Fichiers image, word excel illisibles, Rançon

[Résolu/Fermé]
Signaler
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,
je me suis rendu compte que mes fichiers image, word et excel sont devenus illisibles hier,
même mon disque dur externe qui était branché a été touché,
en particulier les fichiers datés de 2012
un message mal écrit m'indique : Attention l'intégrité de certains de vos fichiers est endommagée sur votre ordi.
determinez le type de corruption de fichier pour développer un algorithme de reconstruction pour votre spécialistede fichiers Microsoft, un service payant. Et il vous en coutera 50 euros. Quand vous remplissez une application vous pouvez payer pour la reconstruction grâce à n'importe quel moyen de payement disponible dans votre pays
votre nom*:
votre prénom*:
votre adresse e-mail*:
votre numéro de téléphone
les checksums des fichiers endommagés:

j'ai essayé de décrpter mon disque dur externe sur un PC sain, en utilisant rannohdecryptor.exe, te94decrypt.exe, matsnu1decrypt.exe, RectorDecryptor.exe
sur un fichier word de 2,5 mega, illisible et sain (même nom, même taille, juste la date qui a changé)
rien à faire, les logiciels ne reconnaissent pas le fichier crypté.

comment m'en sortir? toute ma bilbiothèque de photos est illisible

merci de votre aide



9 réponses

Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 635
bonjour, as tu un fichier qui est touché qui serait saint et un contaminé !!

essais cela en ayant ton dd exerterne de connecté !!

Pour que cela fonctionne, vous devez avoir au moins un des fichiers original qui a été crypté et sa version cryptée.

Télécharge sur ton bureau ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

Lancer le fix et cliquez sur Continuer.

Le fix vous demande la version non cryptée du document, indiquez lui le chemin

puis le fix demande la version cryptée. pariel indiquer lui

Le fix rétablit ensuite les fichiers en les recopiant.


une fois fini regarde si c'est bon !!!!
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012

Bonjour
j'ai bien téléchargé le fix de Dr Web, matsnu1decrypt.exe
le crypté et le non crypté qui ont le même nom, même taille (essai avec un fichier word crypté et un fichier non crypté sur le bureau - le fichier crypté est illisible par word)

mais le fix matsnu1decrypt.exe ne reconnait pas les deux fichiers, comme étant le crypté et le sain

auriez vous une autre piste?

merci de votre aide
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 900
Le fix de Dr.WEb ne fonctionnera pas, car c'est une infection complètement différente.

Tu peux sortir le malware de la quarantaine de ton antivirus et l'envoyer sur http://upload.malekal.com
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012

En fait mon antivirus (Mcafee) n'a rien détecté je l'ai laissé touner tout l'APM
est ce qu'il est possible d'envoyer plutot le fichier crypté et le fichier sain?
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012

Bonjour
je dois avouer que je suis relativement peu au fait de cette manipulation; comment peut on extraire quelque chose de la quarantaine de l'antivirus?
ou est situé ce répertoire?
en tout cas, Mc Afee n'a rien vu car j'ai toujours le pop up qui s'allume me demandant de payer la rançon de 50 euros

merci de votre aide
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 900
Tu ouvres ton antivirus, tu vas dans la partie quarantaine.
Tu sélectionnes le malware en question et doit y avoir un bouton du style restaurer.
Tu dois pouvoir choisir l'emplacement où restaurer.
A partir de là le fichier malicieux (ça craint rien tant que tu ne la lances pas) est sur ton disque.
tu l'envoies sur http://upload.malekal.com à partir du bouton parcourir.
Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012

bonjour
j'ai laissé tourner mon antivirus deux fois, (15 heures à chaque fois...)
mais il n'a rien trouvé, le pop up m'indiquant que le ransomware est là apparait
toujours , je n'arrive pas à trouver quelque chose en quarantaine
est ce qu'il y'a une autre manip à faire?
merci de votre aide
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 900
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Messages postés
6
Date d'inscription
dimanche 5 août 2012
Statut
Membre
Dernière intervention
10 août 2012

Bonjour
grace au forum malekal, j'ai réussi a décrypter mes fichiers p://forum.malekal.com/trojan-crypteur-t39642.html#p309393 - extsigchecker.exe (de tigzy)

de plus, comme mon antivirus ne trouvait rien,
j'ai cherché les fichiers crées modifiés le 04/08 vers 15h15, date à laquelle mes fichies doc, xls et image ont été touchés
et là, j'ai trouvé un fichier csrss avec un fichier dll associé (15h14 touis deux, 164 ko) qui s'est mis dans document & settings\all users\application data, ce qui fait que j'avais deux processus csrss qui tournaient, mais pas possible d'arrêter celui qui n'était pas natif, donc j'ai fait tourner runscanner (un utilitaire antispyware portable fourni avec liberkey) qui a réussi à arrêter le csrss après que j'ai supprimé le fichier dll associé (crée en même temps dans le répertoire temp) et là, le pop up a disparu, et au redémarrage, il n'est pas réaparru....
en espérant l'avoir supprimé de cette façon... çà à l'air tellement simple que je n'y crois pas vraiement...
bonne journée
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 900
Faire OTL..
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 900
La routine de décryptage est connue mais faut un programme qui le fait : https://forum.malekal.com/viewtopic.php?t=39642&start=#p309393

Tu peux sortir le fichier de la quarantaine de McAfee et l'envoyer sur http://upload.malekal.com