BitCrypt
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
tout les extension de fichier photo .jpg, word .doc et .pdf on maintenent une double extension exemple p100441.jpg.bitcrypt et dans chaque dossier on retrouve un document texte style bloc-notes qui dit ceci
Attention!!!
Your BitCrypt ID:
DRU-39-750256
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link https://tldcity.com and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser https://www.torproject.org/download/
3. After installation, start tor browser and put in the following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.
si on renome les jpg sa dit fichier corrompu
la pc roule sous vista avec tout les mises a jour bien fait
anti-virus avg 2014 les mises a jour bien fait et il trouve rien
j'ai fait des recherche sur google et rien trouver saufe un poste espagnol qui dit la meme chause que moi et aucune solution
un gros merci pour votre aide j'espere avoir de vos nouvelle bien tot
9 réponses
L'infection concerne un ransomware nommément BitCrypt qui crypte les fichiers et applique une double extension (par exemple p100441.jpg.bitcrypt) et laisse un texte de ransom demandant une clé RSA-1024. Des réponses évoquent des solutions via des ressources spécialisées et des outils d'analyse, avec une procédure en deux phases incluant le décryptage et l'utilisation d'un outil BitCrypt_Unlocker. Plusieurs réponses mentionnent des liens vers des ressources spécialisées et l'éventualité d'un paiement pour la clé, avec l'usage éventuel de Tor ou d'outils d'analyse pour vérifier l'infection. En complément, certaines procédures techniques proposées incluent l'analyse OTL et le partage de rapports via des services externes pour diagnostiquer les composants malveillants et évaluer les possibilités de récupération.
-
Bonjour.
Ayant eu une personne de mon entourage qui a été confrontée à ce problème, j'ai suivi les instructions données sur ce forum : www.bleepingcomputer.com/forums/t/526536/bitcrypt-virus-help-me et j'ai réussi à déverrouiller les fichiers qui ont l'extension .bitcrypt.
Le processus se déroule en 2 phases :
1. casser la clé de cryptage : Cela demande une bonne connaissance informatique en utilisant une machine Linux de puissance importante (4 coeurs mini) et en faisant tourner un programme de décryptage en python pendant 2 jours environ.
Pour avoir la puissance nécessaire sans investir, j'ai utilisé une machine hébergée chez un prestataire de cloud.
2. Utiliser le programme BitCrypt_Unlocker.exe décrit sur la page https://www.bleepingcomputer.com/forums/t/526536/bitcrypt-ransomware-support-and-help-topic/page-9
Si vous avez des questions sur ce sujet n'hésitez pas à me solliciter de manière directe sur pavassist@gmail.com je me ferai un plaisir d'y répondre. Je peux même faire tourner le programme de recherche de clé de cryptage sur les serveurs que j'ai montés moyennant une indemnisation de mes frais de serveur. -
Bonjour nous venons d avoir exactement le même problème et le même jour (photos pdf ... cryptés) et aussi sur vista... votre problème est il resolu? Merci
-
Bonjour
J'ai le meme probleme
Si quelq un a la solution je suis preneur
http://pjjoint.malekal.com/files.php?id=20140222_y149r9m13w13
http://pjjoint.malekal.com/files.php?id=20140222_s118t11m8j6 -
Salut,
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
-
ok merci je vais faire une analyse avec OTL par contre je supose que le male est déja fait car tout les dossiers crypter vont le rester car BitCrypt nest pas un virus mais un logiciel de cryptage tres puissent qui a été untiliser avec une intention malicieuse par des hameçonneurs il passe par Tor pour ne pas ce faire retracer et nous demande de payer 241$ pour avoir la cle de décryptage
encore un énorme MERCI pour ta réponce et si possible dit moi si je me trompe ! -
-
-
-
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Même problème...
Je crains de perdre toute les photos des enfants (naissances, anniversaires, noël, vacances...)
voici les liens des rapports :
http://pjjoint.malekal.com/files.php?id=OTL_20140211_c11t8t5c8m9
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140211_r10y9b12l15t5
Comment savoir si l'ordi est encore infecté après le scan OTL ??
est-il possible de décrypter les fichiers en téléchargeant la vrai appli Bitcrypt ??-
Salut,
y a bcp de programmes parasites.
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
SRV - [2014/01/02 08:33:40 | 000,499,856 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IIE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays U
IE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IIE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
CHR - homepage: http://www.isearch123.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
CHR - Extension: No name found = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.4_0\
CHR - Extension: Smart Display = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [Bitcomint] C:\Users\Francis\AppData\Roaming\0YGOA.exe File not found
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [com.apple.dav.bookmarks.daemon] C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe (Apple Inc.)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [hyipjrao] C:\ProgramData\hyipjrao.dat (Interstar Technologies)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [sqlfjr] C:\ProgramData\sqlfjr.dat (Microsoft Corporation)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [treasure] C:\ProgramData\treasure\qfoqkotiu.exe ()
[2008/12/09 16:23:13 | 000,068,080 | RHS- | C] () -- C:\Users\Francis\AppData\Roaming\jabconf32.exe
:files
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C. -
bonjour malekal
voila le lien de ma pjjoint : https://pjjoint.malekal.com/files.php?id=OTL_20140220_8g15h14v15z13
peux-tu m'aider stp ? :D
-
-
Bonsoir
Avez vous trouvé une solution pour venir à bout de bitcypt ? Merci car j'ai le même pb -
Bonsoir
Ci-dessous le rapport OTL. J'attends avec espoir une solution. Merci par avance
https://pjjoint.malekal.com/files.php?id=OTL_20140212_k13y14n13b15d12 -
bonjour,
même problème, avec un code différent "DRU..."
Si vous avez des solutions, je suis preneur.
J'ai recupéré une adresse IP, mais je pense qu'avec TOR c'est cuit ! !-
Essaye ça : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.exe
Shadow Explorer permet aussi de récupérer les fichiers des "versions précédentes" : https://www.shadowexplorer.com/downloads.html -
-
-
-
-
-
Apparemment les auteurs de BitCrypt se sont chier dessus.
J'ai mis à jour la page cryptorbit pour en parler : https://www.malekal.com/virus-securite/ransomwares/-
-
il n'y a pas d'autres solutions que :
- les versions antérieures : https://forum.malekal.com/viewtopic.php?t=46739&start=
- pixRecovery
- le script que je donne à la fin de ma page cryptorbit : https://www.malekal.com/virus-securite/ransomwares/ -
-
-
-