Table des matières
La rançon Locky obtient un autre lifting que sa nouvelle variante est libéré, cette fois l’ajout de ses fichiers cryptés avec l’extension .lukitus.
Le comportement de Locky, l’une des souches les plus répandues rançon à ce jour, montre comment dynamique de l’environnement d’extorsion en ligne est. La dernière incarnation de Locky est appelée Lukitus, basée sur l’extension étant concaténée à tous les fichiers qui sont soumis à un cryptage malveillant. Soit dit en passant, il s’agit d’un mot finlandais qui signifie «verrouillage», de sorte qu’il décrit la véritable intention de la maladie très exactement.
Comme avant, le virus de fichier .lukitus fait des victimes à travers malspam. Les e-mails avec des fichiers toxiques à bord sont générés en grandes quantités par un botnet appelé Necurs. Les utilisateurs qui reçoivent ces messages courent le risque d’autoriser l’infection à fonctionner sur leurs ordinateurs aussi longtemps qu’ils tombent pour la facture ou le thème de livraison manquée. Le document Microsoft Word ci-joint ressemble à un attrait, mais une fois ouvert, il s’avère vide ou inintelligible à l’intérieur. Le tour entier tourne autour des macros de bureau qui devraient être censément être permises pour que l’utilisateur puisse lire le contenu du document. Dès que la macro VBA embarquée a été déclenchée, les choses sortent de la main-le Lukitus Ransom est téléchargé et déposé sur le système hôte d’une manière furtive.
Une fois exécuté sur un ordinateur, la rançon effectue d’abord un type de reconnaissance. Il scanne les partitions de disque dur local, les partages réseau et les lecteurs amovibles pour des dizaines de types de fichiers différents. Après avoir trouvé tout ce qui peut être de valeur potentielle pour la victime, le Lukitus/Locky Ransome applique un mélange solide de pierres de RSA-2048 et AES-128 cryptosystèmes pour verrouiller les données. Le cryptage n’est pas le seul effet appliqué aux entrées ciblées – l’infection brouille également les noms de fichiers, en remplaçant chacun avec 36 caractères hexadécimaux et en concaténant l’extension lukitus.
Pour fournir à la victime une procédure pas à pas sur le décryptage des données, le virus Lukitus supprime les notes de sauvetage nommées Lukitus-[4 caractères] .htm et Lukitus-[4 caractères] .bmp sur le bureau et arrose l’édition htm dans tous les dossiers chiffrés. La note de rançon BMP est configurée pour prendre automatiquement en charge l’arrière-plan du bureau. Ces fichiers ordonnent à l’utilisateur de télécharger et d’installer Tor Browser et de l’utiliser pour visiter une page dont l’adresse est indiquée dans tous les How-to de récupération. De cette façon, l’utilisateur finit sur la page de décrypteur Locky, qui est un portail de paiement de rançon qui est également prétendu fournir le décrypteur après que le 0,5 Bitcoin a été soumis aux auteurs.
Malheureusement, les analystes de sécurité n’ont pas été en mesure de créer un décrypteur libre viable pour Locky en général et la variante Lukitus en particulier. Bien que l’itinéraire de la rançon puisse sembler être la seule option dans les circonstances, il existe plusieurs autres techniques qui peuvent aider à rétablir les fichiers d’extension lukitus sans payer.
La suppression automatique du logiciel de rançon Lukitus
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Lukitus
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Les moyens de récupération sans rançon des fichiers .lukitus
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Lukitus crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Réviser l’état de votre sécurité
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.