Supprimer le virus LOOY Ransomware (+DÉCRYPTER les fichiers .looy)
Le malware Looy est un type de virus informatique qui infiltre votre système, crypte vos documents, et demande ensuite de payer l'argent pour le décryptage du fichier. Outre ces mauvaises activités, Fgnh ransomware est une sorte de virus informatique qui injecte votre ordinateur.
| Nom | Virus Looy |
| Taper | STOP/Djvu Ransomware |
| Des dossiers | .pitoyable |
| Un message | _readme.txt |
| Une rançon | $490/$980 |
| Contact | support@fishmail.top, datarestorehelp@airmail.cc |
| Dommage | Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Des chevaux de Troie voleurs de mots de passe supplémentaires et des infections de logiciels malveillants peuvent être installés avec une infection par ransomware. |
| Outil de suppression de Looy | Pour utiliser le produit complet, il faut acheter une licence. 6 jours d'essai gratuit disponibles. |
Rançongiciel Looy – Qu'est-ce que c'est?
Le malware Looy peut à juste titre être décrit comme une famille de malware STOP/Djvu. Ce type de virus informatique cible les individus. Cette fonctionnalité suppose que Looy ne contient aucun type de malware supplémentaire, qui aide parfois les virus d'autres familles à contrôler votre système. Étant donné que la plupart des utilisateurs n'ont rien de précieux , il n'est pas nécessaire d'utiliser des virus supplémentaires qui augmentent le risque d'échec de l'ensemble de l'injection de ransomware.
Les signes habituels de l'activité du virus Looy sont l'apparition de fichiers .looy dans vos dossiers., au lieu du document que vous aviez. le photo.jpg se transforme en photo.jpg.looy, rapport.xlsx – dans rapport.xlsx.looy etc. Vous ne pouvez pas empêcher ce processus, ainsi que ne peut pas ouvrir ces documents – ils sont chiffrés avec un algorithme assez fort.
Vous pouvez également observer divers autres signes d'activité virale. Microsoft Defender bloqué spontanément et incapacité à consulter les forums ou sites Web anti-malware populaires, où sont publiés les guides de suppression et de décryptage des ransomwares. Vous verrez comment cela se déroule dans le paragraphe ci-dessous. Le guide de suppression et de décryptage sont également disponibles – vérifiez ci-dessous comment supprimer le malware Looy et récupérer les fichiers .looy.
Comment le ransomware Looy a-t-il crypté mes fichiers?
Après l'injection de malware, le ransomware Looy établit une connexion avec son serveur de commande et de contrôle. Ce serveur est commandé par les mainteneurs de virus – les escrocs qui gèrent la propagation de ce ransomware. Une autre activité effectuée par ces escrocs est de répondre aux messages électroniques des personnes atteintes, qui souhaitent récupérer leurs fichiers.
Les fichiers sont cryptés avec l'un des algorithmes de cryptage les plus puissants – AES-256. Le chiffre dans le nom de cet algorithme signifie la puissance de deux – 2^256 pour ce cas. 78-nombre de chiffres des variations possibles des clés de déchiffrement – ce n'est pas réel de le forcer brutalement. Comme disent les analystes, il faudra plus de temps que la Terre ne peut l'estimer pour exister, même si vous utilisez le système informatique le plus puissant. Dans chaque dossier qui conserve le fichier crypté(s), Looy ransomware crée le fichier _readme.txt avec le contenu suivant:
ATTENTION! Ne t'inquiète pas, vous pouvez retourner tous vos fichiers! Tous vos fichiers comme des photos, bases de données, les documents et autres éléments importants sont cryptés avec le cryptage le plus puissant et une clé unique. La seule méthode de récupération de fichiers consiste à acheter un outil de décryptage et une clé unique pour vous. Ce logiciel décryptera tous vos fichiers cryptés. Quelles garanties vous avez? Vous pouvez envoyer un de vos fichiers cryptés depuis votre PC et nous le décryptons gratuitement. Mais on ne peut décrypter que 1 fichier gratuitement. Le fichier ne doit pas contenir d'informations précieuses. Vous pouvez obtenir et regarder l'outil de décryptage de la présentation vidéo: https://we.tl/t-WJa63R98Ku Le prix de la clé privée et du logiciel de décryptage est $980. Rabais 50% disponible si vous nous contactez d'abord 72 heures, c'est le prix pour toi est $490. Veuillez noter que vous ne restaurerez jamais vos données sans paiement. Vérifiez votre e-mail "Pourriel" ou "Déchet" dossier si vous n'obtenez pas de réponse plus de 6 heures. Pour obtenir ce logiciel, vous devez écrire sur notre e-mail: support@fishmail.top Réserver une adresse e-mail pour nous contacter: datarestorehelp@airmail.cc Votre identifiant personnel: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
toutefois, vous pouvez toujours utiliser certains de vos documents. Le virus Looy crypte uniquement l'initiale 150 Ko de chaque fichier, mais l'autre partie de ce fichier est accessible. Principalement, cela fonctionne mieux avec les fichiers audio/vidéo, qui sont sûrement plus gros que 150 kilo-octets. Tous les lecteurs multimédias ne peuvent pas ouvrir ces fichiers – WinAmp est la meilleure option, puisqu'il est gratuit et bien testé. Les premières secondes de chaque fichier seront silencieuses – cette partie est cryptée – mais le reste du fichier sera accessible comme si de rien n'était.
Le ransomware Looy est-il dangereux pour mon PC?
Comme il a été mentionné plusieurs paragraphes avant, ransomware ne consiste pas seulement à crypter les fichiers. Looy ransomware apporte des modifications à votre système d'exploitation afin d'éviter de rechercher les guides de suppression du ransomware et de décryptage de fichiers.. Le virus Looy n'établit pas l'obstacle logiciel – ça change juste les paramètres du système, principalement – configurations réseau et sécurité.
Via les paramètres réseau, l'élément le plus endommagé est le fichier HOSTS. Ce fichier texte conserve les configurations d'adresse DNS, qui sont utilisés par les navigateurs lors de l'envoi d'une requête au serveur. Si vous ajoutez une adresse DNS spécifique pour un certain site, votre navigateur connectera ce site via ce DNS la prochaine fois. Ransomware modifie ce fichier, ajout du DNS inconnu, Ainsi, l'un des navigateurs Web vous affichera l'erreur « Impossible de résoudre l'adresse DNS ».
D'autres modifications apportées par le ransomware sont ciblées sur la prévention du repérage rapide de lui-même, et également en bloquant l'installation de la majorité des programmes antivirus. Le virus Looy implémente certaines modifications dans les stratégies de groupe – l'application de configuration système qui permet de modifier les droits de chaque application. De cette manière, le ransomware bloque Microsoft Defender et différents autres outils anti-malware, ainsi que bloque le lancement des fichiers d'installation anti-malware.
Comment ai-je été infecté?
Tout au long du mandat pendant que la famille STOP/Djvu est active, il utilisait des programmes douteux comme principale méthode d'injection de ransomware. le virus Mmuz établit une connexion avec son serveur de commande et de contrôle. Ces programmes peuvent être piratés, pour les rendre possibles à utiliser sans acheter de licence. Un autre exemple d'un tel type de programme est les différents outils de piratage – moteurs de triche, keygens, Outils d'activation de Windows et ainsi de suite.
Ce type de logiciel peut être distribué de plusieurs façons – via le site qui propose un lien de téléchargement, et aussi via les réseaux de peering – La Baie des Pirates, eMule et ainsi de suite. Toutes ces sources sont bien connues comme les plus grandes ressources de piratage informatique. Sous le terme d'applications douteuses, j'entends des applications qui ne sont déjà pas contrôlées par le créateur et distribuées via les sites de partage de fichiers, même si ces programmes doivent être achetés. Personne ne peut empêcher les utilisateurs qui piratent ces programmes d'ajouter des virus d'un certain type aux fichiers de l'outil piraté. Outils de piratage, toutefois, sont créés pour des cibles hors-la-loi, afin que leurs créateurs puissent facilement intégrer le ransomware sous le couvert d'une partie du programme.
Ces programmes piratés, quelle que soit leur provenance, sont l'un des vecteurs les plus fréquents de divers virus, et sûrement le plus répandu pour le virus Looy. Il vaut mieux éviter de l'utiliser, et pas seulement à cause des risques d'installation de virus. Éviter l'achat de licence est une action illégale, Personne ne peut empêcher les utilisateurs qui piratent ces programmes d'ajouter des logiciels malveillants aux fichiers de l'application piratée..
Comment supprimer le malware Looy?
Le ransomware Looy est vraiment difficile à supprimer manuellement. Vraiment, en raison du nombre de modifications apportées à votre PC, il est presque irréel de tous les trouver et de les réparer. La meilleure décision est d'utiliser un logiciel anti-malware. Mais lequel choisir?
Vous pouvez regarder les offres pour utiliser Microsoft Defender, qui est déjà à l'intérieur de votre Windows. néanmoins, comme il a été mentionné avant, la majorité des exemples de malware STOP/Djvu le désactivent avant même la procédure de cryptage. afin que leurs créateurs puissent facilement insérer le ransomware sous le couvert d'une partie du programme – et je peux vous conseiller GridinSoft Anti-Malware comme solution pour ce cas. Il a des capacités de détection impressionnantes, donc le ransomware Looy ne manquera pas. Il est également capable de réparer le système, ce qui est indispensable après l'attaque du virus Looy.
Pour supprimer les infections par les logiciels malveillants Looy, analysez votre ordinateur avec un logiciel antivirus légitime.
Après la suppression du ransomware, vous pouvez aller au décryptage de fichiers. La suppression du ransomware est nécessaire pour empêcher le cryptage répété de vos fichiers: pendant que le ransomware Looy est actif, il ne transmettra aucun fichier non crypté.
Comment décrypter les fichiers .looy?
Il existe deux façons de décrypter vos fichiers après une attaque du ransomware Looy. Le premier et le plus évident est le décryptage de fichiers. Elle est réalisée avec un outil spécial, conçu par Emsisoft, et nommé Emsisoft Decryptor pour STOP/Djvu. Ce programme est absolument gratuit. Les analystes mettent à jour ses bases de données de clés de déchiffrement aussi souvent que possible, donc vous récupérerez sûrement vos fichiers, tôt ou tard.
Une autre façon de récupérer vos fichiers est d'essayer de les récupérer à partir de vos disques physiques. Étant donné que le ransomware les supprime et les remplace par une copie cryptée, le résidu des fichiers est toujours stocké sur le lecteur de disque. Après la suppression, les informations les concernant sont effacées du système de fichiers, mais pas à partir d'un lecteur de disque. Applications spéciales, comme PhotoRec, sont en mesure de récupérer ces fichiers. Ce est gratuit, aussi, et peut également être utilisé pour la récupération de fichiers au cas où vous auriez supprimé certains fichiers par inadvertance.
Décryptage des fichiers .looy avec Emsisoft Decrypter pour STOP/Djvu
Télécharger et installer Outil de décryptage Emsisoft. Acceptez son CLUF et passez à l'interface.
L'interface de ce programme est extrêmement simple. Tout ce que vous avez à faire est de sélectionner le dossier où sont stockés les fichiers cryptés, et attendre. Si le programme a la clé de déchiffrement qui correspond à votre cas de ransomware – il va le décrypter.
Lors de l'utilisation d'Emsisoft Decrypter pour STOP/Djvu, vous pouvez observer divers messages d'erreur. Ne t'inquiète pas, cela ne signifie pas que vous avez fait quelque chose de mal ou qu'un programme ne fonctionne pas correctement. Chacune de ces erreurs fait référence à un cas particulier. voici l'explication:
Erreur: Impossible de déchiffrer le fichier avec l'ID: [votre identifiant]
Le programme n'a pas de clé correspondante pour votre cas. Vous devez attendre un certain temps jusqu'à ce que la base de données de clés soit mise à jour.
Pas de clé pour l'ID en ligne de la nouvelle variante: [votre identifiant]
Remarquer: cet identifiant semble être un identifiant en ligne, le déchiffrement est impossible.
Cette erreur signifie que vos fichiers sont cryptés avec une clé en ligne. Dans ce cas, la clé de déchiffrement est unique et stockée sur le serveur distant, contrôlé par des escrocs. Malheureusement, le décryptage est impossible.
Résultat: Aucune clé pour l'ID hors ligne de la nouvelle variante: [ID d'exemple]
Cet identifiant semble être un identifiant hors ligne. Le déchiffrement pourrait être possible à l'avenir.
Ransomware utilise la clé hors ligne pour crypter vos fichiers. Cette clé n'est pas unique, donc vous l'avez probablement en commun avec une autre victime. Étant donné que les clés hors ligne doivent être collectées, aussi, il est important de garder son calme et d'attendre que l'équipe d'analystes en trouve un qui convienne à votre cas.
Le nom distant n'a pas pu être résolu
Cette erreur indique que le programme a des problèmes avec DNS sur votre ordinateur. C'est un signe clair de modifications malveillantes dans votre fichier HOSTS. Réinitialisez-le à l'aide du guide officiel de Microsoft.
Récupération des fichiers .looy avec l'outil PhotoRec
PhotoRec est un outil open source, qui est conçu pour récupérer les fichiers supprimés ou perdus du disque. Il vérifie chaque secteur de disque pour les résidus de fichiers supprimés, puis tente de les récupérer. Cette application est capable de récupérer les fichiers de plus de 400 différents formats. En raison de la fonctionnalité décrite du mécanisme de cryptage des ransomwares, il est possible d'utiliser cet outil pour obtenir l'original, fichiers non cryptés.
Télécharger PhotoRec du site officiel. C'est absolument gratuit, toutefois, son développeur prévient qu'il ne garantit pas que ce programme sera 100% efficace à des fins de récupération de fichiers. en outre, même les applications payantes peuvent à peine vous donner une telle garantie, en raison de la chaîne de facteurs aléatoires qui peuvent rendre la récupération de fichiers plus difficile.
Décompressez l'archive téléchargée dans le dossier que vous aimez. Ne vous inquiétez pas à cause de son nom – Disque de test – c'est le nom de l'utilitaire développé par la même entreprise. Ils ont décidé de le diffuser ensemble car PhotoRec et TestDisk sont souvent utilisés ensemble. Parmi les fichiers décompressés, rechercher le fichier qphotorec_win.exe. Exécutez ce fichier exécutable.
Avant de pouvoir démarrer le processus de récupération, vous devez spécifier plusieurs paramètres. Dans la liste déroulante, choisir le disque logique où étaient stockés les fichiers avant le cryptage.
ensuite, vous devez spécifier les formats de fichiers que vous devez récupérer. Il peut être difficile de tout faire défiler 400+ formats, Heureusement, ils sont classés par ordre alphabétique.
finalement, nommez le dossier que vous souhaitez utiliser comme conteneur pour les fichiers récupérés. Le programme va probablement extraire beaucoup de fichiers inutiles, qui ont été supprimés intentionnellement, donc le bureau est une mauvaise solution. La meilleure option est d'utiliser la clé USB.
Après ces manipulations faciles, vous pouvez simplement appuyer sur le bouton "Rechercher" (il devient actif si vous avez spécifié tous les paramètres requis). Le processus de récupération peut prendre plusieurs heures, donc patiente. Il est recommandé de ne pas utiliser l'ordinateur pendant cette période, car vous pouvez écraser certains fichiers que vous avez l'intention de récupérer.
Questions fréquemment posées
✔️Les fichiers cryptés par le malware Looy sont-ils dangereux?
Non. Les fichiers Looy ne sont pas un virus, il n'est pas capable d'injecter son code dans les fichiers et de les forcer à l'exécuter. Les fichiers .EXT sont les mêmes que les fichiers normaux, mais crypté et ne peut pas être ouvert de la manière habituelle. Vous pouvez le stocker avec des fichiers normaux sans aucune crainte.
✔️Est-il possible qu'un logiciel antivirus supprime les fichiers cryptés?
Comme je l'ai mentionné dans un paragraphe précédent, les fichiers cryptés ne sont pas dangereux. Par conséquent, bons programmes anti-malware comme GridinSoft Anti-Malware ne se déclenchera pas sur eux. pendant ce temps, certains des « outils de nettoyage de disque » peuvent les supprimer, indiquant qu'ils appartiennent au format inconnu et sont probablement cassés.
✔️L'outil Emsisoft indique que mes fichiers sont cryptés avec la clé en ligne et ne peuvent pas être décryptés. Qu'est-ce que je dois faire?
Il est très désagréable d'entendre que les fichiers que vous avez sont probablement perdus. Les créateurs de ransomwares mentent beaucoup pour effrayer leurs victimes, mais ils disent la vérité dans les affirmations sur la force du cryptage. Votre clé de déchiffrement est stockée sur leurs serveurs, et il est impossible de le sélectionner en raison de la force du mécanisme de cryptage.
Essayez d'autres méthodes de récupération – via le PhotoRec, ou en utilisant les sauvegardes précédemment créées. Rechercher les versions précédentes de ces fichiers – récupérer une partie de votre thèse, par example, c'est mieux que de tout rater.
La dernière option attend juste. Quand la cyberpolice attrape les escrocs qui créent et distribuent des ransomwares, récupérez d'abord les clés de déchiffrement et publiez-les. Les analystes d'Emsisoft prendront sûrement ces clés et les ajouteront aux bases de données Decryptor. Dans certains cas, les créateurs de virus peuvent publier le reste des clés lorsqu'ils arrêtent leur activité.
✔️Tous mes fichiers .looy ne sont pas décryptés. Qu'est-ce que je dois faire?
La situation dans laquelle Emsisoft Decryptor n'a pas réussi à déchiffrer plusieurs fichiers se produit généralement lorsque vous n'avez pas ajouté la paire de fichiers correcte pour un certain format de fichier.. Un autre cas où ce problème peut apparaître est lorsqu'un problème est survenu pendant le processus de décryptage – par example, Limite de RAM atteinte. Essayez d'effectuer à nouveau le processus de décryptage.
Une autre situation dans laquelle l'application Decryptor peut laisser vos fichiers non cryptés est lorsque le ransomware utilise des clés différentes pour certains fichiers.. Par exemple, il peut utiliser des clés hors ligne pendant une courte période lorsqu'il rencontre des problèmes de connexion. L'outil Emsisoft n'est pas en mesure de vérifier les deux types de clés simultanément, il faut donc relancer le décryptage, afin de répéter le processus.