Table des matières
La bande de ransomware de Locky continue à engendrer de nouveaux programmes d’extorsion. Ses développeurs sont évidemment expérimenter dans les fichiers auto exécutables et les pratiques de paralysie des données. Cette fois, les auteurs ont créé une autre scission de leur prototype néfaste qui ajoute l’extension .osiris aux fichiers chiffrés et dépose la mention de rançon OSIRIS- [victime_ID] .htm.
Qu’est-ce que le ransomware Osiris?
En termes de cybersécurité, le nom «Osiris» est apparu pour désigner un alias du néfaste ransomware Locky et n’a rien à voir avec la mythologie de l’Egypte ancienne. La dernière version malveillante de la série de variantes de cette famille est doté d’une technique de contamination complexe, d’un nouveau modèle de renommage de fichiers et d’un nouveau format de manuel de récupération. Cette édition calibre l’extension .osiris à chaque fichier par un cryptage de type militaire non crackable de mélange des normes RSA et AES. Il a réorganisé le Troyen de rançon en affectant également les noms de fichiers d’une nouvelle façon, et en les remplaçant par des entrées comme B5F7GEC2-A9BF-816E-373B5CBG-41019FD253D9.osiris. L’algorithme est [8_hexadecimal_chars] – [4_hexadecimal_chars] – [4_hexadecimal_chars] – [8_hexadecimal_chars] – [12_hexadecimal_chars] .osiris.
Un autre changement que les victimes ne manqueront pas de remarquer est que le ransomware créer les fichiers d’aide dans un format unique (HTM), alors que ses précurseurs ont utilisé plusieurs variantes de note de rançon différentes. La procédure de récupération est maintenant expliquée dans le document OSIRIS- [ID_vitique] .htm. L’identifiant unique dans son nom est habituellement composé de 4 caractères. En outre, il sera différent pour les copies du fichier laissé sur le bureau de ceux qui sont incorporés dans des dossiers individuels avec des fichiers personnels biaisés.
La piste de déchiffrage HTM contient un lien hypertexte vers le centre de récupération personnel de la victime, intitulé Locky Decryptor Page. Le lien .onion ne peut être chargé qu’avec le navigateur Tor, ce qui ajoute une couche d’anonymat pour les distributeurs de ransomware. Par conséquent, il est nécessaire de télécharger et d’installer ce navigateur pour continuer. Sur la page, l’utilisateur infecté obtient les informations suivantes: le montant de la rançon, l’adresse de portefeuille Bitcoin où envoyer l’argent numérique, ainsi que certaines ressources pour l’achat de Bitcoins. Le service de déchiffrement imposé par les attaquants coûtera normalement 0,5 BTC, soit environ 370$ US. Toutefois, réaliser des transactions avec les rançoneurs est une opération hasardeuse, c’est pourquoi il est beaucoup plus judicieux d’essayer certaines des meilleures pratiques légales de récupération de données.
Tout comme ses précurseurs, l’édition Osiris de Locky fait son arrivée sur l’ordinateur au travers le spam. La seule nouveauté de l’actuelle vague de spam est que la pièce jointe piégée est un document XLS. Ce fichier enverra un popup qui recommande au destinataire d’activer les macros. Si l’utilisateur est suffisamment crédule pour opter en cela, l’infection exploitera une vulnérabilité macros connue et lancera le ransomware. Alors, assurez-vous de traiter les pièces jointes attachées avec un degré de méfiance raisonnable.
Enlèvement automatique du virus d’extension Osiris
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Osiris
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restorer les fichiers encryptés .osiris
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Osiris crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez si le ransomware Osiris / Locky a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.