Comment supprimer TrumpLocker Ransomware

0

La TrumpLocker Ransomware (également connu comme TrumpLockerRansomware) crypto-menace semble appartiennent à la famille de VenusLocker de ransomware qui a été d’abord repéré par des chercheurs de malware en mi-2016. La famille VenusLocker a reçu une mise à jour majeure de ses auteurs en décembre 2016, et ce fut la dernière fois malware chercheurs suis tombés sur un échantillon de cette menace. Qui était jusqu’à il y a quelques jours, lorsque plusieurs utilisateurs de partout dans le monde présenté des échantillons d’un nouveau morceau de ransomware qui se nomme le « TrumpLocker Ransomware (également connu comme TrumpLockerRansomware). » Cette nouvelle pièce semble unique au premier abord, mais elle partage beaucoup de similitudes avec le VenusLocker Ransomware, et il y a une chance très importante que le groupe derrière le VenusLocker originaux peut-être également être derrière la nouvelle TrumpLocker Ransomware. Cependant, c’est aussi une possibilité que quelqu’un pourrait avoir réussi à copier des parties du code source de la VenusLocker et de fonctionnalités et de les adapter afin qu’ils puissent devenir partie de la TrumpLocker Ransomware.

Le nom de la menace provient de l’extension de fichier, qu’il utilise pour marquer les fichiers cryptés, ainsi que par le fait que, avant d’afficher l’écran de serrure, le TrumpLocker Ransomware affiche également une photo de Donald Trump, avec le texte de la légende « Vous êtes piraté. » Cependant, la TrumpLocker Ransomware doit faire beaucoup d’autres choses avant d’afficher l’écran de démarrage et la note de la rançon.

La TrumpLocker Ransomware communique avec la commande & contrôle serveur via TOR

Lorsque le TrumpLocker Ransomware est exécuté pour la première fois, il entre en contact avec un domaine « .onion » et soumet le nom de l’ordinateur et le nom d’utilisateur de la victime et, en réponse, il reçoit une clé de chiffrement publique qui sera utilisée pour chiffrer les fichiers de l’utilisateur. La réponse inclut également la somme de rançon qui semble être codé en dur et est définie à 0,145 Bitcoins (environ 170 dollars) actuellement. Une fois cette opération terminée, le TrumpLocker Ransomware est prêt à démarrer l’étape menaçante de son attaque â €» analyser les fichiers de l’utilisateur et les chiffrer une fois qu’ils utilisent une extension de fichier appropriée. Ce qui est intéressant au sujet de la TrumpLocker Ransomware, c’est qu’il n’utilise pas la même méthode de chiffrement pour tous les fichiers, et dans certains scénarios, la menace va crypter uniquement les 1024 premiers octets du fichier. Selon si le cryptage est totale ou partielle, la menace également ajoutera une autre extension de fichier pour le fichier verrouillé :

  • ‘. TheTrumpLockerf’ pour le chiffrement complet des extensions de fichier suivantes : .txt, .ini, .php, .html, .css, .py, .c, .cpp, .cc, .h, .cs, .log, .pl, .java, .doc, .dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv , .dwg, .dxf, .asp, .xml.
  • ‘. TheTrumpLockerp’ pour le chiffrement partiel de plus de 500 autres types de fichiers.

En dehors de changer l’extension, la TrumpLocker Ransomware aussi utilise le codage base64 pour changer le nom original du fichier, donc rendant extrêmement difficile pour les victimes vérifier s’ils ont perdu des fichiers sensibles lors de l’attaque (par exemple « invoice.xlsx » sera changé à « aW52b2ljZS54bHN4.TheTrumpLockerf »).

TrumpLocker et VenusLocker part similaire caractéristiques

À l’instar de VenusLocker, le TrumpLocker Ransomware également exclut de nombreux dossiers et ne crypte pas leur contenu. Il s’agit d’une stratégie commune parmi les auteurs ransomware puisqu’il garantit que l’ordinateur de la victime ne sera pas rendu inopérable, et la victime sera en mesure d’accéder au Web et à payer la rançon. Certains des dossiers que le TrumpLocker Ransomware est programmé pour sauter sont « Program Files, » « Program Files (x86), » « Windows, » « Intel », « ATI, » « Microsoft Bing, » « WinRAR », etc.. En outre, la TrumpLocker Ransomware supprime également les clichés instantanés de Volume, rendant ainsi la récupération de fichiers une tâche beaucoup plus difficile.

« — Le Locker Trump —
Malheureusement, vous êtes piraté.
1. qu’est-il arrivé à mes fichiers ?
Vos fichiers personnels, y compris vos photos, documents, vidéos et autres fichiers importants sur cet ordinateur, ont été chiffrés avec RSA-4096, l’algorithme de cryptage plus fort. Algorithme RSA génère une clé publique et une clé privée pour votre ordinateur. La clé publique a été utilisée pour crypter vos fichiers il y a un instant. La clé privée est nécessaire pour vous de déchiffrer et de récupérer vos fichiers. Maintenant, votre clé privée est stockée sur notre serveur Internet secret. Et il n’y a aucun doute que personne ne peut récupérer vos fichiers sans votre clé privée.
Pour plus d’informations sur l’algorithme RSA, veuillez vous reporter à https://en.wikipedia.org/wiki/RSA _(cryptosystem)
2. Comment déchiffrer mes fichiers ?
Pour déchiffrer et récupérez vos fichiers, vous devez payer #ramt # Dollars US pour le service privé clé de déchiffrement. Veuillez noter que vous avez seulement 72 heures pour effectuer votre paiement. Si votre paiement ne pas rempli dans le délai imparti, votre clé privée est supprimé automatiquement par notre serveur. Tous vos fichiers seront définitivement chiffrés et personne ne peut les récupérer. Par conséquent, il est conseillé que vous aurait mieux pas perdre votre temps, car il n’y a pas d’autre moyen de récupérer vos fichiers sauf un paiement.
3. Comment payer pour ma clé privée ?
Il y a trois étapes pour effectuer un paiement et récupérez vos fichiers :
1). pour la sécurité des transactions, tous les paiements doivent être effectués via le réseau de Bitcoin. Ainsi, vous devrez échanger #ramt # dollars US (ou équivalent monnaie locale) de Bitcoins et ensuite envoyer ces Bitcoins (environ #btc # BTC) à l’adresse suivante. 1N82pq3XovKoJYqUmTrRiXftpNHZyu4jyv
2). envoyer votre pièce d’identité à notre e-mail officiel : TheTrumpLocker@mail2tor.com
Votre numéro d’identification personnel est : #id #. ‘

Les demandes de rançon qui la TrumpLocker Ransomware fournit aussi sont tout à fait particulières puisque la menace utilise plusieurs méthodes pour envoyer un message. Tout d’abord, il laisse un message textuel rançon dans le fichier « Ce qu’adviendra de mon files.txt, » qui comprend une longue explication de la situation et la solution que propose les assaillants. Puis il procède pour télécharger une image depuis un site d’hébergement image populaire et le définir comme le fond d’écran â €» l’image contient un dessin d’un homme dans un masque de Guy Fawkes, ainsi que les bits importants du message rançon comme la somme de rançon, Bitcoin adresse et l’adresse de messagerie pour le contact. Dernier point mais non le moindre, le TrumpLocker Ransomware utilise un fichier de configuration appelé « uinf.uinf » pour l’autre partie de la note de la rançon. Le fichier de configuration contient les données reçues de la « .onion »-hébergé le serveur et est utilisé pour générer un écran de serrure qui partage bon nombre des caractéristiques de conception de VenusLocker. Toutefois, avant que l’écran de verrouillage s’affiche, les utilisateurs verront une image de Donald Trump et le texte « Vous êtes piraté » pendant quelques secondes. Pour s’assurer que la rançon Remarque va être pour rappeler les victimes de la situation, qu’ils sont en permanence, le TrumpLocker Ransomware va créer une clé de Registre qui lance le fichier « RansomNote.exe » automatiquement au démarrage de Windows.

Malheureusement, tout comme les VenusLocker Ransomware, le TrumpLocker Ransomware est également impossible à déchiffrer pour le moment, et utilisateurs dont les dossiers ont été verrouillées par cette menace peuvent être dans une situation malencontreuse. Mais la somme de la rançon demandée par les assaillants n’est pas grande, nous ne conseillons utilisateurs d’accepter d’envoyer l’argent aux cyber-escrocs derrière la distribution de la TrumpLocker Ransomware. Au lieu de cela, le ransomware devrait être éliminée rapidement avec l’aide d’un outil fiable d’anti-malware, et les données chiffrées doivent être sauvegardées dans un endroit sûr car l’utilisateur peut avoir besoin il si un déchiffreur gratuit pour le TrumpLocker Ransomware devient disponible.


Instructions de suppression manuelle TrumpLocker Ransomware.

Supprimer les applications connexes TrumpLocker Ransomware

Désinstallation de Windows 7 et Windows Vista

  1. Cliquez sur Démarrer et sélectionnez panneau.
  2. Choisissez désinstaller un programme et désinstaller TrumpLocker Ransomware.

Désinstallation de XP Windows

  1. Ouvrez le menu Démarrer et panneau de contrôle d’accès.
  2. Sélectionnez Ajout / suppression de programmes et supprimer TrumpLocker Ransomware.

Désinstallation de Windows 8

  1. Cliquez sur la clé Windows + R simultanément et tapez dans le panneau.
  2. Appuyez sur Enter et accédez à désinstaller un programme.
  3. Trouver l’application indésirable et désinstaller TrumpLocker Ransomware.

control-panel-uninstall Comment supprimer TrumpLocker Ransomware

Supprimer TrumpLocker Ransomware de votre navigateur

Supprimer TrumpLocker Ransomware de Internet Explorer

  1. Lancez Internet Explorer et choisissez l’icône d’engrenage.
    ie-settings Comment supprimer TrumpLocker Ransomware
  2. Ouvrir gérer Add-ons et supprimer les extensons indésirables.
    ie-manage-addons Comment supprimer TrumpLocker Ransomware
  3. Cliquez de nouveau sur icône engrenage et allez dans les Options Internet.
  4. Dans l’onglet général, remplacez la page d’accueil actuelle avec celle que vous préférez.
    ie-internet-options Comment supprimer TrumpLocker Ransomware
  5. Cliquez sur OK.
  6. Cliquez sur icône engrenage une fois de plus et accéder aux Options d’Internet.
  7. Accédez à l’onglet Avancé, puis sélectionnez Reset.ie-reset Comment supprimer TrumpLocker Ransomware
  8. Cochez la case et appuyez sur Reset à nouveau.

Supprimer TrumpLocker Ransomware de Mozilla Firefox

  1. Démarrez votre navigateur et ouvrez le menu.
  2. Les modules Seletc et accédez à l’Extensions.ff-settings-menu Comment supprimer TrumpLocker Ransomware
  3. Supprimer les extensions non désirées de la liste.
    ff-extensions Comment supprimer TrumpLocker Ransomware
  4. Dans le même temps, cliquez sur Alt + H.
    ff-troubleshooting Comment supprimer TrumpLocker Ransomware
  5. Choisir des informations de dépannage et appuyez sur Reset.
    ff-troubleshooting Comment supprimer TrumpLocker Ransomware
  6. Lorsque la nouvelle boîte de dialogue s’affiche, appuyez sur Reset à nouveau.

Supprimer TrumpLocker Ransomware de Google Chrome

  1. Lancez votre navigateur et ouvrez le menu.
    chrome-menu-tools Comment supprimer TrumpLocker Ransomware
  2. Choisissez Outils et allez aux Extensions.
  3. Sélectionnez le module complémentaire indésirable et touchez l’icône de la corbeille à côté de lui.
    chrome-extensions Comment supprimer TrumpLocker Ransomware
  4. Accès menu nouveau et passage de paramètres.
  5. Cliquez sur les moteurs de recherche de gérer sous Rechercher et supprimer le moteur de recherche actuel.
    chrome-manage-search Comment supprimer TrumpLocker Ransomware
  6. Choisir un nouvel outil de recherche.
    chrome-search-engines Comment supprimer TrumpLocker Ransomware
  7. Ouvrez les paramètres et cliquez sur Show Advanced settings.
    chrome-reset Comment supprimer TrumpLocker Ransomware
  8. Appuyez sur Reset paramètres de navigateur, puis sur réinitialiser une fois de plus pour confirmer votre action.

* Scanner SpyHunter, publié sur ce site est destiné à être utilisé uniquement comme un outil de détection. plus d'informations sur SpyHunter. Pour utiliser la fonctionnalité de suppression, vous devrez acheter la version complète de SpyHunter. Si vous souhaitez désinstaller SpyHunter, cliquez ici.