Notez qu'un autre ransomware utilise aussi l'extension .locked : Ransomware extension .locked.
Les exécutables sont également chiffrés, ce qui pose de sérieux problèmes d'instabilités du système.
Un fichier "Comment débloquer mes fichiers .txt" est ensuite créé contenant les instructions de déblocage.
Les instructions:
Bonjour, nous somme des êtres humains sans emplois, en cherche pas les problèmes,
en veux juste nourrir nos familles, nous vous demandant de ne pas faire des bêtises avec nous,
Parce que ce n'est pas bien pour vous,
Nous avons crypté tous vos fichiers en utilisant un Algorithme personnel et nous demandons de nous Payer une rançon de 300 EURO pour débloquer vos fichiers,
Nous vous garantissons le déblocage totale de vos fichier et ne plus jamais entendre parler de nous,
Le Payement s'effectue en utilisant les cartes de PaySafeCard disponible partout en France,
voici le lien pour trouver rapidement les points de ventes les plus proche de chez vous:
https://www.paysafecard.com/fr-fr/acheter/trouv ... -de-vente/
Toute demande de déblocage sans Payer sera automatiquement rejeté,
Nous acceptons seulement les cartes de 50 EURO et 100 Euro,
Veuillez envoyer les codes des cartes à l'un des e-Mails suivant:
geniesanstravaille@outlook.fr
geniesanstravaille@yahoo.fr
geniesanstravaille@gmail.com
N'oubliez pas de préciser l'identifiant de votre Ordinateur sur le titre du mail, voici votre identifiant: 6A406277
En gis de bonne volonté et pour vous prouver que ce n'est pas une arnaque,
Nous allons décrypter un fichier gratuitement pour vous,
Veuillez nous envoyer un de vos fichiers Crypté en pièce-jointe à l'un des courriel cité au-dessus
et n'oubliez pas de préciser aussi l'identifiant de votre ordinateur pour que nous puissions localiser votre clé de décryptage parmi celle de nos clients.
Vous aurez une repense avec le Code de déblocage dans le même jour du payement.
Veuillez nous excuser pour le désagrément.
Lorsque nous avons récupéré ce malware, la détection était vraiment mauvaise :
SHA256: b47f15d1093fd6466e040d3ee786a18e25f8980d3db33465d2acbafe8b0f6850
Nom du fichier : Locker.exe
Ratio de détection : 3 / 54
Date d'analyse : 2016-02-10 08:06:45 UTC (il y a 1 minute)
Informations comportementales
Antivirus Résultat Mise à jour
AhnLab-V3 Win-Trojan/MDA.630F094C 20160209
TrendMicro TROJ_FORUCON.BMC 20160210
TrendMicro-HouseCall TROJ_FORUCON.BMC 20160210
Cet échantillon possède des fonctionnalités SMTP dont voici le destinataire :
→ from: %CumpterName% <bordeaux@sothis.fr>
→ to: brangiersimonalain@gmail.com ☠
→ to: New Client %VolumeSerialNumber%
L'attaquant utilise le compte courriel de la société toulousaine SOTHIS SAS pour s'envoyer les informations des victimes sur la BAL brangiersimonalain@gmail.com probablement elle même compromise. Sur le compte gmail, un filtre est appliqué sur l'adresse de l'émetteur bordeaux@sothis.fr
Nous recommandons aux victimes de venir s'inscrire sur le forum pour vérifier leurs installations.
Pour les détails techniques, consulter : JobCrypter, la cerise sur le gâteau
Une fois Windows nettoyé, modifiez tous vos identifiants et surveillez vos mouvements bancaires.
Sécuriser son Windows
Afin de sécuriser son Windows et éviter les ransomwares et autres menaces connues sur la toile, suivre le tutoriel de sécurisation.
=> Sécuriser son Windows.