Comment supprimer le ransomware HYFLOCK

Ransomware

Également connu sous le nom de: virus HYFLOCK

Niveau de dommage:

Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.

SUPPRIMEZ-LES MAINTENANT

Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Quel type de malware est HYFLOCK ?

HYFLOCK est un ransomware que nous avons découvert en examinant des échantillons de malware soumis à la plateforme VirusTotal. Comme d'autres ransomwares, il chiffre les fichiers sur l'ordinateur de la victime, les rendant inaccessibles, et exige un paiement en échange du déchiffrement.

Sur notre machine de test, HYFLOCK a ajouté l'extension « .locked » à chaque fichier chiffré. Un fichier initialement nommé « 1.jpg » est devenu « 1.jpg.locked », « 2.png » est devenu « 2.png.locked », et ainsi de suite. Après avoir terminé le chiffrement, il a déposé une demande de rançon dans un fichier HTML nommé « How to Restore My Files.html ».

Capture d'écran des fichiers chiffrés par le ransomware HYFLOCK :

Fichiers chiffrés par le ransomware HYFLOCK (extension .locked)

Aperçu de la demande de rançon HYFLOCK

La demande de rançon est un fichier HTML nommé « How to Restore My Files.html ». Elle informe les victimes que leurs fichiers ont été verrouillés à l'aide du chiffrement HC-128 et que seuls les attaquants possèdent la clé de déchiffrement nécessaire pour restaurer l'accès.

Pour contacter les attaquants, les victimes sont invitées à installer le client de messagerie qTox ainsi que Tor Browser, à ajouter l'identifiant de contact Tox des attaquants et à envoyer un message contenant leur identifiant de victime unique. La note fournit des instructions d'installation étape par étape pour Windows, Linux et macOS.

La note avertit également les victimes de ne pas tenter de déchiffrer elles-mêmes les fichiers, de ne pas modifier ni supprimer les fichiers chiffrés, de ne pas utiliser d'outils de récupération tiers et de ne pas redémarrer leur système. Un contact dans les 48 heures est fortement recommandé, avec l'implication que tout retard risque d'entraîner une perte de données permanente.

Aperçu du ransomware HYFLOCK

Dans la plupart des attaques de ransomware, il n'est pas possible de restaurer les fichiers chiffrés sans la coopération de l'attaquant. Les exceptions n'existent que dans les cas où le ransomware a été codé avec de graves défauts qui rendent le chiffrement cassable.

Même si les victimes paient la rançon, rien ne garantit qu'elles recevront un logiciel de déchiffrement fonctionnel. Les cybercriminels encaissent régulièrement le paiement et disparaissent sans rien livrer. Pour cette raison, nous déconseillons fortement de payer.

Supprimer HYFLOCK d'un système infecté est important pour arrêter d'autres dommages, mais la suppression seule ne peut pas restaurer les fichiers déjà chiffrés. L'option de récupération la plus fiable consiste à restaurer les fichiers à partir d'une sauvegarde créée avant que l'infection ne survienne.

Les sauvegardes doivent être stockées dans au moins deux emplacements distincts - comme un périphérique de stockage hors ligne et un serveur distant - afin qu'une seule attaque ne puisse pas détruire toutes les copies à la fois.

Le ransomware en général

Nous avons analysé des milliers de programmes ransomware au fil des ans. L'objectif fondamental ne change jamais : verrouiller les fichiers et faire payer leur restitution. Les principales différences entre les souches sont les algorithmes de chiffrement symétrique ou asymétrique qu'elles utilisent et le montant de la rançon exigée.

D'autres exemples de ransomware sont SUCKS 2 SUCK, TuakTOX et BL4CK SP1D3R.

Comment le ransomware a-t-il infecté mon ordinateur ?

Le ransomware arrive le plus souvent par des e-mails de phishing. Ces messages contiennent des pièces jointes malveillantes - telles que des documents Microsoft Office, des archives ou des exécutables - ou des liens menant vers des sites qui déposent silencieusement des malwares sur la machine du visiteur.

Les chevaux de Troie constituent une autre méthode de diffusion courante. Ils peuvent installer discrètement un ransomware après avoir établi un accès à un système. Les fausses mises à jour de logiciels, les publicités malveillantes et les logiciels piratés servent aussi régulièrement de canaux de distribution.

Télécharger des logiciels à partir de sources non officielles - réseaux peer-to-peer, plateformes d'hébergement gratuit ou sites tiers de partage de fichiers - augmente considérablement le risque d'infection. Utilisez uniquement les sites web officiels des développeurs et les magasins d'applications de confiance pour obtenir des logiciels, et évitez complètement les cracks et les outils d'activation non officiels.

Résumé de la menace :
Nom virus HYFLOCK
Type De Menace Ransomware, Virus de cryptage, Verrouilleur de fichiers
Extension Des Fichiers Chiffrés .locked
Message De Demande De Rançon How to Restore My Files.html
Décrypteur Gratuit Disponible ? Non
Contact Cybercriminel qTox (identifiant de contact fourni dans la demande de rançon)
Noms De Détection Avast (Win64:MalwareX-gen [Ransom]), Combo Cleaner (Gen:Variant.Mikey.188834), ESET-NOD32 (Win64/TrojanDropper.Agent.XG Trojan), Kaspersky (VHO:Trojan-PSW.Win32.Greedy.gen), Microsoft (Trojan:Win32/Sonbokli.A!cl), Liste Complète Des Détections (VirusTotal)
Symptômes Impossible d'ouvrir les fichiers stockés sur votre ordinateur, des fichiers auparavant fonctionnels ont désormais une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes De Distribution Pièces jointes d'e-mails infectées (macros), sites web de torrents, publicités malveillantes.
Dommages Tous les fichiers sont chiffrés et ne peuvent pas être ouverts sans payer une rançon. Des chevaux de Troie voleurs de mots de passe et d'autres infections par malware peuvent être installés en même temps qu'une infection par ransomware.
Suppression des maliciels
(Windows)

Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner.

Téléchargez Combo Cleaner

Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Comment se protéger contre les infections par ransomware ?

Soyez prudent lorsque vous naviguez sur le web et gérez vos e-mails. N'ouvrez les pièces jointes ou ne suivez les liens que si vous êtes certain que l'expéditeur est légitime. Téléchargez des logiciels exclusivement depuis des sites web officiels ou des magasins d'applications de confiance, jamais depuis des sources tierces.

Maintenez vos logiciels et systèmes d'exploitation à jour à l'aide des outils intégrés officiels, et évitez les correctifs d'activation ou les générateurs de clés provenant de sites non officiels. Si votre ordinateur est déjà infecté par HYFLOCK, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement ce ransomware.

Apparence de la demande de rançon HTML de HYFLOCK (« How to Restore My Files.html ») :

Demande de rançon du ransomware HYFLOCK (How to Restore My Files.html)

Texte présenté dans cette demande de rançon :

HYFLOCK
Security Division :: Enterprise Encryption System
► SYSTEM ENCRYPTION PROTOCOL :: v2.7.1
► STATUS :: ALL FILES SECURED
► NODE ::

⚠ CRITICAL SECURITY NOTICE
IMMEDIATE ACTION REQUIRED
DO NOT attempt to decrypt files yourself
DO NOT modify or delete encrypted files
DO NOT use third-party decryption tools
DO NOT reboot or shut down your system
Contact us within 48 hours to avoid data loss

Your files have been secured with military-grade HC-128 encryption. They are NOT deleted, only inaccessible without the unique decryption key.

◈ DECRYPTION CREDENTIALS
TOX CONTACT (PRIMARY)
[-]
⏱ Response time: 2-24 hours. Save your Victim ID - it is required for decryption.

Partager:

facebook
X (Twitter)
linkedin
copier le lien
Tomas Meskauskas

Tomas Meskauskas

Chercheur expert en sécurité, analyste professionnel en logiciels malveillants

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.

▼ Montrer la discussion

Le portail de sécurité PCrisk est proposé par la société RCS LT.

Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Faire un don