Virus Rançongiciel (.lockbit) Mac – options de suppression et de décryptage
Écrit par Tomas Meskauskas le (mis à jour)
Qu'est-ce que le rançongiciel LockBit ?
LockBit est le nom d'un rançongiciel ciblant les systèmes d'exploitation Mac (OS). Il est associé au gang des rançongiciels Lockbit - les développeurs de LockBit, LockBit 2.0, LockBit 3.0, et de diverses autres variantes. Les maliciels susmentionnés ciblent les serveurs Windows, Linux, et les serveurs VMware ESXi.
À l'heure où nous écrivons ces lignes, LockBit (Mac) est le premier rançongiciel connu pour MacOS développé par un grand gang de cybercriminels. Toutefois, l'échantillon que nous avons étudié est encore en cours de développement et a été publié pour être testé.
Généralement, les rançongiciels fonctionnent en chiffrant les fichiers des victimes afin d'exiger un paiement pour le déchiffrement. Cette version de LockBit a très peu de chances d'atteindre son objectif. Tout d'abord, sa signature invalide est détectée comme non fiable par les OS, et le rançongiciel a tendance à planter lors de l'exécution manuelle. Toutefois, il convient de mentionner que de futures variantes potentielles pourraient être capables de crypter avec succès des appareils Mac.
Aperçu du rançongiciel LockBit
La variante recherchée de LockBit cible les appareils fonctionnant sous Apple Silicon, mais elle peut également être lancée sur des versions plus anciennes. Selon l'analyse effectuée par Objective-See, LockBit utilise le code de la version Linux compilé pour Mac. Il contient également des artefacts des variantes Windows du rançongiciel, qui n'ont absolument rien à voir avec les OS Mac.
Étant donné que ce programme malveillant est le premier rançongiciel pour Mac d'un grand gang de rançongiciels que sa conception est défectueuse, il est évident que cette version de LockBit a été publiée à des fins de test.
Même la note de rançon ("!!!-Restore-My-Files- !!!.txt") créée par une exécution réussie de ce maliciel - contient un texte générique qui conviendrait à un rançongiciel ciblant les entreprises et capable d'exfiltrer des données (à des fins de double extorsion), ce que cette variante est incapable de faire.
Ce rançongiciels ne représente actuellement que peu ou pas de menace pour les utilisateurs Mac. Les systèmes d'exploitation Mac détectent la signature invalide du maliciel et affichent des avertissements ou sont tout simplement incapables d'ouvrir le fichier infectieux.
Les utilisateurs pourraient exécuter manuellement le fichier et déclencher ainsi le processus de cryptage de LockBit, ce qui entraînerait le cryptage des données et l'ajout d'une extension ".lockbit" aux noms des fichiers affectés (par exemple, "1.jpg" apparaîtrait comme "1.jpg.lockbit", "3.png" comme "3.png.lockbit", etc.) Toutefois, lors de notre analyse et des recherches menées par d'autres analystes, le rançongiciel s'est généralement planté en raison de son code défectueux.
Par conséquent, même s'il pouvait réussir à crypter des données, il est peu probable que ce soit le cas dans son itération actuelle. Toutefois, les graves défauts de cette variante pourraient être corrigés dans les prochaines versions, ce qui signifierait que les versions ultérieures pourraient être capables de chiffrer les appareils des victimes.
Les rançongiciels bien conçus sont très dangereux. Les fichiers chiffrés par ces maliciels ne peuvent pas être décryptés sans l'intervention des attaquants. Cependant, il est fortement déconseillé de répondre aux demandes de rançon, car la récupération des données n'est pas garantie (les cybercriminels n'envoient souvent pas les clés/logiciels de décryptage), et le fait de payer soutient également cette activité illégale.
Le conseil général pour assurer la sécurité des données est de conserver des sauvegardes dans plusieurs endroits différents (par exemple, des serveurs distants, des dispositifs de stockage débranchés, etc.).
| Nom | Virus LockBit |
| Type de Menace | Maliciel Mac, virus Mac, Rançongiciel, Crypto Virus, Verrouillage de fichiers |
| Extension des Fichiers Cryptés | .lockbit |
| Message de Demande de Rançon | !!!-Restore-My-Files-!!!.txt |
| Décrypteur Gratuit Disponible ? | Non (voir le site du projet No More Ransom) |
| Contact du Cyber Criminel | Sites Web du réseau Tor |
| Noms de Détection | Avast (Multi:Filecoder-X [Ransom]), Ikarus (Win32.Outbreak), Kaspersky (HEUR:Trojan-Ransom.OSX.Agent.gen), TrendMicro (Ransom.MacOS.LOCKBIT.YXDDPZ), ZoneAlarm by Check Point (HEUR:Trojan-Ransom.OSX.Agent.gen), Liste complète des détections (VirusTotal) |
| Symptômes | Impossible d'ouvrir les fichiers stockés sur votre ordinateur ; les fichiers qui fonctionnaient auparavant ont maintenant une extension différente (par exemple, 1.jpg.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement en bitcoins) pour déverrouiller vos fichiers. |
| Méthodes de Distribution | Pièces jointes de courriels infectés, sites web torrent, publicités malveillantes. |
| Dommages | Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. D'autres chevaux de Troie voleurs de mots de passe et des infections de maliciels peuvent être installés en même temps qu'une infection par un rançongiciel. |
| Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Exemples de maliciels Mac
Nous avons analysé d'innombrables programmes malveillants ciblant les systèmes d'exploitation Mac : MacStealer, GIMMICK, DazzleSpy, SysJoker – ne sont que quelques exemples, et EvilQuest est un rançongiciel spécifique au Mac.
Les maliciels peuvent avoir des objectifs très variés, allant du cryptage de fichiers au vol de données. Si les rançongiciels fonctionnent pratiquement de la même manière (c'est-à-dire qu'ils chiffrent les données et exigent un paiement), ces programmes présentent deux différences notables entre eux. Ils peuvent utiliser différents algorithmes cryptographiques (symétrique ou asymétrique) et exiger des rançons de montants variés.
Cependant, quel que soit le mode de fonctionnement des maliciels, leur présence sur un système met en péril l'intégrité de l'appareil et la sécurité de l'utilisateur. C'est pourquoi toutes les menaces doivent être supprimées dès qu'elles sont détectées.
Comment un rançongiciel a-t-il infecté mon ordinateur ?
Les maliciels sont principalement distribués par le biais de tactiques d'hameçonnage et d'ingénierie sociale. Ils sont généralement déguisés ou intégrés à des programmes/médias ordinaires. Les fichiers virulents peuvent se présenter sous différents formats et infecter les appareils dès leur ouverture.
Les méthodes de prolifération les plus répandues sont les suivantes : téléchargements "drive-by" (furtifs ou trompeurs), pièces jointes ou liens malveillants dans des courriels/messages de spam, escroqueries en ligne, sources de téléchargement douteuses (par exemple, sites web d'hébergement de fichiers gratuits et freeware, réseaux de partage Peer-to-Peer, etc.), logiciels piratés et outils illégaux d'activation de programmes ("cracking"), et fausses mises à jour.
Comment se protéger des rançongiciels ?
Nous vous recommandons vivement de faire preuve de prudence lorsque vous naviguez, car les contenus en ligne frauduleux et malveillants semblent généralement légitimes et inoffensifs. La même vigilance doit être étendue aux courriels entrants et autres messages. Les pièces jointes ou les liens trouvés dans des courriers suspects/irréprochables ne doivent pas être ouverts, car ils peuvent être infectieux.
En outre, tous les téléchargements doivent être effectués à partir de canaux officiels et vérifiés. Il est tout aussi important d'activer et de mettre à jour les logiciels en utilisant des fonctions/outils authentiques, car ceux acquis à partir de sources tierces peuvent contenir des maliciels.
Nous devons insister sur le fait que l'installation et la mise à jour d'un antivirus réputé sont essentielles à la sécurité de l'appareil et de l'utilisateur. Les programmes de sécurité doivent être utilisés pour effectuer des analyses régulières du système et pour supprimer les menaces détectées. Si votre ordinateur est déjà infecté par LockBit, nous vous recommandons d'exécuter une analyse avec Combo Cleaner pour éliminer automatiquement ce rançongiciel.
Capture d'écran de la note de rançon du rançongiciel Lockbit ("!!!-Restore-My-Files-!!!.txt") :
Texte présenté dans ce message :
~~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
Tor Browser Links:
-
Links for normal browser:
-
...
>>>> Very important! For those who have cyber insurance against ransomware attacks.
Insurance companies require you to keep your insurance information secret, this is to never pay the maximum amount specified in the contract or to pay nothing at all, disrupting negotiations. The insurance company will try to derail negotiations in any way they can so that they can later argue that you will be denied coverage because your insurance does not cover the ransom amount. For example your company is insured for 10 million dollars, while negotiating with your insurance agent about the ransom he will offer us the lowest possible amount, for example 100 thousand dollars, we will refuse the paltry amount and ask for example the amount of 15 million dollars, the insurance agent will never offer us the top threshold of your insurance of 10 million dollars. He will do anything to derail negotiations and refuse to pay us out completely and leave you alone with your problem. If you told us anonymously that your company was insured for $10 million and other important details regarding insurance coverage, we
>>>>> If you do not pay the ransom, we will attack your company again in the future.
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que "LockBit"?
- ETAPE 1. Supprimez les fichiers et dossiers liés au PUA dans OSX.
- ETAPE 2. Supprimez les extension malveillantes de Safari.
- ETAPE 3. Supprimez les modules complémentaires indésirables de Google Chrome.
- ETAPE 4. Supprimez les plug-ins potentiellement indésirables de Mozilla Firefox.
Suppression d'applications potentiellement indésirables :
Supprimez les applications potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône du Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et mettez-les à la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables à l'origine des publicités en ligne, analysez votre Mac à la recherche de tout autre composant indésirable.
Suppression des fichiers et dossiers reliés au virus lockbit:
Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...
Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:
Dans la barre Aller au dossier... taper: Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés dans le dossier de /Library/Application Support :
Dans la barreAller au dossier..., taper: /Library/Application Support
Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:
Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:
Dans la barre Aller au dossier, taper : /Library/LaunchDaemons
Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.
Scanner votre Mac avec Combo Cleaner:
Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.
Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.
Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.
Suppression du virus lockbit dans les navigateurs Internet :
Suppression des extensions malicieuses dans Safari:
Suppression des extensions reliées à virus lockbit dans Safari :
Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".
Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.
Supprimer les plug-ins malicieux dans Mozilla Firefox:
Supprimer les ajouts reliés à virus lockbit dans Mozilla Firefox :
Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".
Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.
Suppression des extensions malicieuses dans Google Chrome :
Suppression des ajouts reliés à virus lockbit dans Google Chrome :
Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".
Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.
Foire Aux Questions (FAQ)
Comment mon ordinateur a-t-il été piraté et comment les pirates ont-ils crypté mes fichiers ?
Les victimes elles-mêmes exécutent (ouvrent) souvent des exécutables de rançongiciels, car ces fichiers peuvent être déguisés en contenu ordinaire ou regroupés avec celui-ci. Les programmes de type rançongiciels sont principalement distribués par le biais de téléchargements "drive-by", de courriels/messages de spam, d'escroqueries en ligne, de canaux de téléchargement non fiables (par exemple, sites de freeware et de tiers, réseaux de partage P2P, etc.), d'outils d'activation de logiciels illégaux ("cracks") et de fausses mises à jour.
Comment ouvrir les fichiers ".lockbit" ?
Si vos fichiers ont été cryptés avec succès par un rançongiciel, ils ne peuvent être ouverts/utilisés qu'après avoir été décryptés.
Où dois-je chercher des outils de décryptage gratuits pour le rançongiciel LockBit ?
En cas d'attaque par un rançongiciel, nous vous conseillons de consulter le site du projet No More Ransom project website.
Je peux vous payer beaucoup d'argent, pouvez-vous décrypter les fichiers pour moi ?
Nous ne proposons pas de tels services. En effet, en dehors des cas impliquant des rançongiciels profondément défectueux, le décryptage est impossible sans l'intervention des cybercriminels. Par conséquent, les tiers qui proposent un décryptage payant sont souvent des escrocs ou des intermédiaires entre les victimes et les criminels.
Combo Cleaner m'aidera-t-il à supprimer le rançongiciels LockBit ?
Oui, Combo Cleaner analysera votre appareil et éliminera les infections de rançongiciels détectées. Il faut souligner que si l'utilisation d'un programme antivirus est la première étape de la récupération d'un rançongiciel, les logiciels de sécurité sont incapables de décrypter les données.
!Remarquable!
▼ Montrer la discussion