Table des matières
Une nouvelle tendance de logiciel de rançon a provoqué l’attaque à grande échelle de nombreux ordinateurs lors de ces derniers jours. Alors que la majorité des utilisateurs infectés sont actuellement en Allemagne, la surface d’attaque semble s’étendre avec une rapidité déchaînée. Il n’est pas encore certain de savoir à quel point le réseau cybercriminel est responsable de ces compromis, mais l’opération de cheval de Troie reflète évidemment les pires pratiques d’extorsion numérique. Ce qu’il se produit c’est que les fichiers personnels des victimes sont cryptés et leur nom modifié en une séquence de charabia de 32 chiffres et caractères suivi de l’extension .locky. Le système d’exploitation ciblé identifie ces objets en tant que fichiers LOCKY qui ne peuvent pas être ouverts, peu importe le type de logiciel auquel l’utilisateur a recours.
Cet assaut est également caractérisé par un nombre d’ajouts distincts autres que le détournement répugnant de fichiers. Le logiciel de rançon modifie le fond d’écran du bureau de l’utilisateur affecté avec un message d’avertissement, dont le texte est réitéré dans les fichiers nommés _Locky_recover_instructions.txt. C’est au pluriel parce que le document TXT susmentionné se retrouve à l’intérieur de tous les objets de dossier verrouillés qui étaient auparavant des données personnelles de la victime. Il y a essentiellement des instructions pour réaliser le paiement de la rançon qui indiquent ce qui est arrivé aux fichiers et fournissent la procédure des options de récupération.
En particulier, ce message dit :
“!!! Informations importantes !!!! Tous vos fichiers sont cryptés avec les chiffres RSA-2048 et AES-128. Décrypter vos fichiers est uniquement possible à l’aide d’une clé privée et un programme de décryptage, qui se trouvent sur notre serveur secret.”
En bref, ceci signifie que le virus avec l’extension de fichier .locky exploite une cryptographie asymétrique pour crypter les contenus des fichiers et emploie également un code symétrique pour coder les noms de fichiers.
Par conséquent, la victime ne peut plus ouvrir ses photos, documents et vidéos, ni même déterminer quelle saisie correspond à quel fichier sur le disque dur. À ce stade, l’extorqueur recommande une ‘panacée’, qui est revendiquée comme étant en mesure de tout décoder en échange de frais. C’est appelé le Locky Decryptor. Afin d’utiliser cet outil, la personne affectée a besoin de visiter un portail Tor spécifié dans le fichier _Locky_recover_instructions.txt et envoyer 0,5 BTC vers une adresse Bitcoin mentionnée sur la page. L’utilisation de la technologie Onion Router et le flux de paiement de la crypto-monnaie sont les précautions que les criminels adoptent pour rester anonymes et déjouer les forces de l’ordre. Malheureusement, la plupart de ces extracteurs sont en mesure de rester cachés et de continuer à inventer des nouveaux logiciels de rançon.
La propagation du virus .locky s’appuie sur un canular d’ingénierie sociale. En particulier, avant d’être infecté, la plupart des personnes ont reçu un email intitulé “ATTN : Facture J-68522931” (les 8 chiffres peuvent varier). Ces emails prétendent être des factures de General Mills, mais ne le sont pas. Le document Word joint est l’objet qui exécute le logiciel de rançon dès que l’utilisateur sans méfiance l’ouvre. Des kits de prouesse, qui généralement présentent un mode de contamination bien plus sophistiqué, ne sont pas impliqués dans la campagne .locky à l’heure actuelle.
Ce n’est pas une bonne idée de payer la rançon et l’achat du programme Locky Decrypter. C’est pourquoi les cybercriminels insistent dessus, et ce n’est certainement pas de l’intérêt des utilisateurs affectés. Étant donné que ce logiciel de rançon peut échouer pour désactiver la fonction VSS (Volume Shadow Copy Service) sur l’engin, il est logique d’appliquer quelques techniques intelligentes pur récupérer les données cryptées.
Supprimer le virus avec l’extension de fichier *.locky grâce à un programme de nettoyage automatique
L'éradication de ce ransomware peut être efficacement réalisée avec un logiciel de sécurité fiable. S'en tenir à la technique de nettoyage automatique vous assurera que tous les composants de l'infection sont bien nettoyé de votre système.
1. Téléchargez l'utilitaire de sécurité recommandé et faites un balayage de votre ordinateur pour détecter les objets malveillants en sélectionnant l'option Analyser l’ordinateur maintenant.
Télécharger le suppresseur de virus des fichiers .Locky
2. L'analyse fournira une liste des éléments détectés. Cliquez sur Réparer les menaces pour supprimer le virus et les infections de votre système. L'achèvement de cette phase du processus de nettoyage est plus susceptible de conduire à l'éradication complète de ce fléau proprement dit. Maintenant, vous allez faire face à un plus grand défi - tenter de récupérer vos données.
Récupérer les fichiers cryptés *.locky
Solution 1 : Utiliser le logiciel de récupération de fichiers Il est important de savoir que le virus de fichier .Locky crée des copies de vos fichiers et les crypte. Entre-temps, les fichiers originaux sont supprimés. Il existe des applications qui peuvent restaurer les données supprimées. Vous pouvez utiliser des outils comme Stellar Data Recovery à cette fin. La version la plus récente du ransomware à l'étude tend à appliquer la suppression sécurisée avec plusieurs fonctions, mais en tout cas cette méthode vaut la peine d'être essayée.
Télécharger Stellar Data Recovery Professional
Solution 2 : Utilisation des sauvegardes Tout d'abord, c'est une excellente façon de récupérer vos fichiers. Cela ne s'applique que si vous avez sauvegardé les informations stockées sur votre machine. Si oui, ne manquez pas de bénéficier de votre réflexion préalable.
Solution 3 : utiliser des clichés instantanés de volume Au cas où vous ne le sauriez pas, le système d'exploitation crée des clichés instantanés de volume de chaque fichier tant que la Restauration du système est activée sur l'ordinateur. Comme les points de restauration sont créés à des intervalles spécifiés, les instantanés des fichiers tels qu'ils apparaissent à ce moment sont également générés. Notez que cette méthode n'assure pas la récupération des dernières versions de vos fichiers. Cependant, ça vaut certainement le coup d’être essayée. Ce flux de tâches est possible de deux façons: manuellement et par l'utilisation d'une solution automatique. Dans un premier temps, jetons un coup d’œil sur le processus manuel.
- Utiliser les fonctionnalités des Versions Précédentes La fenêtre Propriétés utilisée pour les fichiers standards contient un onglet intitulé Versions Précédentes. Cet onglet permet d’afficher les versions sauvegardées et de les récupérer. Vous devez donc utiliser la fonction clic-droit sur un fichier, aller dans Propriétés, cliquer sur l’onglet mentionné ci-dessus et sélectionner l’option Copier ou Restaurer, en fonction de l’emplacement ou vous souhaiter restaurer le fichier concerné.
- Utiliser ShadowExplorer Le processus décrit ci-dessus peut être automatisé grâce à un outil appelé ShadowExplorer. Il effectue pratiquement la même opération (récupération des Copies Shadow Volume), mais de façon plus pratique. Vous devez donc télécharger et installer l’application, la lancer et l’utiliser pour parcourir les fichiers et dossiers dont vous souhaitez restaurer les versions précédentes. Pour effectuer cette opération, vous devez utiliser la fonction clic-droit sur l’entrée de votre choix et sélectionner la fonctionnalité Export.
Vérifiez s’il reste de possibles vestige du virus avec extension de fichier .locky
Encore une fois, la suppression des logiciels malveillants seul ne conduit pas au décryptage de vos fichiers personnels. Les méthodes de restauration de données mises en évidence ci-dessus peuvent ou peuvent ne pas faire l'affaire, mais le ransomware lui-même ne font pas partie à l'intérieur de votre ordinateur.
Par ailleurs, il vient souvent avec d'autres logiciels malveillants, c’est pourquoi il est certainement judicieux d'analyser de façon répétée le système avec un logiciel automatique de sécurité afin d'assurer qu'aucun débris nocifs de ce virus et les menaces associées soient laissées à l'intérieur du registre de Windows et d'autres endroits.