Virus Locker

Aussi connu comme: Locker ransomware
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Locker

Qu'est-ce que Locker?

Locker est une infection de rançongiciel qui infiltre les ordinateurs des utilisateurs à travers divers fichiers téléchargés à partir d’Internet – faux lecteurs flash, versions craquées de jeux (par exemple TeamExtreme Minecraft). Après avoir infiltré l’ordinateur de la victime ce logiciel malveillant encrypte les fichiers de l’utilisateur et demande une rançon de 0.1 BTC (bitcoins) qui dont être payée dans les 72 heures afin de décrypter les fichiers compromis. La rançon augmente à 1.0 BTC si la victime ne paye pas dans le temps alloué. Le rançongiciel Locker encrypte les documents (par exemple .doc, .ppt, .docx) et des fichiers d’images (.psd, raw, .jpg). Bien que le rançongiciel Locker ne soit pas nouveau (auparavant le rançongiciel répandu encryptant les fichiers était nommé cryptowall, ctb-locker, cryptolocker et plusieurs autres) cette variante est unique parce que les cybers criminels l’ont configurée pour s’activer à minuit le 25 mai 2015 (heure locale), avant cette date les victimes ne seront même pas que le rançongiciel Locker était présent sur leurs ordinateurs. Cette tactique permet aux cybers criminels de cacher leur programme malicieux aux vendeurs d’antivirus et aux chercheurs de logiciels malveillants jusqu’à la dernière minute quand le logiciel malveillant s’active sur un grand nombre d’ordinateur.

Une telle méthode de distribution reporte la recherche des logiciels malveillant et la mise à jour des définitions des antivirus jusqu’à la dernière minute quand certaines victimes ont déjà payé le rançongiciel pour regagner le contrôle de leurs fichiers. Pour rendre les choses encore pires certaines variantes du rançongiciel Locker suppriment les Shadow Volume Copies des fichiers de la victime rendant ainsi la restauration des fichiers impossibles. Le nom du rançongiciel Locker varie selon les versions, au moment de la recherche les cybers criminels ont lancés Locker v1.7, Locker V2.16, Locker v2.60, Locker v3.5.3, Locker v.3.49 et Locker V5.52, les chiffres de la version semblent être aléatoires – en ce moment on se sait pas encore si les cybers criminels décident d’assigner ces chiffres à différentes victimes.

Virus de rançongiciel locker

Au moment d’écrire cet article il n’y avait aucuns outils de disponibles pour décrypter les fichiers compromis – utiliser ce guide de suppression vous permettra d’éliminer le rançongiciel Locker cependant les fichiers affectés demeureront encryptés. Avant de supprimer le rançongiciel Locker il est recommandé de faire une sauvegarde des fichiers encryptés en le contenu des fichiers %PROGRAMDATA%\Digger, %PROGRAMDATA%\rkcl, %PROGRAMDATA%\tor, %PROGRAMDATA%\steg, vous devriez aussi écrire/copier l’adresse unique du portefeuille bitcoin à partir de l’onglet du paiement du rançongiciel Locker. Cette information peut être utile si les chercheurs de logiciel malveillant venaient à développer un outil capable de décrypter les fichiers affectés par le logiciel malveillant Locker. Les infections de rançongiciel telles que Locker sont une bonne raison de maintenir des sauvegardes régulières de vos données stockées. Notez que payer cette rançon est équivalent à envoyer votre argent à des cybers criminels – vous supporterez leur modèle d’affaires malicieux et il n’y a aucune garantie que vos fichiers me seront jamais décryptés. Pour éviter les infections d’ordinateur avec des rançongiciels telles que celui-ci, soyez prudents quand vous ouvrez des emails, des fichiers téléchargés à partir de réseaux P2P, etc. Utilisez toujours des programmes antivirus et anti logiciels malveillants:

Onglet information de Locker:

onglet information du virus locker

Texte présenté dans l'onglet Information:

Tous vos fichiers personnels sur votre ordinateur ont été verrouillé et encrypté par Locker. L’encryptage a été fait par un logiciel professionnel et vos fichiers tels que : photos, vidéos, et portefeuille en devise crypto ne sont pas endommagés mais seulement illisibles pour l’instant. Vous pouvez trouver une liste complète de tous vos fichiers encryptés dans l’onglet fichier. Les fichiers encryptés peuvent seulement être déverrouillés avec une clef 2048-RSA bit privée unique qui est stockée de façon sécuritaire sur notre serveur jusqu’à [DATE]. Si la clef n’est pas obtenue avant cette date elle sera détruite et vous ne serez plus jamais capable d’ouvrir vos fichiers. Obtenir votre clef privée unique est facile et cela peut être fait en cliquant sur l’onglet paiement et en payant un petite montant de 0.1 BTC à l’adresse de portefeuille qui a été crée pour vous. Si le paiement est confirmé la clef de décryption sera envoyée à votre ordinateur et le logiciel Locker commencera automatiquement le processus de décryption. Nous ne sommes absolument pas intéressé à garder vos fichiers encryptés pour toujours. Vous pouvez continuez à utiliser votre ordinateur de façon sécuritaire, aucun nouveau fichier ne sera encrypté et aucun logiciel malveillant ne sera installé. Quand les fichiers sont encryptés Locker se désinstaller automatiquement lui-même.

Onglet ''Paiement'' de Locker:

onglet paiement du virus locker

Text presented in the Payment tab:

Bitcoins est un système de paiement en ligne anonyme pour plus d’information allez voir bitcoin.com. Pour obtenir votre clef de décryption vous devez envoyer 0.1 BTC à l’adresse bitcoin listée ci-dessous. Nous vous recommandons d’envoyer les bitcoins à notre portefeuille immédiatement et à ne pas les stocker dans un portefeuille local car les portefeuilles locaux sont encryptés par Locker. La confirmation du paiement prend habituellement environ 1 heure. Quand nous recevons le paiement la clef de décryption sera automatiquement envoyé au logiciel Locker et le processus de décryption commencera. Avertissement toute tentative de supprimer, d’endommager, ou même d’enquêter le logiciel Locker mènera immédiatement à la destruction de votre clef privée sur notre serveur!

Notez qu’au moment d’écrire cet article il n’y avait pas d’outil connu qui peut décrypter les fichiers encryptés par Locker sans payer la rançon (essayer de restaurer vous fichiers à partir de Shadow copies). En suivant ce guide de suppression vous serez capable de supprimer ce rançongiciel de votre ordinateur cependant les fichiers affectés demeureront encryptés. Nous mettrons cet article à jour dès qu’il y aura plus d’information sur la décryption des fichiers compromis.

Suppression du rançongiciel Locker:

Suppression instantanée automatique de Locker ransomware: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Locker ransomware. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et Windows 7: Démarrer votre ordinateur en Mode Sans Échec. Cliquer Démarrer, cliquer Éteindre, Cliquer Redémarrer, cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Locker. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprime le virus de rançongiciel en utilisant le ''Mode sans échec en réseau avec la commande invite'' et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans Échec avec la commande Invite

2. Lorsque le mode de commande prompte se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant la commande Invite taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant la commande invite rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus de rançongiciel Locker ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un dlogiciel anti-espion recommandé pour éliminer tous les fichiers restants de Locker.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel les utilisateurs de PC pourraient essayer d'utiliser la fonction des versions précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système a été activée sur un système d'opération infecté. Noter que certaines variantes de Locker sont connus pour supprimer les Shadow Volume Copies des fichiers, alors cette méthode peuvent ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier cliquer droite sur le fichier, allez dans Propriétés, et sélectionnes l'onglet des versions précédentes. Si le fichier sélectionné avait un point de restauration sélectionnez-le et cliquez sur le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec la commande invite), redémarrer votre ordinateur en un utilisant un disque de secours.. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Crypt0L0cker vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, utiliser un programme appelé HitmanPro.Alert et Malwarebytes Anti-Ransomware qui implante artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que Locker.

HitmanPro.Alert CryptoGuard - détecte l'encryption de fichiers et neutralise de telles tentatives sans avoir besoin qu l'utilisateur intervienne:

application hitmanproalert prévenant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer Locker:

Source: https://www.pcrisk.com/removal-guides/9037-locker-virus

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Locker ransomware Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Locker ransomware sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Locker ransomware aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.