Rançongiciel *.thor

Aussi connu comme: Thor virus
Distribution: Bas
Niveau de dommage: Médium

Instructions de suppression du rançongiciel *.thor

Qu'est-ce que *.thor?

*.thor est une nouvelle variante du rançongiciel Locky. Les développeurs propagent ce rançongiciel via des pourriels. Après l'infiltration, *.thor encrypte divers fichiers en utilisant la cryptographie asymétrique. Durant le cryptage, ce rançongiciel renomme les fichiers en utilisant le modèle "[8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].thor". Par exemple, le nom d’un fichier encrypté pourrait être renommé "D56F3331-380D-9317-3F9C-6CE2C2BB051.thor". Une fois que les fichiers sont encryptés, *.thor place deux fichiers (.html et .bmp, les deux nommés "_WHAT_is") sur le bureau et change le fond d'écran du bureau.

Les fichiers (.html et .bmp, contiennent un message identique demandant une rançon énonçant que les fichiers ont été encryptés en utilisant les algorithmes de cryptage RSA-2048 et AES-128. Le message énonce aussi que les fichiers peuvent seulement être restaurés en utilisant une clef privée avec un outil de décryptage. Tel que mentionné ci-dessus, *.thor encrypte les fichiers en utilisant la cryptographie asymétrique. Donc, deux clefs (publique [cryptage] et privée [décryptage]) sont générées durant le cryptage. La clef privée est stockée sur des serveurs à distance contrôlés par des cybers criminels. Les déclarations disant que le décryptage sans cette clef est impossible sont malheureusement vraies. Pour restaurer leurs fichiers, les victimes doivent supposément payer une rançon de 3 Bitcoinss (actuellement équivalent à ~$1952), cependant, payer ne garanti pas que vos fichiers ne soient jamais décryptés. Les cybers criminels ignorent les victimes, malgré que les paiements soient faits. Si vous payez, il y a de fortes chances que vous serez arnaqué. Donc, nous vous recommandons fortement d’ignorer toutes les demandes de payer ou de contacter ces personnes. Malheureusement, il n’y a actuellement aucun outil disponible pour décrypter les fichiers compromis gratuitement – la seule solution possible est de restaurer vos fichiers/votre système à partir d’une sauvegarde.

Capture d’écran d’un message (fond d’écran) encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage de *.thor decrypt instructions

Tous les virus de types rançongiciels sont virtuellement identiques. Comme avec le logiciel malveillant *.thor, les logiciels malveillants tels que Cerber, CTB-Locker, et Cry encrypte les fichiers et demandent des centaines ou même des milliers de dollars. Il y a seulement deux différence principales différence : le montant de la rançon et le type de cryptographie utilisée (symétrique/asymétrique). Les virus tels que *.thor, sont distribués en utilisant des pourriels (pièces-jointes malicieuses), des réseaux pairs-à-pairs (P2P) (par exemple, des Torrents, des eMule, etc), de faux outils de mises à jour de logiciels, et des trojans. Donc, soyez prudents quand vous ouvrez des fichiers reçus à partir d’emails non reconnus/suspects et télécharger des logiciels à partir de sources non officielles. De plus, gardez vos logiciels installés à jour - les cybers criminels sont capables d’exploiter les bugs du logiciel pour infiltrer le système. Utilisez un programme antivirus/anti logiciel espion légitime est aussi très important.

Capture d'écran du fichier .bmp du rançongiciel *.thor ("_WHAT_is.bmp"):

fichier bmp du rançongiciel *.thor

Capture d'écran du fichier .html du rançongiciel *.thor ("_WHAT_is.html"):

fichier html du rançongiciel *.thor

Capture d'écran du site web du rançongiciel *.thor :

Site web du rançongiciel *.thor

Capture d'écran des fichiers encryptés par le rançongiciel *.thor ("modèle [8_random_characters]-[4_random_characters]-[4_random_characters]-[4_random_characters]-[12_random_characters].thor"):

rançongiciel *.thor encryptant les fichiers des victimes

Types de fichiers ciblés par le rançongiciel *.thor :

7zip; .aac; .accdb; .accde; .accdr; .accdt; .ach; .acr; .act; .adb; .adp; .ads; .aes; .agdl; .aiff; .ait; .aoi; .apj; .apk; .ARC; .arw; .asc; .asf; .asm; .asp; .aspx; .asset; .asx; .avi; .awg; .back; .backup; .backupdb; .bak; .bank; .bat; .bay; .bdb; .bgt; .bik; .bin; .bkp; .blend; .bmp; .bpw; .brd; .bsa; .cdf; .cdr; .cdr3; .cdr4; .cdr5; .cdr6; .cdrw; .cdx; .cer; .cfg; .cgm; .cib; .class; .cls; .cmd; .cmt; .config; .contact; .cpi; .cpp; .craw; .crt; .crw; .csh; .csl; .csr; .css; .csv; .CSV; .d3dbsp; .dac; .das; .dat; .db_journal; .dbf; .dbx; .dch; .dcr; .dcs; .ddd; .ddoc; .ddrw; .dds; .der; .des; .design; .dgc; .dif; .dip; .dit; .djv; .djvu; .dng; .doc; .DOC; .docb; .docm; .docx; .dot; .DOT; .dotm; .dotx; .drf; .drw; .dtd; .dwg; .dxb; .dxf; .dxg; .edb; .eml; .eps; .erbsql; .erf; .exf; .fdb; .ffd; .fff; .fhd; .fla; .flac; .flf; .flv; .flvv; .forge; .fpx; .frm; .fxg; .gif; .gpg; .gray; .grey; .groups; .gry; .hbk; .hdd; .hpp; .html; .hwp; .ibank; .ibd; .ibz; .idx; .iif; .iiq; .incpas; .indd; .iwi; .jar; .java; .jnt; .jpe; .jpeg; .jpg; .kdbx; .kdc; .key; .kpdx; .kwm; .laccdb; .lay; .lay6; .lbf; .ldf; .lit; .litemod; .litesql; .log; .ltx; .lua; .m2ts; .mapimail; .max; .mbx; .mdb; .mdc; .mdf; .mef; .mfw; .mid; .mkv; .mlb; .mml; .mmw; .mny; .moneywell; .mos; .mov; .mpeg; .mpg; .mrw; .ms11 (Security copy); .msg; .myd; .MYD; .MYI; .ndd; .ndf; .nef; .NEF; .nop; .nrw; .nsd; .nsf; .nsg; .nsh; .nvram; .nwb; .nxl; .nyf; .oab; .obj; .odb; .odc; .odf; .odg; .odm; .odp; .ods; .odt; .ogg; .oil; .onetoc2; .orf; .ost; .otg; .oth; .otp; .ots; .ott; .pab; .pages; .PAQ; .pas; .pat; .pcd; .pct; .pdb; .pdd; .pdf; .pef; .pem; .pfx; .php; .pif; .plc; .plus_muhd; .png; .pot; .potm; .potx; .ppam; .pps; .ppsm; .ppsx; .ppt; .PPT; .pptm; .pptx; .prf; .psafe3; .psd; .pspimage; .pst; .ptx; .pwm; .qba; .qbb; .qbm; .qbr; .qbw; .qbx; .qby; .qcow; .qcow2; .qed; .raf; .rar; .rat; .raw; .rdb; .rtf; .RTF; .rvt; .rwl; .rwz; .s3db; .safe; .sas7bdat; .sav; .save; .say; .sch; .sda; .sdf; .sldm; .sldx; .slk; .sql; .sqlite; .sqlite3; .SQLITE3; .sqlitedb; .SQLITEDB; .srf; .srt; .srw; .stc; .std; .sti; .stm; .stw; .stx; .svg; .swf; .sxc; .sxd; .sxg; .sxi; .sxm; .sxw; .tar; .tarbz2; .tbk; .tex; .tga; .tgz; .thm; .tif; .tiff; .tlg; .txt; .uop; .uot; .upk; .vbox; .vbs; .vdi; .vhd; .vhdx; .vmdk; .vmsd; .vmx; .vmxf; .vob; .wab; .wad; .wallet; .wav; .wks; .wma; .wmv; .wpd; .wps; .xis; .xla; .xlam; .xlc; .xlk; .xlm; .xlr; .xls; .XLS; .xlsb; .xlsm; .xlsx; .xlt; .xltm; .xltx; .xlw; .xml; .ycbcra; .yuv; .zip

Suppression du rançongiciel *.thor :

Suppression instantanée automatique de Thor virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Spyhunter est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Thor virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Spyhunter Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer  Windows 7 en "Mode sans échec en réseau":

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau":

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau":

Étape 2

Connectez-vous au compte qui est infecté avec le virus *.thor. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau, essayé de faire une restauration du système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel *.thor ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel *.thor.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes de *.thor sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en  réseau (ou avec l'invite de commande),  redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes de rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par *.thor, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez  utiliser des programmes appelés HitmanPro.Alert et Malwarebytes Anti-Ransomware, qui implantent artificiellement des groupes d'objets de police dans le registre pour bloquer les programmes escrocs tels que le rançongiciel *.thor).

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel *.thor :

Source: https://www.pcrisk.com/removal-guides/10597-thor-ransomware

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Thor virus Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Thor virus sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Thor virus aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Spyhunter

Plateforme: Windows

Note de l’éditeur pour Spyhunter:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour supprimer le logiciel malveillant, vous devez acheter une version complète de Spyhunter.