BitCrypt

Merci pour votre aide. Tous mes fichiers ont été décryptés grâce a vous.

bonjour
possible que tu me guide mon ami car je suis perdus

merci

Le cassage de la clef de cryptage est possible sur la première vague, car les développeurs ont fait des boulettes.
C'est corrigé depuis et le cassage n'est plus possible.

BytCrypt est une ancienne variante de CryptoDefense / Cryptowall.

Salut,

Créé ton sujet et donne le rapport OTL.

sujet Bitcrypt créé et liens OTL postés.
dans l'attente d'une réponse .

Merci. :)

ok merci je vais faire une analyse avec OTL par contre je supose que le male est déja fait car tout les dossiers crypter vont le rester car BitCrypt nest pas un virus mais un logiciel de cryptage tres puissent qui a été untiliser avec une intention malicieuse par des hameçonneurs il passe par Tor pour ne pas ce faire retracer et nous demande de payer 241$ pour avoir la cle de décryptage

encore un énorme MERCI pour ta réponce et si possible dit moi si je me trompe !

p.s. comme je travaille de nuit désoler pour les délais

pas de soucis :)

Pour les docs, y a peut-être un petit espoir, mais faut s'assurer que le PC n'est plus infecté avant.

ok je ne peut plus rien installer sa dit quil y a des dll manquent

j'ai un autre pc avec vista je vais voir si je peut trouver les dll manquent et les remplacer

Salut,

y a bcp de programmes parasites.


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV - [2014/01/02 08:33:40 | 000,499,856 | ---- | M] (Cherished Technololgy LIMITED) [Auto | Running] -- C:\ProgramData\WPM\wprotectmanager.exe -- (Wpm)
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IIE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays U
IE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
IIE - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: URL = http://search.delta-homes.com/web/?type=ds&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX&q={searchTerms} <b>[Pays US - 69.28.58.54]</b>
CHR - homepage: http://www.isearch123.com/?type=hp&ts=1388685622&from=wpm0102&uid=HitachiXHTS547575A9E384_120402J2340059D3GR9AX <b>[Pays US - 69.28.58.54]</b>
CHR - Extension: No name found = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml\1.4_0\
CHR - Extension: Smart Display = C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa\1.6_0\
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [Bitcomint] C:\Users\Francis\AppData\Roaming\0YGOA.exe File not found
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [com.apple.dav.bookmarks.daemon] C:\Program Files (x86)\Common Files\Apple\Internet Services\BookmarkDAV_client.exe (Apple Inc.)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [hyipjrao] C:\ProgramData\hyipjrao.dat (Interstar Technologies)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [sqlfjr] C:\ProgramData\sqlfjr.dat (Microsoft Corporation)
O4 - HKU\S-1-5-21-1792312883-3331008085-1368389958-1000..\Run: [treasure] C:\ProgramData\treasure\qfoqkotiu.exe ()
[2008/12/09 16:23:13 | 000,068,080 | RHS- | C] () -- C:\Users\Francis\AppData\Roaming\jabconf32.exe
:files
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
C:\Users\Francis\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

bonjour malekal

voila le lien de ma pjjoint : https://pjjoint.malekal.com/files.php?id=OTL_20140220_8g15h14v15z13

peux-tu m'aider stp ? :D

Essaye ça : http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.exe
Shadow Explorer permet aussi de récupérer les fichiers des "versions précédentes" : https://www.shadowexplorer.com/downloads.html

Merci de l'info.

J'ai essayé, sans résultat.

System re-installé usine = OK
tentative de decryptage par anti-cryptor = sans resultat

Je suis tjs preneur. Merci

Malheureusement pour le moment, y a pas de solution.

Nouvelle information :

le virus s'est installé par suite d'une mise a jour de flashpayer vérolée, une fameuse version 12.0... le logo est très ressemblant. Une verification de la version permet de ne pas l'installer

Attention donc....

yep, c'est ça : https://www.malekal.com/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/

ça veut dire que l'on peut récupérer les documents corrompus ? (désolé je suis toute nouvelle dans le domaine de virus)

il n'y a pas d'autres solutions que :
- les versions antérieures : https://forum.malekal.com/viewtopic.php?t=46739&start=
- pixRecovery
- le script que je donne à la fin de ma page cryptorbit : https://www.malekal.com/virus-securite/ransomwares/

t'a un lien fiable et sans virus pour télécharger PixRecovery stp ? :)

ici https://www.commentcamarche.net/telecharger/utilitaires/17971-pixrecovery/ ?

ils disent que ma version de windows est incompatible avec le logiciel pourtant j'ai windows 7
t'a un autre lien ?