Depuis plusieurs mois le ransomware Locky infecte un grand nombre de machines, en grande majorité par le biais de campagnes d’emails. Il utilise depuis peu notamment l’extension .thor sur les fichiers qu’il crypte.

Note : Il est  conseillé d’ouvrir un sujet dans la catégorie Désinfection de notre forum afin d’obtenir une aide personnalisée (et gratuite) afin de s’assurer que le PC n’est plus infecté et se faire aider dans la démarche de désinfection.

Qu’est-ce que Locky et l’extension .thor ?

Locky est un ransomware (appelé rançongiciel en français), c’est-à-dire un logiciel malveillant cryptant vos fichiers et exigeant une rançon pour les décrypter. Il se propage par emails, où un fichier de type Word ou Excel par exemple est fourni en pièce jointe. Ce fichier Office (Word, Excel…) contient une macro qui infectera l’ordinateur. Si les macros sont autorisées par défaut sur Microsoft Office votre ordinateur sera infecté automatiquement lors de l’exécution du document, sinon il le sera lorsque vous autoriserez la macro à s’exécuter. Le contenu des emails varie, sa langue également (anglais, français…), demandant souvent de payer une facture (comme une facture mobile). Il est également fréquent qu’il utilise le nom de certains de contacts connus pour se faire passer pour un expéditeur connu. Il faut évidemment ne pas payer la somme d’argent demandée, il est peu probable que vos fichiers seront ensuite décryptés. Locky utilise plusieurs extensions, comme : .locky, .onion, .shit et désormais l’extension .thor.

Comment supprimer le ransomware et l’extension .thor ?

Locky ne semble pas rester actif et s’exécuter à chaque démarrage de l’ordinateur. Une fois que les fichiers cryptés en .thor le sont il est rare qu’il continue à infecter les fichiers épargnés et les disques amovibles (clé USB, disque dur…) connectés au PC.

Toutefois, afin de vous assurer que l’infection ne soit plus présente sur votre PC, suivez ces étapes :

  1. Utilisez le logiciel Malwarebytes Anti-Malware comme indiqué dans ce tutoriel. Veillez bien à activer la recherche de rootkits comme préconisé, sur tous les disques ;
  2. Utilisez le logiciel RogueKiller comme expliqué dans ce tutoriel ;
  3. Cependant nous vous conseillons vivement d’ouvrir un nouveau sujet dans la catégorie Désinfection de notre forum où des helpers qualifiés et formés à la désinfection pousseront le diagnostic plus loin.

Comment décrypter les fichiers touchés par l’extension thor ?

Malheureusement à l’heure actuelle il n’existe pas de solution pour récupérer les fichiers cryptés par l’infection. Les fichiers touchés par l’extension .thor ne sont donc pas récupérables. Dans de rares cas les escrocs fournissent la clé de décryptage en payant la rançon demandée, mais il est fortement déconseillé de tenter cette méthode. La seule chance est qu’une ancienne version de vos fichiers soit disponible.

Vous pouvez tout de même tenter de les récupérer avec un logiciel tel que ShadowExplorer, téléchargeable à cette adresse. Il permet de récupérer d’anciennes versions de vos fichiers que Windows a automatiquement sauvegardé. Mais il ne faut pas être trop optimiste, car dans la plupart des cas soit la version ne vous intéressera pas, soit Locky se sera chargé de supprimer ces sauvegardes.