Supprimer Le virus Coin Locker Ransomware

Bien que le ransomware Coin Locker soit écrit avec un code facilement déchiffrable, appelé Ceasar Cipher, il peut vous poser un vrais casse-tête. Le nom de ce code provient du vrai Jules César qui a crypté des messages en remplaçant chaque lettre avec une autre située à un certain nombre de places avant ou après dans le même alphabet.

A propos de Coin Locker Ransomware

Le type de chiffrement de Caesar Cipher utilisé par le ransomware Coin Locker est connu sous le titre de ROT4. Ce code particulier déplace le caractère initial de quatre caractères vers la gauche. Par exemple, la lettre  » A  » est remplacée par la lettre  » E  » et ainsi de suite. Voici comment cet algorithme de chiffrement fonctionne. Le codeur de fichiers Coin Locker cible tous les fichiers, sauf ceux ayant les mots:  » Mozilla  »,  » Google  »,  » Notepad » ou  » Windows » dans leur chemin d’accès. Il ajoute l’extension  » .encrypted  » aux extensions de noms de fichiers de fichiers cryptés. Par exemple,  » book.pdf  » est transformé en  » book.pdf.encrypted  ».

Lorsque le chiffrement est terminé, le cryptomalware Coin Locker dépose le fichier ‘Coin.Locker.txt’ dans chaque dossier de fichiers cryptés. Ce fichier porte la demande de rançon. Le message de rançon s’affiche comme suit:

You have been infected with the Coin Locker malware.

All files on this system have been encrypted.

To regain access to your files you will need the Coin Locker decryption software.

To obtain our software you will need to access the deep web with TOR, download TOR here:

https://www.torproject.org/download/download-easy.html.en

Launch TOR and navigate to our website:

http://unjbvgrxu2mpobuj.onion

Follow the steps on the site to use the decryption software and your files will be unlocked.

Comme vous pouvez le voir, le message de rançon contient un lien vers un site TOR où le paiement est censé être fait. Le montant de la rançon fluctue de 50 à 500 USD. Comme d’habitude, il est demandé de la transférer en crypto-monnaie, à savoir, en bitcoins.

Comment le ransomware Coin Locker se propage-t-il?

Le virus Coin Locker a deux méthodes de distribution. La première méthode est typique des virus du genre Cheval de Troie. C’est la technique de l’envoi d’e-mails de spam à la victime. Ces e-mails de spam ont des liens malveillants intégrés ou ajoutés aux pièces jointes malveillantes. Ils peuvent être déguisés en e-mails importants de sociétés telles que les géants du service de livraison FedEx ou des institutions telles que le Service des Douanes. Ils peuvent aussi ne pas avoir du tout d’expéditeur. Dans tous les cas, il est recommandé de fermer les yeux sur ces e-mails. L’autre méthode de distribution du ransomware Coin Locker implique BlackHole EK (kit d’exploitation). Cet EK télécharge et installe le ransomware sur le système de votre ordinateur lorsque vous suivez quelques liens compromis et lorsque vous visitez des sites Web malveillants. Ainsi, il est important de suivre votre navigateur Web quand il met à l’index certaines URL et vous met en garde contre les dangers possibles de les visiter. En outre, des antivirus crédibles, tels que SpyHunter ou Plumbytes, sont des incontournables.

Comment décrypter les fichiers chiffrés par Coin Locker Ransomware?

Le chercheur en sécurité cybernétique Nathan Scott a développé un décrypteur pour le crypto virus Coin Locker. La clé de décryptage doit être téléchargée à partir du lien suivant http://download.bleepingcomputer.com/Nathan/Coin_Locker_Decrypter.exe. Une fois que vous téléchargez et installez ce programme, double-cliquez dessus et lancez- le. C’est un outil facile à utiliser, toutes les instructions seront communiquées clairement, lorsque vous l’aurez lancé. L’autre partie du travail consiste en la suppression des logiciels malveillants de votre ordinateur. Utilisez Spyhunter ou Malwarebytes des outils de suppression automatique de logiciels malveillants pour réussir dans cette mission. Vous pouvez également faire une tentative de suppression manuelle, en suivant notre guide gratuit de suppression manuelle pour le Ransomware Coin Locker . Les instructions sont affichées ici.

Comment supprimer Coin Locker Ransomware en utilisant System Restore(Restauration du système)?

1. Redémarrer votre ordinateur en Mode sans échec avec Invite de commande

Pour Windows 7 / Vista/ XP

• Démarrer → Eteindre → Redémarrer → OK.
• Appuyer sur la touche F8 de façon répétée jusqu’à ce que la fenêtre Options de démarrage avancé apparaisse.
• Choisir Mode sans échec avec Invite de commande.

Pour Windows 8 / 10

• Appuyer sur Alimentation sur l’écran de démarrage de Windows. Puis appuyer et maintenir la touche Majuscule et cliquer sur Redémarrer.
• Choisir Dépanner → Options avancées → Paramètres de démarrage et cliquer sur Redémarrer.
• Lorsque cela charge, sélectionnez Activer Mode sans échec avec Invite de commande dans la liste des Paramètres de démarrage.

Restaurer les fichiers du système et les paramètres.

• Lorsque le mode Invite de commande charge, entrer la restauration de cd et appuyer sur Entrée.
• Puis entrer rstrui.exe et appuyez à nouveau sur Entrée.
• Cliquez sur “Suivant” dans la fenêtre qui est apparue.
• Sélectionner un des Point de restauration qui sont disponibles avant que Coin Locker Ransomware ait infiltré votre système puis cliquer sur “Suivant”.
• Pour démarrer la Restauration du système, cliquer sur “Oui”.

2. Compléter la suppression de Coin Locker Ransomware

Après la restauration du système, il est recommandé d’analyser votre ordinateur avec un programme anti logiciels malveillants, comme  Spyhunter et de supprimer tous les fichiers malveillants en lien avec Coin Locker Ransomware.

3. Restaurer les fichiers affectés par Coin Locker Ransomware en utilisant les copies Shadow Volume

Si vous n’utilisez pas l’option Restauration du système sur votre système d’exploitation, il y a une chance pour utiliser des copies de snapshots de fenêtres. Ils stockent les copies de vos fichiers qui pointent le temps lorsque le snapshot de restauration du système a été créé. Habituellement, Coin Locker Ransomware essaie de supprimer toutes les copies Shadow Volume, donc ces méthodes peuvent ne pas fonctionner sur tous les ordinateurs. Cependant, cela pourrait échouer.

Les copies Shadow Volume sont uniquement valables avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via la copie Shadow Volume. Vous pouvez le faire en utilisant les précédentes versions de Windows ou via Shadow Explorer.

a) Précédentes versions Windows d’origine

Clic droit sur un fichier crypté et sélectionner Propriétés>onglet Versions précédentes. Maintenant, vous verrez toutes les copies disponibles dans ce fichier en particulier et le moment où il a été stocké dans la copie Shadow Volume. Choisir la version du fichier que vous voulez retrouver et cliquer sur Copie si vous voulez le sauvegarder dans un répertoire de votre choix, ou Restaurer si vous voulez remplacer, le fichier crypté existant. Si vous voulez voir le contenu du premier fichier, cliquer sur Ouvrir.

b) Shadow Explorer

C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez télécharger soit une version complète soit portable de Shadow Explorer. Ouvrez le programme. Dans le coin supérieur gauche, sélectionnez le lecteur où le fichier que vous cherchez est un stocké. Vous verrez tous les dossiers sur ce lecteur. Pour récupérer un dossier entier, clic-droit dessus et sélectionnez "Exporter". Ensuite, choisissez où vous voulez qu'il soit stocké.

Remarque: Dans de nombreux cas, il est impossible de restaurer les bases de données affectées par les nouveaux logiciels escrocs. Par conséquent, nous recommandons une sauvegarde sur le Cloud en précaution. Nous recommandons de retirer Carbonite, BackBlaze, CrashPlan ou Mozy Home.

Outils de suppression Malware automatique