BitCryptFermé

Question

Bonjour un truc bizar esu arriver au pc de ma copine  
tout les extension de fichier photo .jpg, word .doc et .pdf on maintenent une double extension exemple p100441.jpg.bitcrypt  et dans chaque dossier on retrouve un document texte style  bloc-notes qui dit ceci 

Attention!!! 

Your BitCrypt ID: 
DRU-39-750256

All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key. 
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID. 
Specialists from computer repair services and anti-virus labs won't be able to help you. 
In order to receive the program decryptor you need to follow this link https://tldcity.com and read the instructions.

If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2. 
2. Download and install tor browser https://www.torproject.org/download/
3. After installation, start tor browser and put in the following address kphijmuo2x5expag.onion

Remember, the faster you act the more chances to recover your files undamaged.

si on renome les jpg sa dit fichier corrompu 

la pc roule sous vista  avec tout les mises a jour bien fait

anti-virus avg 2014  les mises a jour bien fait et il trouve rien 
j'ai fait des recherche sur google et rien trouver saufe un poste espagnol qui dit la meme chause que moi et aucune solution 

un gros merci pour votre aide j'espere avoir de vos nouvelle bien tot

pavassist · Accepted Answer

Bonjour.
Ayant eu une personne de mon entourage qui a été confrontée à ce problème, j'ai suivi les instructions données sur ce forum : www.bleepingcomputer.com/forums/t/526536/bitcrypt-virus-help-me et j'ai réussi à déverrouiller les fichiers qui ont l'extension .bitcrypt.

Le processus se déroule en 2 phases :

1. casser la clé de cryptage : Cela demande une bonne connaissance informatique en utilisant une machine Linux de puissance importante (4 coeurs mini) et en faisant tourner un programme de décryptage en python pendant 2 jours environ.
Pour avoir la puissance nécessaire sans investir, j'ai utilisé une machine hébergée chez un prestataire de cloud.

2. Utiliser le programme BitCrypt_Unlocker.exe décrit sur la page https://www.bleepingcomputer.com/forums/t/526536/bitcrypt-ransomware-support-and-help-topic/page-9

Si vous avez des questions sur ce sujet n'hésitez pas à me solliciter de manière directe sur pavassist@gmail.com je me ferai un plaisir d'y répondre. Je peux même faire tourner le programme de recherche de clé de cryptage sur les serveurs que j'ai montés moyennant une indemnisation de mes frais de serveur.

Malekal_morte- · Answer

Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Baijoub · Answer

Bonjour nous venons d avoir exactement le même problème et le même jour (photos pdf ... cryptés)  et aussi sur  vista... votre problème est il resolu? Merci

Francis · Answer

Même problème...

Je crains de perdre toute les photos des enfants (naissances, anniversaires, noël, vacances...)

voici les liens des rapports :

http://pjjoint.malekal.com/files.php?id=OTL_20140211_c11t8t5c8m9

http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140211_r10y9b12l15t5


Comment savoir si l'ordi est encore infecté après le scan OTL ??
est-il possible de décrypter les fichiers en téléchargeant la vrai appli Bitcrypt ??

hul09 · Answer

Bonsoir

Avez vous trouvé une solution pour venir à bout de bitcypt ? Merci car j'ai le même pb

hul09 · Answer

Bonsoir

Ci-dessous le rapport OTL. J'attends avec espoir une solution. Merci par avance

https://pjjoint.malekal.com/files.php?id=OTL_20140212_k13y14n13b15d12

gloups71 · Answer

bonjour,

même problème, avec un code différent "DRU..." 
Si vous avez des solutions, je suis preneur.

J'ai recupéré une adresse IP, mais je pense qu'avec TOR c'est cuit ! !

Malekal_morte- · Answer

Apparemment les auteurs de BitCrypt se sont chier dessus.
J'ai mis à jour la page cryptorbit pour en parler : https://www.malekal.com/virus-securite/ransomwares/

bart42 · Answer

Bonjour
J'ai le meme probleme

Si quelq un a la solution je suis preneur
http://pjjoint.malekal.com/files.php?id=20140222_y149r9m13w13
 http://pjjoint.malekal.com/files.php?id=20140222_s118t11m8j6

BitCrypt

9 réponses

Newsletters