Virus Rançongiciel Rocklee (.rocklee) - options de suppression et de décryptage
Écrit par Tomas Meskauskas le (mis à jour)
Quel type de maliciel est Rocklee ?
En évaluant des échantillons de maliciels téléchargés sur VirusTotal, nous avons découvert une variante rançongicielle de la famille Makop baptisée Rocklee. Ce rançongiciel chiffre les données, modifie les noms de tous les fichiers chiffrés et affiche une note de rançon ("+README-WARNING+.txt").
Rocklee ajoute l'identifiant de la victime, l'adresse courriel de l'attaquant et l'extension ".rocklee" aux noms de fichiers. Par exemple, il remplace "1.jpg" par "1.jpg.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", "2.png" par "2.png.[2AF20FA3].[cyberrestore2024@onionmail.org].rocklee", etc.
Capture d'écran des fichiers chiffrés par ce rançongiciel :
Aperçu de la note de rançon de Rocklee
La note explique que les fichiers de la victime ont été cryptés sans que la structure du fichier ne soit endommagée. Elle indique que la victime doit payer les auteurs du rançongiciel pour récupérer ses fichiers. Il y a une section sur les garanties, affirmant que les auteurs ne se préoccupent que de leurs bénéfices et n'ont aucune considération pour la situation de la victime.
Les acteurs de la menace proposent une méthode pour tester leur capacité à décrypter des fichiers en envoyant deux petits fichiers avec des extensions simples. Les informations de contact sont fournies, avec une adresse courriel (cyberrestore2024@onionmail.org), un identifiant TOX et un lien permettant de télécharger le client TOX pour la communication.
Le processus de décryptage après paiement est expliqué, avec la promesse de fournir un programme scanner-décodeur et des instructions d'utilisation détaillées. Enfin, la note aborde la question de la résistance potentielle, en avertissant que le refus de coopérer entraînera une perte de temps et de données, car seuls les auteurs de l'infraction possèdent la clé privée nécessaire au décryptage.
Une mise en garde insiste sur le fait qu'il ne faut pas tenter de modifier les fichiers cryptés sous peine d'aggraver les dommages.
Plus de détails sur le rançongiciel
Le paiement d'une rançon est fortement déconseillé en raison des risques encourus. Rien ne garantit que les attaquants tiendront leur promesse de restaurer les fichiers après paiement. Au lieu de cela, les victimes sont invitées à utiliser toutes les sauvegardes disponibles ou à explorer d'autres options, comme la recherche en ligne d'outils de décryptage tiers.
En outre, il est impératif de supprimer rapidement les rançongiciels des systèmes compromis afin d'atténuer les risques de dommages supplémentaires, notamment le chiffrement d'autres fichiers.
Les rançongiciels en général
Les rançongiciels chiffrent les fichiers ou restreignent l'accès aux systèmes informatiques, contraignant les victimes à payer une rançon pour leur libération. Ils sont diffusés par divers canaux. Généralement, les victimes sont extorquées pour remettre une rançon, fréquemment en cryptomonnaie, afin de récupérer leurs données ou l'accès à leur système. Des variantes telles que ZENEX, Water, et Lkfr illustrent bien la diversité des variantes des rançongiciels.
Les mesures préventives consistent à maintenir les logiciels à jour, à déployer des logiciels antivirus et à sensibiliser les utilisateurs aux tactiques d'hameçonnage. En outre, des systèmes de sauvegarde robustes jouent un rôle essentiel pour faciliter la récupération en cas d'attaque.
Comment le rançongiciel a-t-il infecté mon ordinateur ?
Les rançongiciels peuvent s'infiltrer dans les ordinateurs par de multiples voies, en exploitant souvent les actions involontaires des utilisateurs. L'une des tactiques les plus répandues consiste à envoyer des courriels trompeurs contenant des pièces jointes ou des liens malveillants. Leur ouverture peut entraîner l'exécution d'un rançongiciel sur les systèmes.
Les kits d'exploitation représentent une autre méthode, capitalisant sur les vulnérabilités des logiciels ou des systèmes d'exploitation. Les attaquants exploitent ces faiblesses pour introduire subrepticement un rançongiciel.
En outre, les rançongiciels peuvent se propager par le biais de publicités malveillantes, de logiciels piratés, d'outils de craquage, de téléchargements à partir de sources non fiables telles que les réseaux P2P et les téléchargeurs tiers, de clés USB infectées et de sites web compromis. Chacun de ces vecteurs présente un risque d'infection par un rançongiciel pour les utilisateurs peu méfiants.
Nom | Virus Rocklee |
Type de Menace | Rançongiciel, Virus Crypto, Bloqueur de fichiers |
Extension des Fichiers Cryptés | .Rocklee |
Message de Demande de Rançon | +README-WARNING+.txt |
Décrypteur Gratuit Disponible ? | No |
Contact du Cyber Criminel | cyberrestore2024@onionmail.org, intelrestore@onionmail.com, intelrestore2022@onionmail.org, Chat Tox |
Noms de Détection | Avast (Win32:Evo-gen [Trj]), Combo Cleaner (Gen:Variant.Ransom.Makop.149), ESET-NOD32 (Une variante de Win32/Filecoder.Phobos.E), Kaspersky (HEUR:Trojan-Ransom.Win32.Generic), Microsoft (Ransom:Win32/Phobos.PB!MTB), Liste complète des détections (VirusTotal) |
Symptômes | Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement en bitcoins) pour déverrouiller vos fichiers. |
Informations Additionnelles | Rocklee fait partie de la famille Makop |
Méthodes de Distribution | Pièces jointes de courriels infectés (macros), sites web de torrents, publicités malveillantes. |
Dommages | Tous les fichiers sont cryptés et ne peuvent être ouverts sans paiement d'une rançon. D'autres chevaux de Troie voleurs de mots de passe et des infections de maliciels peuvent être installés en même temps qu'une infection par un rançongiciel. |
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Comment se protéger des infections par rançongiciels ?
Mettez régulièrement à jour vos logiciels et votre système d'exploitation pour corriger les vulnérabilités connues, réduisant ainsi la probabilité d'exploitation par un rançongiciel. Utilisez des logiciels antivirus et antimalwares fiables pour détecter et neutraliser les menaces des rançongiciels avant qu'ils ne compromettent votre système. Faites preuve de discernement lorsque vous cliquez sur des liens ou téléchargez des pièces jointes provenant de courriels et de sites web inconnus ou suspects.
Abstenez-vous de visiter des sites web potentiellement dangereux, en particulier ceux qui proposent des logiciels piratés ou des contenus illicites. Faites preuve de scepticisme à l'égard des publicités et des pop-up figurant sur des pages web douteuses, car ils peuvent être des vecteurs d'infiltration de rançongiciels.
Si votre ordinateur est déjà infecté par Rocklee, nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement ce rançongiciel.
Fichier texte de Rocklee, "+README-WARNING+.txt" (GIF) :
Texte dans la note de rançon :
::: Greetings :::
Little FAQ:
.1.
Q: Whats Happen?
A: Your files have been encrypted. The file structure was not damaged, we did everything possible so that this could not happen..2.
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay us..3.
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee..4.
Q: How to contact with you?
A: You can write us to our mailbox: cyberrestore2024@onionmail.org
Or you can contact us via TOX: 2045F43C36CF86051CC7129C1FF74E84BCDC7A527C059676E546F58A1D8DF94B3C47F17F2E54
You can download TOX client here: hxxps://qtox.github.io/.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files..6.
Q: If I don t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.:::BEWARE:::
DON'T try to change encrypted files by yourself!
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.
Suppression du rançongiciel Rocklee :
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
{loadposition position31
Foire Aux Questions (FAQ)
Comment mon ordinateur a-t-il été piraté et comment les pirates ont-ils crypté mes fichiers ?
Les infections informatiques proviennent souvent d'utilisateurs trompés par des courriels d'hameçonnage contenant des liens ou des pièces jointes nuisibles. Les sites web compromis, les logiciels piratés, les outils de piratage et les publicités malveillantes présentent également des risques importants. En outre, les infections peuvent résulter du téléchargement de fichiers et de programmes à partir de sources non officielles et de l'utilisation de logiciels obsolètes.
Comment ouvrir les fichiers ".rocklee" ?
Pour restaurer l'accès à vos fichiers, il est nécessaire de les décrypter, car ils ont été chiffrés lors d'une attaque de rançongiciel.
Où dois-je chercher des outils de décryptage gratuits pour le rançongiciel Rocklee ?
En cas d'attaque par un rançongiciel, vous devez consulter le site web du projet No More Ransom (plus d'informations ici).
Je peux vous payer beaucoup d'argent, pouvez-vous décrypter les fichiers pour moi ?
Notre équipe ne propose pas de services de décryptage. En général, les données chiffrées par un rançongiciel sont exceptionnellement difficiles à déchiffrer sans l'implication directe du développeur ou du distributeur, à moins que le rançongiciel ne présente des vulnérabilités exploitables. Par conséquent, toute tierce partie prétendant fournir des services de décryptage payants agit probablement en tant qu'intermédiaire ou s'engage dans des activités frauduleuses.
Combo Cleaner m'aidera-t-il à supprimer le rançongiciel Rocklee ?
Combo Cleaner est conçu pour effectuer des analyses approfondies de votre ordinateur et éliminer les infections actives de rançongiciels. L'utilisation d'un programme antivirus comme Combo Cleaner constitue une première mesure vitale pour faire face aux menaces des rançongiciels. Il est toutefois important de comprendre que si les logiciels de sécurité peuvent supprimer les rançongiciels de votre système, ils ne possèdent pas la capacité de décrypter les fichiers qui ont déjà été chiffrés.
▼ Montrer la discussion