière s’est avéré être assez ambitieux pour essayer de changer le statu quo sur la scène de l’extorsion, de sorte que la surface d’attaque sera probablement énorme. Considérant qu’il n’y a pas de solution viable qui pourrait restaurer les données verrouillées à ce stade, certaines techniques de récupération peuvent être de l’aide.
L’extermination de ce logiciel de rançon peut être efficacement réalisé avec le logiciel de sécurité fiable. Coller à la technique de nettoyage automatique garantit que tous les composants de l’infection se fond essuyés de votre système.
1. Téléchargez l’utilitaire de sécurité recommandé et faites que votre PC vérifie les objets malveillants en sélectionnant l’option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de
virus des fichiers .zepto
2. L’analyse viendra avec une liste des éléments détectés. Cliquez sur Réparer les menaces pour obtenir le virus et les infections liées supprimées de votre système. La fin de cette phase du processus de nettoyage est le plus susceptible d’achever l’éradication de la bonne peste. Maintenant, vous êtes face à un plus grand défi – essayer de récupérer vos données.
Solution 1 : Utilisez le logiciel de récupération de fichier
Il est important de savoir que le virus Locky crée des copies de vos fichiers et les encrypte. En attendant, les fichiers originaux sont supprimés. Il y a des applications là-bas qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils tels que Data Recovery Pro à cet effet. La nouvelle version du logiciel de rançon à l’étude tend à appliquer la suppression sécurisée avec plusieurs réécritures, mais en tout cas cette méthode vaut la peine d’essayer.
Solution 2 : Exploitez les sauvegardes
Tout d’abord, c’est un excellent moyen de récupérer vos fichiers. Il est seulement applicable, bien que, si vous avez sauvegardez les informations stockées sur votre appareil. Si oui, soyez vigilants.
Solution 3 : Utilisez des copies de volume d’ombre
Dans le cas où vous ne le saviez pas, le système d’exploitation crée des soi-disant clichés instantanés de volume de chaque fichier aussi longtemps que la restauration du système est activée sur l’ordinateur. Comme les points de restauration sont créés à des intervalles déterminés, des instantanés de fichiers tels qu’ils apparaissent à ce moment sont générés aussi bien. Sachez que cette méthode ne garantit pas la récupération des dernières versions de vos fichiers. Il en vaut certainement la peine. Ce flux de travail est réalisable de deux façons : manuellement et à l’aide d’une solution automatique. Jetons d’abord un regard sur le processus manuel.
Encore une fois, le suppresseur du logiciel de rançon Locky seul ne conduit pas au décryptage de vos fichiers personnels. Les données restaurent les méthodes mises en évidence ci-dessus peuvent ou peuvent ne pas faire l’affaire, mais le logiciel de rançon lui-même ne fait pas partie de l’intérieur de votre ordinateur. Par ailleurs, il vient souvent avec d’autres logiciels malveillants, ce qui est pourquoi il est certainement judicieux d’analyser de façon répétée le système avec un logiciel automatique de sécurité afin d’assurer qu’aucun débris nocifs de ce virus et les menaces associées sont laissées à l’intérieur de registre de Windows et d’autres endroits.
merci