Ce ransomware fait partie de la famille de Ransomware Amnesia.
Le ransomware se caractérise par une modification des fichiers chiffrés avec l'extension .onion.
Le fichier contenant les instructions de paiement se nomme -DECRYPT-MY-FILES.txt
Comme d'habitude le paiement se fait sur le réseau TOR et en Bitcoin.
ALL YOUR WORK AND PERSONAL FILES HAS BEEN ENCRYPTED
Exemple de détection :
Récupérer les fichiers .onionSHA256: 5fb635753e3c4043f982654ce9964a86349a6cad018a8edcfe9aee4f146aafb2
Nom du fichier : locker.exe
Ratio de détection : 39 / 61
Date d'analyse : 2017-05-28 18:22:06 UTC (il y a 22 minutes)
Antivirus Résultat Mise à jour
Ad-Aware Trojan.Ransom.Amnesia.A 20170528
AegisLab Troj.GameThief.W32.OnLineGames.l9qW 20170528
AhnLab-V3 Worm/Win32.AutoRun.C135521 20170528
ALYac Trojan.Ransom.Amnesia.A 20170528
Antiy-AVL Trojan/Win32.AGeneric 20170528
Arcabit Trojan.Ransom.Amnesia.A 20170528
Avast Win32:Malware-gen 20170528
AVG Win32/DH{gVSCOAM?} 20170528
Avira (no cloud) TR/Crypt.XPACK.Gen7 20170528
BitDefender Trojan.Ransom.Amnesia.A 20170528
CrowdStrike Falcon (ML) malicious_confidence_100% (W) 20170420
Cyren W32/Trojan.BHGF-8978 20170528
DrWeb WIN.WORM.Virus 20170528
Emsisoft Trojan.Ransom.Amnesia.A (B) 20170528
Endgame malicious (moderate confidence) 20170515
ESET-NOD32 a variant of Win32/Filecoder.FS 20170528
F-Secure Trojan.Ransom.Amnesia.A 20170528
Fortinet W32/DelpDldr.F!tr 20170528
GData Trojan.Ransom.Amnesia.A 20170528
Ikarus Trojan.Win32.Lnkhyd 20170528
Invincea generic.a 20170519
K7GW Trojan ( 004f6e981 ) 20170528
Kaspersky HEUR:Trojan.Win32.Generic 20170528
McAfee Artemis!168EC5747FB3 20170528
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.kc 20170528
eScan Trojan.Ransom.Amnesia.A 20170528
NANO-Antivirus Trojan.Win32.Blocker.eouvmo 20170528
Palo Alto Networks (Known Signatures) generic.ml 20170528
Panda Trj/RansomCrypt.D 20170528
Qihoo-360 Win32/Trojan.cb1 20170528
Rising Malware.Generic.5!tfe (thunder:5:w0bcvFiCqKD) 20170528
SentinelOne (Static ML) static engine - malicious 20170516
Sophos Mal/DelpDldr-F 20170528
Symantec Trojan.Gen 20170527
TheHacker Posible_Worm32 20170528
TrendMicro TROJ_FORUCON.BMC 20170528
TrendMicro-HouseCall PAK_Generic.005 20170525
Webroot W32.Trojan.Gen 20170528
ZoneAlarm by Check Point HEUR:Trojan.Win32.Generic 20170528
La récupération des fichiers chiffrés par le ransomware .onion est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Tentez l'outil Decryptor d'Emsisosft : https://decrypter.emsisoft.com/amnesia
Sécuriser les accès RDP et Terminal Serveur.
Vérifiez les comptes utilisateurs, vous devez avoir des comptes avec des mots de passe faibles.
Nous vous recommandons de ne pas laisser le terminal serveur accessible par internet et de filtrer ce dernier :
- soit filtrer sur les IPs sources
- soit ne permettent l'accès au terminal server que par VPN