Fichiers image, word excel illisibles, Rançon

Résolu
milosevic5505 Messages postés 6 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
je me suis rendu compte que mes fichiers image, word et excel sont devenus illisibles hier,
même mon disque dur externe qui était branché a été touché,
en particulier les fichiers datés de 2012
un message mal écrit m'indique : Attention l'intégrité de certains de vos fichiers est endommagée sur votre ordi.
determinez le type de corruption de fichier pour développer un algorithme de reconstruction pour votre spécialistede fichiers Microsoft, un service payant. Et il vous en coutera 50 euros. Quand vous remplissez une application vous pouvez payer pour la reconstruction grâce à n'importe quel moyen de payement disponible dans votre pays
votre nom*:
votre prénom*:
votre adresse e-mail*:
votre numéro de téléphone
les checksums des fichiers endommagés:

j'ai essayé de décrpter mon disque dur externe sur un PC sain, en utilisant rannohdecryptor.exe, te94decrypt.exe, matsnu1decrypt.exe, RectorDecryptor.exe
sur un fichier word de 2,5 mega, illisible et sain (même nom, même taille, juste la date qui a changé)
rien à faire, les logiciels ne reconnaissent pas le fichier crypté.

comment m'en sortir? toute ma bilbiothèque de photos est illisible

merci de votre aide

9 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, as tu un fichier qui est touché qui serait saint et un contaminé !!

    essais cela en ayant ton dd exerterne de connecté !!

    Pour que cela fonctionne, vous devez avoir au moins un des fichiers original qui a été crypté et sa version cryptée.

    Télécharge sur ton bureau ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

    Lancer le fix et cliquez sur Continuer.

    Le fix vous demande la version non cryptée du document, indiquez lui le chemin

    puis le fix demande la version cryptée. pariel indiquer lui

    Le fix rétablit ensuite les fichiers en les recopiant.

    une fois fini regarde si c'est bon !!!!
    1
  2. milosevic5505 Messages postés 6 Statut Membre
     
    Bonjour
    j'ai bien téléchargé le fix de Dr Web, matsnu1decrypt.exe
    le crypté et le non crypté qui ont le même nom, même taille (essai avec un fichier word crypté et un fichier non crypté sur le bureau - le fichier crypté est illisible par word)

    mais le fix matsnu1decrypt.exe ne reconnait pas les deux fichiers, comme étant le crypté et le sain

    auriez vous une autre piste?

    merci de votre aide
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Le fix de Dr.WEb ne fonctionnera pas, car c'est une infection complètement différente.

    Tu peux sortir le malware de la quarantaine de ton antivirus et l'envoyer sur http://upload.malekal.com
    0
  4. milosevic5505 Messages postés 6 Statut Membre
     
    En fait mon antivirus (Mcafee) n'a rien détecté je l'ai laissé touner tout l'APM
    est ce qu'il est possible d'envoyer plutot le fichier crypté et le fichier sain?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. milosevic5505 Messages postés 6 Statut Membre
     
    Bonjour
    je dois avouer que je suis relativement peu au fait de cette manipulation; comment peut on extraire quelque chose de la quarantaine de l'antivirus?
    ou est situé ce répertoire?
    en tout cas, Mc Afee n'a rien vu car j'ai toujours le pop up qui s'allume me demandant de payer la rançon de 50 euros

    merci de votre aide
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu ouvres ton antivirus, tu vas dans la partie quarantaine.
      Tu sélectionnes le malware en question et doit y avoir un bouton du style restaurer.
      Tu dois pouvoir choisir l'emplacement où restaurer.
      A partir de là le fichier malicieux (ça craint rien tant que tu ne la lances pas) est sur ton disque.
      tu l'envoies sur http://upload.malekal.com à partir du bouton parcourir.
      0
  7. milosevic5505 Messages postés 6 Statut Membre
     
    bonjour
    j'ai laissé tourner mon antivirus deux fois, (15 heures à chaque fois...)
    mais il n'a rien trouvé, le pop up m'indiquant que le ransomware est là apparait
    toujours , je n'arrive pas à trouver quelque chose en quarantaine
    est ce qu'il y'a une autre manip à faire?
    merci de votre aide
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    0
  9. milosevic5505 Messages postés 6 Statut Membre
     
    Bonjour
    grace au forum malekal, j'ai réussi a décrypter mes fichiers p://forum.malekal.com/trojan-crypteur-t39642.html#p309393 - extsigchecker.exe (de tigzy)

    de plus, comme mon antivirus ne trouvait rien,
    j'ai cherché les fichiers crées modifiés le 04/08 vers 15h15, date à laquelle mes fichies doc, xls et image ont été touchés
    et là, j'ai trouvé un fichier csrss avec un fichier dll associé (15h14 touis deux, 164 ko) qui s'est mis dans document & settings\all users\application data, ce qui fait que j'avais deux processus csrss qui tournaient, mais pas possible d'arrêter celui qui n'était pas natif, donc j'ai fait tourner runscanner (un utilitaire antispyware portable fourni avec liberkey) qui a réussi à arrêter le csrss après que j'ai supprimé le fichier dll associé (crée en même temps dans le répertoire temp) et là, le pop up a disparu, et au redémarrage, il n'est pas réaparru....
    en espérant l'avoir supprimé de cette façon... çà à l'air tellement simple que je n'y crois pas vraiement...
    bonne journée
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Faire OTL..
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    La routine de décryptage est connue mais faut un programme qui le fait : https://forum.malekal.com/viewtopic.php?t=39642&start=#p309393

    Tu peux sortir le fichier de la quarantaine de McAfee et l'envoyer sur http://upload.malekal.com
    -1