Rançongiciel Locky

Aussi connu comme: Locky virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Locky

Qu'est-ce que Locky?

Locky est un rançongiciel distribué via des fichiers .doc malicieux joints aux emails indésirables. Ce document Word contient un texte brouillé qui semble être des macros. Une fois que l’utilisateur active le paramètre des macros dans le programme Word, un exécutable (le rançongiciel) est téléchargé. Ce qui suit est le cryptage de divers fichiers. Noter que Locky change tous les noms de fichiers en 16 lettre et chiffres uniques avec une extension de fichier .locky (.zepto), donc, il devient presque impossible d’identifier les fichiers. Tous sont encryptés en utilisant les algorithmes RSA-2048 et AES-1024, donc, une clef privée (qui est stockée dans des serveurs à distance contrôlés par des cybers criminels) est requise pour le décryptage. Afin de décrypter les fichiers, la victime doit payer une rançon.

Après que les fichiers soient encryptés, Locky créé un fichier .txt dans chaque dossier qui contient les fichiers encryptés. De plus, ce rançongiciel change le papier-peint du bureau. Autant les fichiers texte que le papier-peint contiennent le même message qui informe les utilisateurs à propos du cryptage. Il est énoncé que les fichiers peuvent seulement être décryptés en utilisant un décrypteur développé par les cybers criminels, qui coûte .5 Bitcoin (au moment de la recherche .5 BTC était équivalent à 207.63$). Pour faire cela la victime doit installer le navigateur Tor et suivre le lien fourni dans les fichiers texte/le papier-peint. Le site web contient des instructions de paiement étape par étape. Il vaut la peine de mentionner que Locky supprimer tous les fichiers des clichées instantanés des volumes. Au moment de la recherche il n’y avait aucun outil capable de décrypter les fichiers affectés par Locky, donc, la seule solution pour ce problème est de restaurer les fichiers à partir d’une sauvegarde.

Instructions de décryptage de Locky

Les résultats de recherche montrent qu’il y a des centaines de logiciels malveillants de types rançongiciels qui sont similaires à Locky, par exemple, Cryptowall, JobCrypter, UmbreCrypt, TeslaCrypt et DMA-Locker. Tous se comportent exactement de la même manière – ils encryptent les fichiers et demandent une rançon. La recherche a aussi découvert qu’il n’y a aucune garantie que vos fichiers ne seront jamais décryptés même après avoir payé la rançon. En faisant cela vous supporteriez simplement les entreprises malicieuses des cybers criminels. Pour cette raison, vous ne devriez jamais payer la rançon ou simplement tenter de les contacter. De plus, les utilisateurs doivent être informés que les logiciels malveillants tels que Locky sont habituellement distribués via de fausses mises à jour de logiciel, les réseaux P2P, les pièces-jointes malicieuses et les trojans. Donc, il est très important de garder les logiciels installés à jour et de vérifier deux fois ce que vous téléchargez. De plus, les utilisateurs doivent être très prudents quand vous ouvrez les pièces-jointes envoyés à partir d’adresses suspectes. Utilisez une suite anti logiciel espion et antivirus légitime est obligatoire.

Voici une capture d'écran d'un email utilisé dans la distribution du rançongiciel Locky. Sujet de l'email  - "Facture ATTN: J-12345678”, pièce-jointe infectée - "invoice_J-12345678.doc" (contient les macros qui téléchargent et installent le rançongiciel Locky sur l'ordinateur de la victime):

Cher quelqu'un, veuillez prendre connaissance de la facture jointe (Document Microsoft Word) et verser le paiement selon les termes listés dans le bas de la facture. Laissez-nous le savoir si vous avez des questions. Nous apprécions grandement votre clientèle!

pièce-jointe infectée distribuant le rançongiciel Locky

Fichier texte _Locky_recover_instructions.txt :

Fichier texte avec des instructions sur le paiement de la rançon

Texte présenté dans le papier-peint du bureau et dans les fichiers .txt créés par Locky:

!!!INFORMATION IMPORTANTE !!!!


Tous vos fichiers sont encryptés avec les cryptogrammes RSA-2048 et AES-128.
Plus d'informations à propos de RSA et AES peuvent être trouvées ici:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard


Le décryptage de vos fichiers est seulement possible avec la clef privée et le programme de décryptage, qui est sur notre serveur secret.
Pour recevoir votre clef privée suivez un des liens :
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805


If all of this addresses are not available, follow these steps:Si toutes ces adresse ne sont pas disponibles, suivez ces étapes :
1. Téléchargez et installez le navigateur Tor hxxps://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécuter le navigateur et attendez l’initialisation.
3. Taper dans la barre d’adresse : 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnel : 07Bxxx75DC646805 !!!

Capture d'écran du bureau de la victime infectée par le rançongiciel Locky :

rançongiciel locky attaquant l'ordinateur de la victime

Site web du rançongiciel Locky expliquant aux victimes comment payer la rançon pour recevoir le logiciel ''Décrypteur de Locky'' qui devrait décrypter leurs fichiers compromis :

Site web vendant le décrypteur Locky

Types de fichiers ciblés par le rançongiciel Locky :

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Suppression du rançongiciel Locky :

Suppression instantanée automatique de Locky virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Locky virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus Locky. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Locky ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel anti-espion recommandé pour éliminer tous les fichiers restants de Locky.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de Locky sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptéa par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du logiciel rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Locky, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

 Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Locky).

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application empêchant le rançongiciel hitmanproalert

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Locky :

Source: https://www.pcrisk.com/removal-guides/9807-locky-ransomware