Supprimer le virus .SHIT fichiers - Locky Ransomware ( Mars 2017 Mise à jour )
Suppression des menaces

Retirer .shit Virus Files (New Locky Ransomware)

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

header-bitcoin-stforum

La dernière itération de Locky ransomware est ici. Les fichiers sont cryptés avec une nouvelle extension – .merde, mais il est possible que d'autres extensions apparaissent aussi bien. Le Cryptovirus utilise maintenant les fichiers HTML (.hta) et ramène l'utilisation de commandement et de contrôle (C&C) serveurs pour livrer son fichier de charge utile. Pour voir comment retirer le ransomware et comment vous pouvez essayer de restaurer vos données, lire l'article, avec attention.

Menace Résumé

NomLocky Ransomware
TypeRansomware, Cryptovirus
brève descriptionLe ransomware crypte vos données, puis affiche un message de rançon avec des instructions pour le paiement.
SymptômesLes fichiers cryptés auront l'extension .shit jointe à eux.
Méthode de distributionspams, C&C Serveurs, fichiers HTML sous forme de .hta
Detection Tool Voir Si votre système a été affecté par Locky Ransomware

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour Discuter Locky Ransomware.
Outil de récupération de donnéesWindows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur.

Locky Ransomware - Distribution

La dernière version de la Locky ransomware ramène les serveurs de commande et de contrôle comme un moyen pour la distribution. Les serveurs poussent la dernière charge utile pour le Cryptovirus. Le fichier de charge utile est vu dans deux formats - comme un fichier HTML ou un téléchargeur JScript. Respectivement ils ont ces extensions – .hta et .FSM / .js. Ces fichiers peuvent être mis à l'intérieur .fermeture éclair pour une détection plus difficile par le logiciel de sécurité. Vous pouvez voir les détections d'un tel fichier, sans qu'il soit obscurcie dans une archive, sur le VirusTotal site Internet:

stf-locky-ransomware-virus-shit-extension-VirusTotal-détections-charge-file-réception

La plupart des fichiers de charge ont le nom Le reçu avec des nombres aléatoires après cela, de sorte qu'il semble un reçu ou une facture légitime. Vous pouvez voir comment le corps d'un tel e-mail ci-dessous ressemble:

À partir de: Free Haut Débit
date: Lun, 24 Octobre 2016
Sujet: [Gratuit] Notification de facture Freebox (95854808)

Bonjour,

Vous trouverez en piece jointe votre facture Free Haut Debit.
Le total de votre facture est de 75.09 Euros.
Nous vous remercions de votre confiance.

L'equipe gratuit

Attachement: Facture_Free_201610_6292582_95854808.zip

Celui-ci est en français que la France est l'un des pays les plus ciblés, avec au Royaume-Uni, Allemagne, Arabie Saoudite, La Pologne et la Serbie, selon les chercheurs de logiciels malveillants de la MalwareHunterTeam. Les e-mails ressemblent, ils contiennent un message de facture légitime. Celui ci-dessus tente de surprendre l'utilisateur qu'il possède une compagnie ou d'un service 75 euros. Centrée sur le "dette"La plupart des utilisateurs qui ne sont pas au courant de ransomware ouvrira la pièce jointe pour voir exactement ce qui se passe.

Une autre variante d'une lettre de spam lié à la nouvelle campagne en anglais:

À partir de: “Dee Compton”

Sujet: Lettre de plainte
date: Lun, 24 Octobre 2016

cher [Votre nom d'email],

Client a envoyé une lettre de plainte concernant le fichier de données que vous avez fournies.
La lettre est attachée.

S'il vous plaît examiner ses préoccupations attentivement et répondre le plus tôt possible.

Cordialement,
Dee Compton

Attachement: saved_letter_C10C6A2.js

Locky ransomware pourrait se propager autour des médias sociaux et les sites de partage de fichiers, trop. Évitez les liens suspects ou inconnus, les pièces jointes et les fichiers en général. Avant d'ouvrir un fichier, toujours faire un scan avec une application de sécurité. Vous devriez lire le conseils de prévention ransomware Participez à notre forum.

Locky Ransomware - Analyse

Une nouvelle souche de l'infâme Locky ransomware a été découvert. Le Cryptovirus ramène C2 (Commandement et de contrôle) les serveurs de nouveau dans son schéma de distribution de la charge utile, comme décrit ci-dessus. Cela fait pour une livraison extrêmement rapide du script malveillant qui libère le virus sur un ordinateur compromis. Vous pouvez prévisualiser certains des serveurs C2, ici:

  • 185.102.13677:80/linuxsucks.php
  • 91.200.14124:80/linuxsucks.php
  • 109.234.35215:80/linuxsucks.php
  • bwcfinntwork:80/linuxsucks.php

Cependant, quelques versions Locky ransomware ont été observées, qui a mis aussi le .merde extension, mais ne pas utiliser les serveurs C2, mais .DLL déposer son point d'entrée, ce qui en fait un moyen hors ligne pour infecter des machines informatiques, sans parvenir à aucun emplacement de téléchargement.

Liste avec certains des sites de téléchargement de charge utile

Après l'exécution de la charge utile, vos fichiers seront cryptés se, et une note de rançon apparaîtra. Une copie de la note sera faite dans les fichiers avec le nom _WHAT_is.bmp

La demande de rançon avec des instructions est défini comme votre fond d'écran, et il est le même que celui des variantes passées (y compris les erreurs grammaticales):

stf-locky-ransomware-virus-shit-extension-rançon écran-desktop

Le texte se lit ce qui suit:

!!! UNE INFORMATION IMPORTANT !!!

Tous vos fichiers sont cryptés avec RSA-2048 et chiffrements AES-128.
Plus d'informations sur le RSA et AES peut être trouvée ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystème)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Décryptage de vos fichiers est seulement possible avec la clé privée et le programme déchiffre, Tout ce qui est sur notre serveur de secret.
Pour recevoir votre clé privée suivre l'un des liens:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si toutes ces adresses ne sont pas disponibles, Suivez ces étapes:
1. Télécharger et installer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécuter le navigateur et attendez l'initialisation.
3. Tapez dans la barre d'adresse: jhomitevd2abj3fk.onion / 5DYGW6MQXIPQSSBB
4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnel: 5DYGW6MQXIPQSSBB !!!

La Locky virus vous relie à un domaine de réseau caché par le service TOR (mais pas hébergé sur elle). Pour avoir accès au service, vous devrez mettre le nom d'un fichier crypté dans le champ prévu. Qui charge le service a la même apparence que celle de ses prédécesseurs, comme vous pouvez le voir dans l'image ci-dessous:

stf-locky-ransomware-virus-shit-extension-locky-décrypteurs-page-paiement-instructions

Les demandes sur la page de paiement est pour les victimes à payer autour 0,5 Bitcoins qui revient à 320 dollars américains. La Locky ransomware doit encore être battu, comme son cryptage est très forte et les chercheurs ont pas trouvé des failles dans le code du virus. Les victimes d'itérations précédentes du ransomware ont signalé qu'ils ne réussirent pas à récupérer leurs fichiers après avoir payé les cybercriminels. Ainsi, il n'y a aucune raison pour vous de contacter les escrocs ou pensez à les payer. Comme on le voit à ce moment,, les criminels continueront à faire plus de campagnes de ransomware.

Les fichiers avec les extensions suivantes ont été rapportées pour obtenir crypté:

→.sms, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .Java, .jpg, .jpeg, .bmp, .querelle, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .YCbCr, .film, .WPD, .Texas, .sxg, .STX, .SRW, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .S3DB, .RWZ, .rwl, .RDB, .rat, .raf, .QBY, .QBX, .QBW, .QBR, .primordial, .psafe3, .plc, .plus_muhd, .pdd, .oTH, .orf, .odm, .ODF, .nyf, .nxl, .nwb, .NRW, .nop, .nef, .ndd, .monde, .mrw, .MoneyWell, .MNY, .MMW, .mfw, .mef, .mdc, .prendre, .KPDX, .KDC, .kdbx, .JPE, .incpas, .IIQ, .FLR, .ibank, .HB, .jeu, .gris, .gris, .fhd, .EF, .EXF, .erf, .erbsql, .EML, .DXG, .DRF, .DNG, .dgc, .des, .la, .NRW, .dock, .dcs, .db_journal, .CSL, .csh, .crw, .jabot, .poche, .cdrw, .CDR6, .cdr5, .CDR4, .CDR3, .dpw, .BGT, .vg, .baie, .banque, .backupdb, .sauvegarder, .de retour, .awg, .APJ, .appartenant à, .AGDL, .les publicités, .adb, .acr, .haque, .accdt, .accdr, .ACCD, .vmxf, .vmsd, .vhdx, .VHD, .vbox, .STM, .rvt, .qcow, .cqfd, .pif, .pdb, .aider, .ost, .ogg, .NVRAM, .ndf, .M2TS, .bûche, .hpp, .hdd, .groupes, .flvv, .EDB, .cette, .qui, .cmt, .suis, .aiff, .xlk, .liasse, .pcs, .dire, .sas7bdat, .QBM, .QBB, .PTX, .pfx, .PEF, .tapoter, .pétrole, .Ep, .nsh, .nsg, .nsf, .NSD, .mos, .indd, .IIF, .fpx, .fff, .FDB, .DTD, .conception, .ddd, .DCR, .Dacian, .CDX, .cdf, .mélange, .BKP, .adp, .acte, .XLR, .xlam, .XLA, .wps, .tga, .pspimage, .PCT, .PCD, .FXG, .flac, .eps, .Dxb, .DRW, .point, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .enregistrer, .sûr, .PWM, .pages, .obj, .mlb, .Perspective, .éclairé, .laccdb, .Histoire, .IDX, .html, .FLF, .dxf, .dwg, .DDS, .csv, .css, .config, .cfg, .ciel, .ASX, .aspx, .aoi, .accdb, .7fermeture éclair, .xls, .DHS, .rtf, .PRF, .ppt, .OAB, .msg, .MAPIMAIL, .JNT, .doc, .dbx, .contact, .milieu, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .Floride, .swf, .wav, .qcow2, .VDI, .vmdk, .vmx, .portefeuille, .ufc, .semaines, .LTX, .litesql, .litemod, .lbf, .personnes, .forger, .la, .d3dbsp, .bsa, .bik, .atout, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .derrière, .prend, .tgz, .rar, .fermeture éclair, .djv, .djvu, .svg, .bmp, .png, .gif, .brut, .cgm, .jpeg, .jpg, .tif, .querelle, .nef, .psd, .cmd, .chauve souris, .classe, .bocal, .Java, .aspic, .brda, .sch, .DCH, .tremper, .vbs, .pers, .pas, .cpp, .php, .LDF, .mdf, .IBD, .vendu, .monde, .frm, .ODB, .dbf, .CIS, .sql, .sqlitedb, .sqlite3, .TVP, .onetoc2, .asc, .lay6, .allonger, .SLDM, .sldx, .PPSM, .ppsx, .PPAM, .docb, .mml, .sxm, .OTG, .réponse, .uop, .potx, .sentiers, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .elle, .OTP, .Répondre, .semaines, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .ch, ..xlw, .XLT, .xlm, .XLC, .dif, .stc, .sxc, .ots, .paragraphe, .rempli, .DOTM, .dotx, .docm, .docx, .point, .max, .xml, .sms, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .là, .odt, .doc, .pem, .rse, .crt, .clé

Ce sont autour de 400 des extensions différentes. Les fichiers cryptés auront la .merde l'extension ajoutée à la fin de leur nom. L'algorithme de chiffrement qui est prétendu être utilisé par Locky est RSA-2048 avec AES 128 bits chiffrements.

Ce nouvel échantillon de Locky ransomware est très susceptible d'effacer le Des copies de volume de l'ombre sur le système d'exploitation Windows via la commande suivante:

→Vssadmin.exe supprimer les ombres / tous / Quiet

Continuez à lire pour voir comment retirer le ransomware et de voir quelles sont les méthodes que vous pouvez essayer de déchiffrer certaines de vos données de fichier.

Retirer Locky Virus and Restore Files .shit

Si votre ordinateur a été infecté avec le Locky virus ransomware, vous devriez avoir une certaine expérience dans l'élimination des logiciels malveillants. Vous devriez vous débarrasser de cette ransomware aussi vite que possible avant qu'il puisse avoir la chance de se propager plus loin et infecter d'autres ordinateurs. Vous devez retirer le ransomware et suivez le guide d'instructions étape par étape ci-dessous. Pour voir les moyens que vous pouvez essayer de récupérer vos données, voir l'étape intitulée 2. Restauration de fichiers chiffrés par Locky Ransomware.

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...