.Fichiers thor Virus - Remove Locky's Latest Strain - Comment, Forum sur la sécurité PC et la technologie | SensorsTechForum.com
Suppression des menaces

.Fichiers thor Virus – Retirer Dernières Strain Locky

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

stf-locky-ransomware-virus-thor-thor-extension-rançon note-html

Une toute nouvelle souche du ransomware Locky a été trouvé pendant la nuit par des chercheurs de logiciels malveillants après la variante avec l'extension .shit avait été découvert. Les auteurs du virus ont décidé d'introduire le thème de la mythologie nordique à leurs projets ransomware, comme nous le voyons l'extension .thor étant jointe aux fichiers chiffrés. Pour voir comment faire pour supprimer le virus et comment vous pouvez essayer de restaurer vos fichiers, lire l'article.

Menace Résumé

NomLocky
TypeRansomware, Cryptovirus
brève descriptionLe ransomware crypte vos données, puis affiche un message de rançon avec des instructions pour le paiement.
SymptômesLes fichiers cryptés auront l'extension .thor jointe à eux.
Méthode de distributionspams, Email Attachments (.FSM, .js, .hta, .fermeture éclair, .vbs, .suis), Google Docs
Detection Tool Voir Si votre système a été affecté par Locky

Télécharger

Malware Removal Tool

Expérience utilisateurRejoignez notre Forum pour Discuter Locky.
Outil de récupération de donnéesWindows Data Recovery Stellar Phoenix Avis! Ce produit numérise vos secteurs d'entraînement pour récupérer des fichiers perdus et il ne peut pas récupérer 100% des fichiers cryptés, mais seulement quelques-uns d'entre eux, en fonction de la situation et si oui ou non vous avez reformaté votre lecteur.

Locky Ransomware - Livraison

La dernière souche du malware Locky ransomware utilise des serveurs de commande et de contrôle en tant que méthode de livraison. e-mails de spam avec un corps vide, contenir des pièces jointes qui fournissent un téléchargeur à votre PC. Dès lors, les morceaux de downloader ensemble le ransomware et crypte vos données. Les pièces jointes ressemblent documents légitimes, tandis que le nom de l'expéditeur, adresse, et e-mail peut être usurpée hors de véritables entreprises et leurs données sur les employés. Les pièces jointes sont titulaires de script ou téléchargeurs, et les types de fichiers utilisés sont: .FSM, .js, .hta, .fermeture éclair, .vbs et .suis ceux.

Voici un exemple d'un tel fichier détecté par Sécurité Payload:

stf-locky-ransomware-virus-thor-extension-charge-sécurité-commande et de contrôle des serveurs budget-xls-vbs-fichier-c2-linuxsucks-php

Locky ransomware pourrait aussi se propager autour de réseaux de médias sociaux et les sites de partage de fichiers. Une plate-forme rapportée pour la livraison des fichiers malveillants est Google Docs. Ne pas ouvrir les liens, les pièces jointes et les fichiers qui sont suspectes ou d'origine inconnue. Avant l'ouverture de fichiers, assurez-vous qu'ils ne sont pas tous les types de fichiers listés ci-dessus, Y compris .exe ceux. En outre, toujours effectuer un scan avec un outil de sécurité, vérifier les fichiers de leurs signatures et de la taille. Vous devez payer une visite à la rubrique relative conseils de prévention ransomware écrit dans notre forum.

Locky Ransomware - Description

Locky ransomware utilise une nouvelle extension sur les fichiers cryptés et qui est le .thor extension. On peut dire que les auteurs de l'Cryptovirus tournent le dos à ses racines – à savoir, si la mythologie nordique était dans l'esprit des cybercriminels. La plupart des extensions utilisées par le ransomware ont été nommés après Thor, Odin, et Loki, qui sont tous Dieux dans la mythologie nordique. Bien que, les escrocs auraient pu avoir merveilledes bandes dessinées et des films de la représentation »des dieux à l'esprit. Ce qui est encore plus intéressant - Heimdallr est aussi un Dieu nordique (fils d'Odin) et Heimdal sécurité est nommé d'après lui. Sont les créateurs de malwares se moquant Heimdal sécurité? Ou les programmes anti-malware en général?

Le virus utilise C2 (Commandement et de contrôle) serveurs pour la livraison de ses fichiers de charge comme décrit dans la section précédente. Les fichiers contiennent un script malveillant qui télécharge un .etc. déposer sur votre ordinateur. Une fois l'exécution, votre système informatique est infecté. Vous pouvez vérifier certains des serveurs C2, ici:

  • 185.102.136.77:80/linuxsucks.php
  • 91.200.14.124:80/linuxsucks.php
  • 91.226.92.225:80/linuxsucks.php
  • 77.123.14.137:221/linuxsucks.php
  • yptehqhsgdvwsxc.biz/linuxsucks.php
  • fvhnnhggmck.ru/linuxsucks.php
  • krtwpukq.su/linuxsucks.php
  • tdlqkewyjwakpru.ru/linuxsucks.php

Locky ransomware peut être téléchargé à partir de nombreux emplacements de téléchargement, dont certains sont énumérés ci-dessous.

Liste avec la charge utile des sites de téléchargement

Après le .DLL fichier est exécuté, il va crypter vos fichiers et afficher une note de rançon. Des exemplaires de cette note seront répartis dans des répertoires avec des fichiers cryptés avec le nom _Quel est. L'un est un .bmp fichier et l'autre est un .html un, où le fichier d'image est définie comme fond d'écran.

La demande de rançon du virus est le même que la variante avec l'extension .shit:

stf-locky-ransomware-virus-shit-extension-rançon écran-desktop

Et lorsque vous chargez le _WHAT_is.html fichier, il ressemblera à ce qui suit:

stf-locky-ransomware-virus-thor-thor-extension-rançon note-html

Le texte se lit ce qui suit:

!!! UNE INFORMATION IMPORTANT !!!

Tous vos fichiers sont cryptés avec RSA-2048 et chiffrements AES-128.
Plus d'informations sur le RSA et AES peut être trouvée ici:
https://en.wikipedia.org/wiki/RSA_(cryptosystème)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Décryptage de vos fichiers est seulement possible avec la clé privée et le programme déchiffre, Tout ce qui est sur notre serveur de secret.
Pour recevoir votre clé privée suivre l'un des liens:
1. http://jhomitevd2abj3fk.tor2web.org/5DYGW6MQXIPQSSBB
2. http://jhomitevd2abj3fk.onion.to/5DYGW6MQXIPQSSBB
Si toutes ces adresses ne sont pas disponibles, Suivez ces étapes:
1. Télécharger et installer Tor Browser: https://www.torproject.org/download/download-easy.html
2. Après une installation réussie, exécuter le navigateur et attendez l'initialisation.
3. Tapez dans la barre d'adresse: jhomitevd2abj3fk.onion / 5DYGW6MQXIPQSSBB
4. Suivez les instructions sur le site.
!!! Votre ID d'identification personnel: 5DYGW6MQXIPQSSBB !!!

La Locky virus du virus au service avec des instructions de paiement que nous avons vu dans des variantes passées. Le service est accessible si vous entrez le nom d'un fichier crypté (ceci est fait pour limiter l'accès au service). Vous pouvez voir le site caché sur le réseau TOR dans l'image ci-dessous:

stf-locky-ransomware-virus-thor-extension-locky-décrypteurs-page-paiement-instructions

La Locky ransomware n'a pas de variantes qui ont été décryptées, et le code de celui-ci est à partir des mêmes auteurs. Auparavant, les utilisateurs infectés par une variante plus ancienne de ce virus ont signalé qu'ils ne pouvaient pas récupérer leurs données, même après avoir payé la rançon. Si, aucune raison existe pour vous de contacter les cybercriminels ou pensez à payer. Évidemment, les escrocs vont tout simplement continuer à faire d'autres virus ransomware.

Les types de fichiers qui sont actuellement chiffrés par le Locky ransomware sont plus 400 en nombre et ont les extensions suivantes:

→sms, .pdf, .html, .rtf, .avi, .mov, .mp3, .mp4, .dwg, .psd, .svg, .indd, .cpp, .pas, .php, .Java, .jpg, .jpeg, .bmp, .querelle, .png, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .yuv, .YCbCr, .film, .WPD, .Texas, .sxg, .STX, .SRW, .srf, .sqlitedb, .sqlite3, .sqlite, .sdf, .sda, .S3DB, .RWZ, .rwl, .RDB, .rat, .raf, .QBY, .QBX, .QBW, .QBR, .primordial, .psafe3, .plc, .plus_muhd, .pdd, .oTH, .orf, .odm, .ODF, .nyf, .nxl, .nwb, .NRW, .nop, .nef, .ndd, .monde, .mrw, .MoneyWell, .MNY, .MMW, .mfw, .mef, .mdc, .prendre, .KPDX, .KDC, .kdbx, .JPE, .incpas, .IIQ, .FLR, .ibank, .HB, .jeu, .gris, .gris, .fhd, .EF, .EXF, .erf, .erbsql, .EML, .DXG, .DRF, .DNG, .dgc, .des, .la, .NRW, .dock, .dcs, .db_journal, .CSL, .csh, .crw, .jabot, .poche, .cdrw, .CDR6, .cdr5, .CDR4, .CDR3, .dpw, .BGT, .vg, .baie, .banque, .backupdb, .sauvegarder, .de retour, .awg, .APJ, .appartenant à, .AGDL, .les publicités, .adb, .acr, .haque, .accdt, .accdr, .ACCD, .vmxf, .vmsd, .vhdx, .VHD, .vbox, .STM, .rvt, .qcow, .cqfd, .pif, .pdb, .aider, .ost, .ogg, .NVRAM, .ndf, .M2TS, .bûche, .hpp, .hdd, .groupes, .flvv, .EDB, .cette, .qui, .cmt, .suis, .aiff, .xlk, .liasse, .pcs, .dire, .sas7bdat, .QBM, .QBB, .PTX, .pfx, .PEF, .tapoter, .pétrole, .Ep, .nsh, .nsg, .nsf, .NSD, .mos, .indd, .IIF, .fpx, .fff, .FDB, .DTD, .conception, .ddd, .DCR, .Dacian, .CDX, .cdf, .mélange, .BKP, .adp, .acte, .XLR, .xlam, .XLA, .wps, .tga, .pspimage, .PCT, .PCD, .FXG, .flac, .eps, .Dxb, .DRW, .point, .cpi, .cls, .cdr, .arw, .aac, .thm, .srt, .enregistrer, .sûr, .PWM, .pages, .obj, .mlb, .Perspective, .éclairé, .laccdb, .Histoire, .IDX, m11, .html, .FLF, .dxf, .dwg, .DDS, .csv, .css, .config, .cfg, .ciel, .ASX, .aspx, .aoi, .accdb, .7fermeture éclair, .xls, .DHS, .rtf, .PRF, .ppt, .OAB, .msg, .MAPIMAIL, .JNT, .doc, .dbx, .contact, .milieu, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .Floride, .swf, .wav, .qcow2, .VDI, .vmdk, .vmx, .portefeuille, .ufc, .semaines, .LTX, .litesql, .litemod, .lbf, .personnes, .forger, .la, .d3dbsp, .bsa, .bik, .atout, .apk, .gpg, .aes, .arc, .paq, .tar.bz2, .tbk, .derrière, .prend, .tgz, .rar, .fermeture éclair, .djv, .djvu, .svg, .bmp, .png, .gif, .brut, .cgm, .jpeg, .jpg, .tif, .querelle, .nef, .psd, .cmd, .chauve souris, .classe, .bocal, .Java, .aspic, .brda, .sch, .DCH, .tremper, .vbs, .pers, .pas, .cpp, .php, .LDF, .mdf, .IBD, .vendu, .monde, .frm, .ODB, .dbf, .CIS, .sql, .sqlitedb, .sqlite3, .TVP, .onetoc2, .asc, .lay6, .allonger, .SLDM, .sldx, .PPSM, .ppsx, .PPAM, .docb, .mml, .sxm, .OTG, .réponse, .uop, .potx, .sentiers, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .elle, .OTP, .Répondre, .semaines, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .ch, ..xlw, .XLT, .xlm, .XLC, .dif, .stc, .sxc, .ots, .paragraphe, .rempli, .DOTM, .dotx, .docm, .docx, .point, .max, .xml, .sms, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .là, .odt, .doc, .pem, .rse, .crt, .clé

Tous les fichiers qui sont cryptés auront la .thor l'extension jointe à eux et leurs noms changé en symboles aléatoires. L'algorithme de chiffrement Locky prétend utiliser en fonction de sa demande de rançon est RSA-2048 avec 128-bit AES chiffrements et cela semble être le cas.

La Locky Cryptovirus est presque certain de supprimer le Des copies de volume de l'ombre à partir du système d'exploitation Windows avec la chaîne de commande suivante:

→Vssadmin.exe supprimer les ombres / tous / Quiet

Poursuivez votre lecture pour voir comment supprimer ce ransomware et de vérifier quelles méthodes que vous pouvez utiliser pour essayer de déchiffrer certains de vos fichiers.

Retirer Locky Ransomware et restauration .thor Fichiers

Si votre ordinateur a été infecté avec le Locky virus ransomware, vous devriez avoir une certaine expérience dans l'élimination des logiciels malveillants. Vous devriez vous débarrasser de cette ransomware aussi vite que possible avant qu'il puisse avoir la chance de se propager plus loin et infecter d'autres ordinateurs. Vous devez retirer le ransomware et suivez le guide d'instructions étape par étape ci-dessous. Pour voir les moyens que vous pouvez essayer de récupérer vos données, voir l'étape intitulée 2. Restaurer les fichiers chiffrés par Locky.

avatar

Berta Bilbao

Berta est un chercheur dédié logiciels malveillants, rêver pour un cyber espace plus sûr. Sa fascination pour la sécurité informatique a commencé il y a quelques années, quand un malware lui en lock-out de son propre ordinateur.

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...