Rançongiciel Ykcol

Aussi connu comme: Ykcol virus
Distribution: Bas
Niveau de dommage: Sévère

Instructions de suppression du rançongiciel Ykcol

Qu'est-ce qu'Ykcol?

Ykcol est une nouvelle variante d'un logiciel malveillant de type rançongiciel à haut risque appelé Locky (noter qu'Ykcol épelé à l'envers est Locky). Ykcol infiltre secrètement le système et encrypte les données stockées en utilisant les cryptographies RSA-2048 et AES-128 . Lors du cryptage, Ykcol renomme les fichiers en utilisant une combinaison de 16 lettres et chiffres avec l'extension ".ykcol" (les versions précédentes de Locky utilisaient ".locky", ".thor", ".diablo6", ".aesir", et quelques autres extensions). Après un cryptage réussi, Ykcol créé un fichier html ("ykcol.htm", placé sur le bureau de la victime) et ouvre un fichier bmp ("ykcol.bmp", qui est aussi configuré comme le fond d'écran du bureau de la victime).

Les deux fichiers bmp et html contiennent le même message informant les victimes du cryptage et les encourageant à visiter le site web du rançongiciel afin de recevoir un outil de décryptage en plus de la ‘’clef privée’’. Tel que mentionné ci-dessus, Ykcol emploi les algorithmes de cryptage RSA et AES, ce qui signifie que les deux clefs de décryptage sont générées uniquement pour chaque victime. Le décryptage sans ces clefs est impossible, les cybers criminels les stockent sur un serveur à distance et font chanter les victimes. Après avoir visité le site web d’Ykcol (complètement identique au site de décryptage de Locky), on demande aux victimes de payer une rançon en échange du décryptage. Le prix est de .25 Bitcoin (valant actuellement ~$985). Néanmoins, ces déclarations ont de bonnes chances d’être fausses. Les résultats de recherche montrent qu’une grande partie des développeurs de virus de types rançongiciels ignorent les victimes, une fois que les paiements sont soumis. Pour cette raison, il y a de fortes chances que payer ne donne aucun résultat positif et que vous soyez arnaqué. Nous recommandons fortement aux utilisateurs d’ignorer tous les encouragements à contacter les cybers criminels ou de payer une rançon – on ne devrait pas leur faire confiance. Malheureusement, il n’y aucuns outils capables de craquer les algorithmes RSA et AES, et de restaurer les fichiers encryptés par le rançongiciel Ykcol. Donc, la seule chose que les victimes peuvent faire c’est de restaurer les fichiers/le système à partir d’une sauvegarde.

Capture d'écran d'un message encourageant les utilisateurs à payer une rançon pour décrypter leurs données compromises :

Instructions de décryptage d'Ykcol

Aside from Locky and it's previous variants, there also are dozens of other ransomware-type viruses virtually identical to Ykcol. For example, Paradise, Jigsaw, Nemesis, and GlobeImposter. Malgré le fait que ces virus sont développés par différentes personnes, ils ont tous un comportement identique – encryptent les fichiers des victimes et font des demandes de rançon. Les seules différences majeures entre de tells virus sont le montant de la rançon et le type d’algorithme de cryptage utilisé. Les résultats de recherche montrent que la plus part des virus de types de rançongiciels emploient des algorithmes qui génèrent des clefs de décryptage uniques. Donc, à moins que le logiciel malveillant ne soit pas entièrement développé (a des bugs/des défauts), décrypter les fichiers manuellement, sans que les développeurs interfèrent, est impossible. Les rançongiciels tels qu’Ykcol est une bonne raison de garder des sauvegardes régulières de vos données.

Comment le rançongiciel infecte mon ordinateur?

Pourtant les plus communes sont : 1) les pourriels (pièces-jointes infectieuses) ; 2) sources non officielles de téléchargement de logiciels (ex. sites web de téléchargement de logiciels gratuits, sites d’hébergement de logiciels gratuits, réseaux pairs-à-pairs, etc.) ; 3) faux outils de mise à jour de logiciels, et 4) trojans. Les pièces-jointes infectieuses viennent habituellement sous le format de fichiers JavaScript ou de documents MS Office (avec des macros), les deux conçus pour télécharger et installer un logiciel. Les sources de téléchargement de logiciels de tierces parties présent souvent des exécutables malicieux comme logiciels légitimes, trompant ainsi les utilisateurs qui téléchargent et installent eux-mêmes le logiciel malveillant. Les fausses mises à jour de logiciels sont conçues pour exploiter les bugs/défauts des logiciels désuets pour infecter le système. Les trojans ouvrent simplement une ‘’porte’’ pour que d’autres logiciels malveillants puissent s’installer.

Résumé de la menace :
NomYkcol virus
Type de menaceRansomware, Crypto Virus, bloqueur de fichiers
SymptômesImpossible d'ouvrir des fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente, par exemple my.docx.locked. Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels demandent à ce que vous payez une rançon (généralement en bitcoins) pour déverrouiller vos fichiers.
Méthodes de DistributionPièces jointes infectées (macros), sites Web torrent, publicités malveillantes.
DommageTous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. Des chevaux de Troie supplémentaires de vol de mot de passe et des infections de logiciels malveillants peuvent être installés en même temps qu'une infection de logiciel de rançon.
Suppression

Pour éliminer Ykcol virus, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Malwarebytes.
▼ Télécharger Malwarebytes
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.

Comment vous protégez contre les infections de rançongiciels?

Afin de prévenir les infections de types rançongiciels les utilisateurs doivent être très prudents quand ils naviguent sur internet. Pour commencer, les utilisateurs ne devraient jamais ouvrir de fichiers reçus d’adresses email suspectes – de tels emails devraient être supprimés immédiatement. De plus, les utilisateurs devraient toujours télécharger les logiciels désirés seulement à partir de sources officielles et, préférablement, en utilisant l’URL de téléchargement direct. Les outils de téléchargement/d’installation de tierces parties ont de bonnes chances d’installer secrètement des applications malicieuses. Il est extrêmement important de garder vos applications installées à jour et d’utiliser une suite antivirus/anti logiciel espion légitime. Cependant, les utilisateurs devraient noter que les bandits propagent les logiciels malveillants via de fausses mises à jour. Pour cette raison, utilisez des outils de mise à jour de tierces parties est très risqué. Les raisons principales des infections informatiques sont de piètres connaissances t un comportement imprudent. La clef de la sécurité informatique c’est la prudence.

Capture d'écran du fichier html d'Ykcol ("ykcol.htm"):

Fichier html d'Ykcol

Capture d'écran du fond d'écran du bureau d'Ykcol ("ykcol.bmp"):

Fond d'écran d'Ykcol

Texte présenté dans les fichiers bmp et html du rançongiciel Ykcol :

!!! INFORMATION IMPORTANTE !!!!
Tous vos fichiers sont encryptés avec les chiffriers RSA-2048 et AES-128. Plus d'informations à propos de RSA et AES peut être trouvée ici : hxxp://en.wikipedia.org/wiki/RSAicryptosysteml hxxp://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Le décryptage de vos fichiers est seulement possible avec la clef privée et le programme de décryptage, qui est sur notre serveur secret. Pour recevoir votre clef privée suivez un des liens :
Si toutes ces adresses sont indisponibles, suivez ces étapes : 1. Télécharger et installer le Navigateur Tor : hxxps://www.torproject.org/download/download-easy.html 2. Après une installation réussie, exécuter le navigateur et attendez l'initialisation. 3. Taper dans la barre d'adresse : g46mbrrzpfszonuk.onion/GPZ9PTDZBFEU8EHN 4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnel : GPZ9PTDZBFEU8EHN !!!

Capture d’écran du site web d’Ykcol :

Site web d'Ykcol

Texte présenté sur ce site web :

Locky Decryptor™

Nous présentons un logiciel spécial - Locky Decryptor™ -
qui permet de reprendre le contrôle de tous vos fichiers encryptés.
Comment acheter Locky Decryptor™?
1. Vous pouvez faire un paiement avec des BitCoins, il y a plusieurs méthodes pour les obtenir.
2. Vous devrez enregistrer un portefeuille BitCoin.
3. Acheter des Bitcoins, bien que ne soit pas encore facile d'acheter des bitcoins, cela devient plus simples chaque jour.
4. Envoyer 0.25 BTC à l'adresse Bitcoin :
1HPomEzKmoA1oRLzSiA5u9uzjEiYiQBBYr
5. Actualiser la page et télécharger le décrypteur.
Quand la transaction Bitcoin recevra confirmation, vous serez redirigé vers la page pour télécharger le décrypteur.

Capture d'écran des fichiers encryptés par Ykcol (combinaison de 16 lettres et chiffres unique avec l'extension ".ykcol" :

Fichiers encryptés par Ykcol

Suppression du rançongiciel Ykcol :

Suppression instantanée automatique de Ykcol virus: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Malwarebytes est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Ykcol virus. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Malwarebytes Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide:

Étape 1

Utilisateurs de Windows XP et de Windows 7: Démarrer votre ordinateur en Mode sans échec, Cliquer Démarrer, Cliquer Redémarrer, Cliquer OK. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, Ensuite sélectionnez le mode Sans échec en réseau à partir de la liste.

Mode sans échec en réseau

Vidéo montrant comment démarrer Windows 7 en "Mode sans échec en réseau" :

Utilisateurs de Windows 8: Démarrer Windows 8 en Mode Sans Échec en réseau: Allez dans l'écran de démarrage de Windows 8, taper Avancé, dans les résultats de recherche sélectionner Paramètres. Cliquer sur les options de démarrage avancées, dans la fenêtre de PC ouverte ''Paramètres généraux du PC'' sélectionner Démarrage avancé. Cliquer sur le bouton ''Redémarrer maintenant''. Votre ordinateur redémarrera maintenant avec un ''menu des options de démarrage avancées''. Cliquer sur le bouton ''Dépannage'', ensuite cliquer sur le bouton ''options avancées''. Dans l'écran des options avancées cliquer sur ''Paramètres de démarrage''. Votre PC redémarrera avec un écran Paramètres de démarrage''. Presser ''5'' pour démarrer dans le Mode Sans Échec en Réseau.

Mode sans échec en réseau de Windows 8

Vidéo montrant comment démarrer Windows 8 en "Mode sans échec en réseau" :

Utilisateurs de Windows 10 : Cliquer le logo Windows et sélectionner l'icône Mise en marche/Éteindre. Dans le menu ouvert cliquer ''Redémarrer'' tandis que vous tenez le bouton ''Majuscule'' sur votre clavier. Dans la fenêtre ''choisissez une option'' cliqué sur ''Dépannage'', ensuite sélectionner ''Options avancées''. Dans le menu options avancées sélectionner ''Paramètres de Démarrage'' et cliquer le bouton ''Redémarrer''. Dans la fenêtre suivante vous devriez cliquer le bouton ''F5'' sur votre clavier. Cela redémarrera le système d'exploitation en mode sans échec en réseau.

Mode sans échec en réseau de windows 10

Vidéo montrant comment démarrer Windows 10 en "Mode sans échec en réseau" :

Étape 2

Connectez-vous au compte qui est infecté avec le virus Ykcol. Démarrez votre navigateur Internet et téléchargez un programme anti- espion légitime. Mettez à jour le logiciel anti espion et démarrez un scan complet du système. Supprimer toutes les entrées qu'il détecte.

Si vous ne pouvez pas redémarrer votre ordinateur en Mode sans échec en réseau, essayer de performer une Restauration du Système.

Vidéo montrant comment supprimer le virus rançongiciel en utilisant le ''Mode sans échec en réseau avec l’invite de commande et la ''Restauration du système'':

1. Durant le processus de redémarrage de votre ordinateur presser la touche F8 sur votre clavier plusieurs fois jusqu'à ce que vous voyiez le menu Options Avancées de Windows, ensuite sélectionnez le mode Sans échec en réseau avec l’invite de commande à partir de la liste et presser ENTREE.

Redémarrer votre ordinateur en Mode sans échec en réseau avec Invite de Commande

2. Lorsque le mode de invite de commande se charge, entrez la ligne suivante: cd restore et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande taper cd restore

3. Puis tapez cette ligne: rstrui.exe et appuyez sur ENTRÉE.

Restauration du système en utilisant l’invite de commande rstrui.exe

4. Dans la fenêtre qui s’ouvre appuyez sur “Suivant”.

Restauration des fichiers et des paramètres du système

5. Sélectionnez l’un des points de restaurations disponibles et cliquez sur ‘Suivant’ (cela restaurera le système de votre ordinateur à une date et heure antérieures, avant que le virus rançongiciel Ykcol ait infiltré votre PC).

Sélectionnez un point de restauration

6. Dans la fenêtre ouverte cliquez “Oui”.

Exécuter une restauration du système

7. Après avoir restauré votre ordinateur à une date précédente téléchargez et scannez votre PC avec un logiciel de suppression de logiciel malveillant recommandé pour éliminer tous les fichiers restants du rançongiciel Ykcol.

Pour restaurer les fichiers individuels encryptés par ce rançongiciel, essayer d'utiliser la fonction Versions Précédentes de Windows. Cette méthode est seulement efficace si la fonction Restauration du Système est activée sur un système d'exploitation infecté. Noter que certaines variantes d'Ykcol sont connues pour supprimer les clichées instantanés des volumes, alors cette méthode peut ne pas fonctionner sur tous les ordinateurs.

Pour restaurer un fichier, cliquer droite dessus, aller dans Propriétés, et sélectionner l'onglet Versions Précédentes. Si le fichier pertinent a un Point de Restauration, sélectionnez-le et cliquer le bouton ''Restaurer''.

Restaurer les fichiers encryptés par CryptoDefense

Si vous ne pouvez pas démarrer votre ordinateur en mode sans échec en réseau (ou avec l'invite de commande), redémarrer votre ordinateur en utilisant un disque de secours. Certaines variantes du rançongiciel désactivent le mode sans échec rendant son élimination plus compliquée. Pour cette étape, vous aurez besoin d’un accès à un autre ordinateur.

Pour regagner le contrôle des fichiers encryptés par Ykcol, vous pouvez aussi essayer d'utiliser un programme appelé Shadow Explorer. Plus d'information sur comment utiliser ce programme est disponible ici.

Capture d'écran de shadow explorer

Pour protéger votre ordinateur contre les rançongiciels encryptant les fichiers, utiliser des programmes antivirus et anti logiciel espion de bonne réputation. Comme méthode de protection additionnelle, vous pouvez utiliser des programmes appelés HitmanPro.Alert et EasySync CryptoMonitor, qui implantent artificiellement des groupes d'objets dans le registre pour bloquer des programmes escrocs tels que le rançongiciel Ykcol.

HitmanPro.Alert CryptoGuard - détecte le cryptage des fichiers et neutralisent de telles tentatives sans avoir besoin de l'intervention de l'utilisateur :

application hitmanproalert empêchant les rançongiciels

Malwarebytes Anti-Ransomware Beta utilise la technologie proactive avancée pour suivre l'activité de rançongiciel et la terminée immédiatement - avant qu'elle atteigne les fichiers des utilisateurs :

malwarebytes anti-ransomware

  • La meilleure façon d'éviter les dommages des infections de rançongiciels est de maintenir des sauvegardes à jour régulières. Plus d'informations sur les solutions de sauvegarde en ligne et les logiciels de récupération de données Ici.

Autres outils connus pour supprimer le rançongiciel Ykcol :

Source: https://www.pcrisk.com/removal-guides/11688-ykcol-ransomware

Cliquez pour poster un commentaire

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Ykcol virus Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Ykcol virus sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Ykcol virus aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Malwarebytes

Plateforme: Windows

Note de l’éditeur pour Malwarebytes:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.