Depuis de nombreux mois le ransomware Locky infecte un grand nombre de machines, en grande majorité par le biais d’une campagne d’emails. Il utilise récemment l’extension .shit sur les fichiers qu’il crypte.

Note : Il est fortement conseillé d’ouvrir un sujet dans la catégorie Désinfection de notre forum afin d’obtenir une aide personnalisée (et gratuite) afin de s’assurer que le PC n’est plus infecté.

Qu’est-ce que Locky et cette extension shit ?

Locky est un ransomware (rançongiciel en français), c’est-à-dire un logiciel malveillant qui crypte vos fichiers exigeant une rançon pour les décrypter. Il se propage par emails, où un fichier  de type Word ou Excel est fourni en pièce jointe. Ce fichier Office (Word, Excel…) contient une macro qui infectera l’ordinateur. Si les macros sont autorisées par défaut sur Microsoft Office votre ordinateur sera infecté automatiquement lors de l’exécution du document, sinon il le sera lorsque vous autoriserez la macro à s’exécuter. Le contenu des emails varie, parfois en anglais, parfois en français, demandant souvent de payer une facture (comme une facture mobile). Il est également fréquent qu’il utilise le nom de certains de contacts connus pour se faire passer pour un expéditeur digne de confiance. Il faut évidemment ne pas payer la somme d’argent demandée, rien ne garanti que vos fichiers seront ensuite décryptés. Locky utilise plusieurs extensions : .locky, .onion et désormais l’extension .shit.

Comment supprimer le ransomware et l’extension .shit ?

Locky ne semble pas rester actif et s’exécuter à chaque démarrage. Une fois que les fichiers cryptés en .shit le sont il est rare qu’il continue à infecter les fichiers épargnés et les disques amovibles (clé USB, disque dur…) connectés au PC.

Toutefois, afin de vous assurer que le ransomware ne soit plus présent sur votre PC, suivez ces étapes :

  1. Utilisez le logiciel Malwarebytes Anti-Malware comme indiqué dans ce tutoriel. Veillez bien à activer la recherche de rootkits comme préconisé, sur tous les disques ;
  2. Utilisez le logiciel RogueKiller comme expliqué dans ce tutoriel ;
  3. Mais nous vous conseillons vivement d’ouvrir un nouveau sujet dans la catégorie Désinfection de notre forum où des helpers qualifiés et formés à la désinfection pousseront le diagnostic plus loin.

Comment décrypter les fichiers touchés par l’extension shit ?

Malheureusement à l’heure actuelle il n’existe pas de solution pour récupérer les fichiers cryptés par l’infection. Les fichiers touchés par l’extension .shit ne sont donc pas récupérables. Dans de rares cas les escrocs fournissent la clé de décryptage en payant la rançon demandée, mais il est fortement déconseillé de tenter cette méthode. Reste à espérer qu’une sauvegarde de vos fichiers soit disponible sur un support externe.

Vous pouvez tout de même tenter de les récupérer avec un logiciel tel que ShadowExplorer, téléchargeable à cette adresse. Il permet de récupérer d’anciennes versions de vos fichiers que Windows a automatiquement sauvegardé. Mais il ne faut pas être trop optimiste, car dans la plupart des cas soit la version ne vous intéressera pas, soit Locky se sera chargé de supprimer ces sauvegardes.