Comment supprimer complètement le virus *.OSIRIS - Ransomware Locky ?

Si vous ouvrez un document individuel et que vous voyez que ce document a l'extension [8_random_characters]-[4_random_characters]-[4_random_characters]-[8_random_characters]-[12_random_characters].osiris . Il est très possible que votre ordinateur ait été attaqué par le ransomware Locky.

Pour mieux comprendre les ransomwares, les lecteurs peuvent se référer à plus d’informations ici.

Locky est un ransomware de chiffrement de fichiers, il va chiffrer les documents personnels qu'il détecte sur les ordinateurs des "victimes" attaquées par lui, à l'aide de la clé RSA-2048 (algorithme de chiffrement AES CBC 256-bit), affichera ensuite un message disant qu'il faut décrypter pour les données, vous devez payer environ 2,5 Bitcoins, soit environ 1 880 $.

Les instructions sont « regroupées » sur les ordinateurs des victimes dans 3 fichiers : OSIRIS.html, OSIRIS_ [4_digit_number].html et OSIRIS.bmp.

1. Comment le ransomware Locky OSIRIS attaque-t-il votre ordinateur ?

Le rançongiciel Locky est « distribué » via des courriers indésirables contenant des pièces jointes ou des liens vers des sites Web malveillants. Les cybercriminels utilisent des spams contenant de fausses informations d'en-tête, faisant croire aux utilisateurs qu'il s'agit d'un e-mail provenant de sociétés DHL ou FedEx.

Ou lors de l’installation de certains logiciels, les utilisateurs installent de manière invisible de faux logiciels supplémentaires à leur insu.

2. Qu'est-ce que le rançongiciel OSIRIS – Locky ?

Le ransomware Locky cible toutes les versions de Windows, y compris Windows 10, Windows Vista, Windows 8 et Windows 7. Ce type de Ransomware utilise une manière assez spéciale de crypter les fichiers utilisateur, il utilise les méthodes de cryptage AES-265 et RSA pour garantir que les victimes n'auront aucun problème. choix.

Lorsque le ransomware Locky est installé sur votre ordinateur, il crée des noms d'exécutables aléatoires dans le dossier %AppData" ou %LocalAppData" . Cet exécutable se lance et commence à analyser tous les lecteurs de votre ordinateur pour crypter les fichiers de données.

Ransomeware Lock recherchera les fichiers avec des extensions spécifiques à chiffrer. Les fichiers qu'il crypte incluent des documents et des fichiers importants tels que .doc, .docx, .xls, .pdf et quelques autres. Lorsque des fichiers sont détectés, il ajoute de nouvelles extensions aux noms de fichiers (ezz, .exx, .7z.encrypted).

Vous trouverez ci-dessous une liste des extensions de fichiers ciblées par les ransomwares :

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, . hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, . rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, . jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Une fois les fichiers cryptés avec l'extension .osiris, le ransomeware Locky peut créer un fichier de fichiers OSIRIS.html , OSIRIS_[4_digit_number].html ou OSIRIS.bmp pour chaque dossier contenant des fichiers cryptés et sur les ordinateurs Windows.

Ces fichiers se trouvent dans chaque dossier contenant des fichiers cryptés ainsi que dans le dossier Démarrage, qui contient des programmes qui s'affichent automatiquement lorsque les utilisateurs se connectent. Ces fichiers contiendront des informations sur la manière d'accéder aux sites de paiement et de récupérer vos fichiers.

Dans la plupart des cas, le rançongiciel Locky détournera l'extension .EXE. Lorsque vous démarrez un exécutable, il tentera de supprimer les clichés instantanés de volumes sur l'ordinateur.

Après avoir terminé le cryptage des fichiers de données, il supprimera toutes les copies fantômes de volume sur votre ordinateur. Il ne permet pas aux utilisateurs d'utiliser des clichés instantanés de volumes pour restaurer des fichiers cryptés.

3. Votre ordinateur est-il attaqué par le ransomware Locky - OSIRIS ?

Lorsque le ransomeware Lock attaque votre ordinateur, il analyse tous les lecteurs du système pour trouver les fichiers qu'il cible, crypte ces fichiers et ajoute l'extension .osiris aux fichiers.

Une fois les fichiers cryptés, vous ne pouvez plus les ouvrir avec les mêmes programmes que vous utilisez habituellement. De plus, lorsque le ransomware Locky aura fini de chiffrer les fichiers de la victime, il modifiera également le fond d'écran de l'ordinateur de la victime.

Il affichera également une demande de rançon au format HTML dans votre navigateur par défaut. Ces notes incluent des instructions sur la façon de vous connecter au service Decrypt, où vous pouvez en savoir plus sur ce qui est arrivé à vos fichiers et comment payer.

Ransomware Locky affichera le message suivant :

UNE INFORMATION IMPORTANT !!!!

Tous vos fichiers sont cryptés avec les chiffrements RSA-2048 et AES-128.

Plus d’informations sur le RSA et l’AES peuvent être trouvées ici :

hxxps://en.wikipedia.org/wiki/RSA_(cryptosystème)

hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Le décryptage de vos fichiers n'est possible qu'avec la clé privée et le programme de décryptage, qui se trouvent sur notre serveur secret.

Pour recevoir votre clé privée suivez l'un des liens :

[édité]

Si toutes ces adresses ne sont pas disponibles, procédez comme suit :

1. Téléchargez et installez le navigateur Tor : hxxps://www.torproject.org/download/download-easy.html

2. Après une installation réussie, exécutez le navigateur et attendez l'initialisation.

3. Tapez dans la barre d'adresse : [modifié]

4. Suivez les instructions sur le site.

!!! Votre identifiant personnel : [modifié]

4. Est-il possible de décrypter les fichiers cryptés par le ransomware Locky ?

Pour l’instant, il n’est pas possible de récupérer des fichiers cryptés avec l’extension .osiris.

La caractéristique la plus notable du ransomware Locky est la façon dont il crypte les fichiers utilisateur. Plus précisément, il utilise les méthodes de cryptage AES-265 et RSA pour garantir que l'utilisateur « attaqué » n'a d'autre choix que d'acheter la clé privée.

La clé publique RSA peut être déchiffrée avec sa clé privée correspondante. La raison en est que la clé AES est masquée lors de l’utilisation du cryptage RSA et que la clé RSA privée n’est pas disponible, le décryptage des fichiers n’est pas possible.

Et comme une clé privée est nécessaire pour déverrouiller les fichiers cryptés, accessibles via la cybercriminalité, les victimes peuvent être incitées à acheter et à payer des frais exorbitants.

4.1. Utilisez le logiciel pour récupérer des fichiers cryptés par le ransomware Locky

Option 1 : Utilisez ShadowExplorer pour récupérer les fichiers cryptés par le ransomware Locky

1. Téléchargez ShadowExplorer sur votre ordinateur et installez-le.

Téléchargez ShadowExplorer sur votre appareil et installez-le ici.

2. Après avoir téléchargé et installé ShadowExplorer, vous pouvez vous référer aux instructions pour restaurer des fichiers avec ShadowExplorer dans la vidéo ci-dessous :

Option 2. Utilisez un logiciel de récupération de fichiers pour récupérer les fichiers cryptés par l'extension .osiris

Lorsque l'extension .osiris crypte un fichier, elle copie d'abord ce fichier, crypte le fichier qu'il copie et supprime le fichier d'origine. Par conséquent, pour réparer les fichiers cryptés par l'extension .osiris, vous pouvez utiliser un logiciel de récupération de fichiers tel que :

• Recuva :

Téléchargez Recuva sur votre appareil et installez-le ici .

Reportez-vous aux étapes pour récupérer des fichiers cryptés avec Recuva dans la vidéo ci-dessous :

• Assistant de récupération de données EaseUS gratuit :

Téléchargez gratuitement EaseUS Data Recovery Wizard sur votre ordinateur et installez-le ici.

• R-Studio :

Téléchargez R-Studio sur votre appareil et installez-le ici.

5. Comment supprimer l'extension .osiris ?

Étape 1 : Utilisez Malwarebytes Anti-Malware Free pour supprimer le virus « Vos fichiers personnels sont cryptés »

Malwarebytes Anti-Malware Free est un logiciel gratuit qui permet de détecter et de supprimer les traces de logiciels malveillants (malwares), notamment les vers, les chevaux de Troie, les rootkits, les voleurs, les numéroteurs, les logiciels espions et certains autres logiciels.

Il est important que Malwarebytes Anti-Malware fonctionne côte à côte avec d'autres logiciels antivirus sans conflits.

1. Téléchargez Malwarebytes Anti-Malware Free sur votre ordinateur et installez-le.

Téléchargez Malwarebytes Anti-Malware Free sur votre appareil et installez-le ici.

2. Une fois le téléchargement terminé, fermez tous les programmes, puis double-cliquez sur l'icône nommée mbam-setup pour démarrer le processus d'installation de Malwarebytes Anti-Malware.

À ce stade, la boîte de dialogue Contrôle de compte d'utilisateur apparaîtra à l'écran vous demandant si vous souhaitez exécuter le fichier ou non. Cliquez sur Oui pour continuer.

3. Lors du démarrage du processus d'installation, la fenêtre de l'assistant d'installation de Malwarebytes Anti-Malware apparaît à l'écran, suivez les instructions à l'écran pour installer Malwarebytes Anti-Malware.

Pour installer Malwarebytes Anti-Malware, cliquez sur le bouton Suivant jusqu'à ce que la dernière fenêtre apparaisse, cliquez sur Terminer.

4. Une fois l'installation terminée, Malwarebytes Anti-Malware s'ouvrira automatiquement. Pour démarrer le processus d'analyse du système, cliquez sur le bouton Analyser maintenant.

5. Malwarebytes Anti-Malware commencera à analyser votre ordinateur pour rechercher et supprimer les logiciels malveillants .osiris.

6. Une fois le processus terminé, une fenêtre apparaîtra sur l'écran affichant le logiciel malveillant (malware) détecté par Malwarebytes Anti-Malware. Pour supprimer les logiciels et programmes malveillants détectés par Malwarebytes Anti-Malware, cliquez sur le bouton Supprimer la sélection .

7. Malwarebytes Anti-Malware « mettra en quarantaine » tous les fichiers malveillants et clés de registre détectés par le programme. Pendant le processus de suppression de ces fichiers, Malwarebytes Anti-Malware peut vous demander de redémarrer votre ordinateur pour terminer le processus. Votre tâche consiste à redémarrer votre ordinateur pour terminer le processus.

Étape 2 : Utilisez HitmanPro pour supprimer le ransomware Locky

HitmanPro est conçu pour " sauver " votre ordinateur des logiciels malveillants tels que virus, chevaux de Troie, rootkits, ...) qui pénètrent illégalement dans le système. HitmanPro est conçu pour fonctionner en parallèle avec d'autres logiciels de sécurité sans provoquer de conflits. Le programme analysera votre ordinateur dans les 5 minutes et ne ralentira pas votre ordinateur.

1. Téléchargez HtmanPro sur votre ordinateur et installez-le.

Téléchargez HtmanPro sur votre appareil et installez-le ici.

2. Double-cliquez sur le fichier nommé « HitmanPro.exe » (si vous utilisez la version 32 bits de Windows) ou « HitmanPro_x64.exe » (si vous utilisez la version 64 bits de Windows).

Cliquez sur Suivant pour installer HitmanPro sur votre ordinateur.

3. HitmanPro commencera à analyser votre ordinateur pour rechercher et supprimer les fichiers malveillants.

4. Une fois le processus terminé, une fenêtre apparaîtra à l'écran contenant une liste de tous les programmes malveillants trouvés par HitmanPro. Cliquez sur Suivant pour supprimer les logiciels malveillants sur votre système.

5. Cliquez sur le bouton Activer la licence gratuite pour essayer le programme gratuitement pendant 30 jours et supprimer tous les fichiers malveillants de votre ordinateur.

6. Comment protéger votre ordinateur contre le ransomeware Locky ?

Pour protéger votre ordinateur contre le ransomeware Locky, il est préférable d'installer des programmes antivirus sur votre ordinateur et de sauvegarder régulièrement vos données personnelles. De plus, vous pouvez utiliser certains programmes comme HitmanPro.Alert pour empêcher les programmes et logiciels malveillants (malware) de crypter des fichiers sur le système.

Reportez-vous aux étapes pour télécharger et installer HitmanPro.Alert dans la vidéo ci-dessous :

Reportez-vous ici à certains des logiciels antivirus les plus efficaces pour les ordinateurs Windows .

Reportez-vous à quelques articles supplémentaires ci-dessous :

• Que faire pour gérer l'erreur « Pas d'Internet après la suppression des logiciels malveillants » ?

• Comment supprimer les barres d'outils indésirables sur les navigateurs Chrome, Firefox, IE et Edge ?

• Étapes pour nettoyer le virus « Activer cette édition de Windows » qui attaque votre ordinateur Windows

Bonne chance!