BitCrypt

BitCrypt Messages postés 6 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour un truc bizar esu arriver au pc de ma copine
tout les extension de fichier photo .jpg, word .doc et .pdf on maintenent une double extension exemple p100441.jpg.bitcrypt et dans chaque dossier on retrouve un document texte style bloc-notes qui dit ceci

Attention!!!

Your BitCrypt ID:
DRU-39-750256

All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link https://tldcity.com and read the instructions.

If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser https://www.torproject.org/download/
3. After installation, start tor browser and put in the following address kphijmuo2x5expag.onion

Remember, the faster you act the more chances to recover your files undamaged.

si on renome les jpg sa dit fichier corrompu

la pc roule sous vista avec tout les mises a jour bien fait

anti-virus avg 2014 les mises a jour bien fait et il trouve rien
j'ai fait des recherche sur google et rien trouver saufe un poste espagnol qui dit la meme chause que moi et aucune solution

un gros merci pour votre aide j'espere avoir de vos nouvelle bien tot

9 réponses

Résumé de la discussion

L'infection concerne un ransomware nommément BitCrypt qui crypte les fichiers et applique une double extension (par exemple p100441.jpg.bitcrypt) et laisse un texte de ransom demandant une clé RSA-1024. Des réponses évoquent des solutions via des ressources spécialisées et des outils d'analyse, avec une procédure en deux phases incluant le décryptage et l'utilisation d'un outil BitCrypt_Unlocker. Plusieurs réponses mentionnent des liens vers des ressources spécialisées et l'éventualité d'un paiement pour la clé, avec l'usage éventuel de Tor ou d'outils d'analyse pour vérifier l'infection. En complément, certaines procédures techniques proposées incluent l'analyse OTL et le partage de rapports via des services externes pour diagnostiquer les composants malveillants et évaluer les possibilités de récupération.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pavassist Messages postés 2 Statut Membre 4
     
    Bonjour.
    Ayant eu une personne de mon entourage qui a été confrontée à ce problème, j'ai suivi les instructions données sur ce forum : www.bleepingcomputer.com/forums/t/526536/bitcrypt-virus-help-me et j'ai réussi à déverrouiller les fichiers qui ont l'extension .bitcrypt.

    Le processus se déroule en 2 phases :

    1. casser la clé de cryptage : Cela demande une bonne connaissance informatique en utilisant une machine Linux de puissance importante (4 coeurs mini) et en faisant tourner un programme de décryptage en python pendant 2 jours environ.
    Pour avoir la puissance nécessaire sans investir, j'ai utilisé une machine hébergée chez un prestataire de cloud.

    2. Utiliser le programme BitCrypt_Unlocker.exe décrit sur la page https://www.bleepingcomputer.com/forums/t/526536/bitcrypt-ransomware-support-and-help-topic/page-9

    Si vous avez des questions sur ce sujet n'hésitez pas à me solliciter de manière directe sur pavassist@gmail.com je me ferai un plaisir d'y répondre. Je peux même faire tourner le programme de recherche de clé de cryptage sur les serveurs que j'ai montés moyennant une indemnisation de mes frais de serveur.
    2
    1. hul09 Messages postés 11 Statut Membre
       
      Merci pour votre aide. Tous mes fichiers ont été décryptés grâce a vous.
      0
    2. sifou1029 Messages postés 5 Statut Membre
       
      bonjour
      possible que tu me guide mon ami car je suis perdus

      merci
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le cassage de la clef de cryptage est possible sur la première vague, car les développeurs ont fait des boulettes.
      C'est corrigé depuis et le cassage n'est plus possible.

      BytCrypt est une ancienne variante de CryptoDefense / Cryptowall.
      0
  2. Baijoub Messages postés 4 Statut Membre 1
     
    Bonjour nous venons d avoir exactement le même problème et le même jour (photos pdf ... cryptés) et aussi sur vista... votre problème est il resolu? Merci
    1
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      Créé ton sujet et donne le rapport OTL.
      0
    2. Baijoub Messages postés 4 Statut Membre 1
       
      sujet Bitcrypt créé et liens OTL postés.
      dans l'attente d'une réponse .

      Merci. :)
      0
  3. bart42
     
    Bonjour
    J'ai le meme probleme

    Si quelq un a la solution je suis preneur
    http://pjjoint.malekal.com/files.php?id=20140222_y149r9m13w13
    http://pjjoint.malekal.com/files.php?id=20140222_s118t11m8j6
    1
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Faire un Scan OTL - Temps : Environ 40min
    =====================
    OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.dll /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    **** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
    1. BitCrypt Messages postés 6 Statut Membre
       
      ok merci je vais faire une analyse avec OTL par contre je supose que le male est déja fait car tout les dossiers crypter vont le rester car BitCrypt nest pas un virus mais un logiciel de cryptage tres puissent qui a été untiliser avec une intention malicieuse par des hameçonneurs il passe par Tor pour ne pas ce faire retracer et nous demande de payer 241$ pour avoir la cle de décryptage

      encore un énorme MERCI pour ta réponce et si possible dit moi si je me trompe !
      0
    2. BitCrypt Messages postés 6 Statut Membre
       
      p.s. comme je travaille de nuit désoler pour les délais
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      pas de soucis :)

      Pour les docs, y a peut-être un petit espoir, mais faut s'assurer que le PC n'est plus infecté avant.
      0
    4. BitCrypt Messages postés 6 Statut Membre
       
      ok je ne peut plus rien installer sa dit quil y a des dll manquent
      0
    5. BitCrypt Messages postés 6 Statut Membre
       
      j'ai un autre pc avec vista je vais voir si je peut trouver les dll manquent et les remplacer
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Francis
     
    Même problème...

    Je crains de perdre toute les photos des enfants (naissances, anniversaires, noël, vacances...)

    voici les liens des rapports :

    http://pjjoint.malekal.com/files.php?id=OTL_20140211_c11t8t5c8m9

    http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140211_r10y9b12l15t5

    Comment savoir si l'ordi est encore infecté après le scan OTL ??
    est-il possible de décrypter les fichiers en téléchargeant la vrai appli Bitcrypt ??
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      y a bcp de programmes parasites.


      Relance OTL.
      o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
      Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

      :OTL
      SRV - [2014/01/02 08:33:40 | 000,499,856 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
      IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      IIE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays U
      IE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      IIE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
      CHR - homepage: http://www.isearch123.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
      CHR - Extension: No name found = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.4_0\
      CHR - Extension: Smart Display = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
      O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [Bitcomint] C:\Users\Francis\AppData\Roaming\0YGOA.exe File not found
      O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [com.apple.dav.bookmarks.daemon] C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe (Apple Inc.)
      O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [hyipjrao] C:\ProgramData\hyipjrao.dat (Interstar Technologies)
      O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [sqlfjr] C:\ProgramData\sqlfjr.dat (Microsoft Corporation)
      O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [treasure] C:\ProgramData\treasure\qfoqkotiu.exe ()
      [2008/12/09 16:23:13 | 000,068,080 | RHS- | C] () -- C:\Users\Francis\AppData\Roaming\jabconf32.exe
      :files
      C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
      C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa

      * poste le rapport ici


      ~~~

      Zip le dossier C:\_OTL
      Ouvre Mon Ordinateur / Poste de travail => Disque C
      Tu dois voir le dossier _OTL, ouvre le.
      Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
      Dessus, fais : Clic droit / Envoyer vers dossier compressé.
      Cela va créer un fichier MovedFiles.zip
      Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

      Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
      0
  7. hul09 Messages postés 11 Statut Membre
     
    Bonsoir

    Avez vous trouvé une solution pour venir à bout de bitcypt ? Merci car j'ai le même pb
    0
  8. gloups71
     
    bonjour,

    même problème, avec un code différent "DRU..."
    Si vous avez des solutions, je suis preneur.

    J'ai recupéré une adresse IP, mais je pense qu'avec TOR c'est cuit ! !
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Essaye ça : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.exe
      Shadow Explorer permet aussi de récupérer les fichiers des "versions précédentes" : https://www.shadowexplorer.com/downloads.html
      0
    2. gloups71
       
      Merci de l'info.

      J'ai essayé, sans résultat.

      System re-installé usine = OK
      tentative de decryptage par anti-cryptor = sans resultat

      Je suis tjs preneur. Merci
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Malheureusement pour le moment, y a pas de solution.
      0
    4. gloups71
       
      Nouvelle information :

      le virus s'est installé par suite d'une mise a jour de flashpayer vérolée, une fameuse version 12.0... le logo est très ressemblant. Une verification de la version permet de ne pas l'installer

      Attention donc....
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Apparemment les auteurs de BitCrypt se sont chier dessus.
    J'ai mis à jour la page cryptorbit pour en parler : https://www.malekal.com/virus-securite/ransomwares/
    0
    1. BitCrypt2 Messages postés 10 Statut Membre
       
      ça veut dire que l'on peut récupérer les documents corrompus ? (désolé je suis toute nouvelle dans le domaine de virus)
      0
    2. BitCrypt2 Messages postés 10 Statut Membre
       
      t'a un lien fiable et sans virus pour télécharger PixRecovery stp ? :)
      0
    3. BitCrypt2 Messages postés 10 Statut Membre
       
      ils disent que ma version de windows est incompatible avec le logiciel pourtant j'ai windows 7
      t'a un autre lien ?
      0