Table des matières
Les développeurs de ransomware Locky semblent avoir été vraiment occupé de lancer dernièrement les mises à jour de leur produit d’extorsion néfaste. Moins d’un mois après l’apparition de la variante précédente « Odin », une nouvelle version a été découvert qui ajoute l’extension .shit à ses fichiers paralysés (infectés) . Autre que l’effet de la modification de noms des fichiers, cette version de Locky présente aussi un certain nombre d’améliorations axées sur la distribution.
Qu’est-ce que le virus fichier .shit?
Le virus crypto Locky est à l’état sauvage depuis près d’un an déjà et n’a pas souffert d’une moindre baisse de son rythme de rotation au cours de cette période de temps. Au contraire, il reste en ce moment un des exemples du ransomware les plus répandues et les plus dangereux. En outre, malgré les efforts intellectuels considérables des chercheurs, cette souche reste toujours déchiffrable. Cela étant dit, la fréquence des nouvelles versions de locky a augmenté, ce qui aggrave plus les tâches de détection et de décryptage. La variante précédente surnommée Odin n’a même pas duré un mois. Le tweak le plus récent a entraîné quelques changements majeurs. Tout d’abord, l’infection a commencé à concaténer l’extension .shit à tous les fichiers cryptés de l’ordinateur. Deuxièmement, les opérateurs de cette campagne choisissent de modifier le format des pièces jointes malveillants.
La façon dont Locky propage actuellement est encore via le spam soutenu par le puissant botnet surnommé Necurs. Le format du fichier joint voyous, cependant, a été modifié à .hta. Il dénote une application HTML qui déclenche un processus contrevenant en arrière-plan dès qu’un utilisateur non averti l’ouvre. Ces e-mails trompeurs peuvent contenir les sujets suivants : « Réception » ou « Lettre de réclamation». La pièce jointe est très probablement une archive ZIP qui extrait un fichier nommé Réception [chiffres aléatoires] .hta, lettre de réclamation [chiffres aléatoires] .hta ou lettre enregistrée [aléatoire] .hta. L’utilisation de ce nouveau format des pièces jointes est probablement destine à échapper la détection AV et rationaliser la méthode de travail d’attaque.
Une fois l’exécutable ransomware est installé sur un système ciblé et commence à s’executer, Il déclenche une analyse des données. Lors de l’exécution de cette analyse, la version .shit de Locky cherche les types généralisés des fichiers sur le disque dur, les lecteurs amovibles si tous sont connectés à l’ordinateur et les partages réseau. Ensuite, il utilise une combinaison d’algorithmes de chiffrement RSA-2048 et AES-128 pour chiffrer toutes les entrées identifiées comme personnelles lors de l’analyse susmentionnée. L’infection passe à remplacer le fond d’écran avec une image d’avertissement. Il ajoute également des notes de rançon appelées « _ HOWDO_text » sur le bureau et les arrose à travers des dossiers cryptés. Ces manuels, ainsi que le nouveau fond d’écran instruisent la victime à visiter la page du déchiffreur de Locky et utiliser l’information à ce sujet. Présenter environ 0,5 Bitcoin pour la solution automatique de décrypter.
Une propriété intéressante de la variante d’extension .shit de Locky est qu’elle peut chiffrer les données en mode hors ligne Cela signifie qu’elle n’a pas besoin d’interroger une commande externe et un serveur contrôle des clés de chiffrement, elle est donc maintenant une menace autonome. En outre, elle ne pose aucun indicateur rouge aussi loin qu’une protection pare-feu commence, qui assure des attaques avec une couche supplémentaire d’obfuscation. Alors que le décryptage des fichiers .sith sans payer la clé privée RSA est à peine possible, les utilisateurs infectés envisagent d’exploiter une méthodologie légale intelligente pour restaurer les données les plus importantes.
Suppression automatique de virus d’extension .shit
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers Shit
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Méthodes pour restaurer les fichiers cryptés .shit
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier Shit crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifier si le ransomware Locky a été complètement supprimé
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.