Fichiers cryptés ne peuvent être ouverts, demande de rançon. [Résolu/Fermé]

Signaler
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
-
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
-
Salut à tous !

Un pote vient de me filé son pc car tous ses documents (genre photos, words ...) ont été apparemment cryptés par un trojan. Ils sont tous passé en nomducihier.jpg.enc.rtf, et il est impossible de les ouvrir. Si je les ouvre sur Wordpad, on m'indique la destination d'un exécutable permettant de payer une rançon. Exécutable qui n'y apparaît pas.

J'ai testé pas mal de trucs, mais à chaque fois le décryptage échoue, ou alors on me demande un la version d'un fichier crypté avant qu'il le soit afin d'essayer de trouver par comparaison, mais il n'en a pas.

Je suis un peu face à une impasse, alors si quelqu'un avait une idée, ce serait avec grand plaisir.

5 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
- Eventuellement faire un nettoyage Malwarebytes

Si tu veux vérifier l'ordinateur :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Au cas ou, le message du Ransomware:
[FR] le fichier est crypté
Pour déchiffrer le fichier, procédez comme suit:
1. Désactiver l'antivirus (et pare-feu) installé sur votre ordinateur
2. Activer connexion internet
3. Décompressez l'archive C:\Users\Utilisateur\AppData\Local\RUcdnhyP\clhQGiSi.zip (archiver avec le même nom sur votre bureau). Mot de passe vJMgelKG
4. Exécutez le fichier GauTxJeZ.exe décompressé
5. Entrez le code coupon correct Ukash, Paysafecard ou MoneyPack
6. Ne redémarre pas l'ordinateur. Attendez décodage complet
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Tu peux faire une capture du message et envoyer C:\Users\Utilisateur\AppData\Local\RUcdnhyP\clhQGiSi.zip sur http://upload.malekal.com ou par mail à spamhere-@wanadoo.fr
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Pas l'air infecté =)

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
J'ai upload les deux captures d'écran sur le site (qui ne m'a donné aucun lien à transmettre ?). Bizarrement, le dossier [...]\RUcdnhyP\clhQGiSi.zip n'existe pas. Voir screenshots.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
ok merci,

Fais le scan NOD32.

Tes documents sont récupérables ou pas avec les versions précédentes : https://forum.malekal.com/viewtopic.php?t=46739&start= ?

ou tente Photorec : https://forum.malekal.com/viewtopic.php?t=50712&start=

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Ouais, j'ai vu ça après sur le site du développeur mais l'ordinateur a réussi à booter sur ma usb contenant ubuntu, gparted est en train de bouger les fichiers en début de partition augmentée maintenant à 280go.

Une questions subsidiaires: est-ce que le ransomware qui à la base est venu sur la partition C a put se propager à la partition D ?
Et est-ce qu'un manque de place sévère sur le HDD, dans le cas ici présent il ne restait que 4go lorsque mon ami me l'a passé peut nuire à la rapidité de l'ordinateur ?

Dès que j'ai finis gparted et photorec je fais le scan NOD32.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
oui pour les partitions, il va lister tous les documents et tous les chiffrer.

oui pour la rapidité, ça peut jouer un peu.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Étrange, je ne vois ton message que maintenant :/
Entre temps j'ai eu le droit au fameux BootMGR is missing en cours de résolution ...

EDIT: Mais qui se termine par des échecs, malgré un bootrec /RebuildBCD ...
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Le GParted a dû planter un truc...
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Tu me fais un peu peur là :/
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Je suis carrément désespéré, le pc me renvoi en boucle le message BootMGR is missing je ne sais vraiment plus quoi faire :s

Une quelconque idée ?
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Ça fait longtemps que je n'ai procédé à de réinstallation, et je ne me rappelle plus si la réinstallation de Windows supprime tous les fichiers. Le sais-tu ?
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
oui ça devrait formater le disque C.
Pour sauver les documents, utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd/
ou un autre CD Live style Ubuntu.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Je les sauvegarde donc sur un support externe style clé USB.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Je suis en train de copier les fichiers importants sur mon HDD à moi, j'ai connecté le HDD du pc à problème en SATA sur ma CM, c'est plutôt rapide :)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
ok =)
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Bon, j'ai finis la réinstallation de Windows 7. J'ai récupéré les fichiers cependant, lorsque je lance photorec, il me décrypte apparemment des milliers de fichiers, dont des .txt des .png, des .exe mais je ne sais pas a quoi ils correspondent et surtout il ne me décrypte pas les fichiers que je voudrais. C'est-à-dire des photos, des document words et j'en passe:/.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Alors laisse tomber.

Malheureusement, il n'y a pas de solution.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
C'est quoi alors les autres fichiers qu'il a soit disant décryptés ?
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Ce programme ne sert pas à déchiffrer des fichiers mais à récupérer des fichiers supprimés.
Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
Bon, du coup j'ai laissé tomber le décryptage des fichiers, j'ai rendu le pc à mon pote qui est quand même content du reste du travail effectué.
Merci pour ton aide, c'était sympa ! :)

Bonne continuation à toi,
MisterCacao
Ps: Je passe le sujet en résolu malgré que le décryptage des fichiers soit un échec, puisque je cherchais des idées et tu m'en a donné en plus d'une réponse définitive au problème (bien que j'en aurais aimé une autre ^^).
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
ok préviens lui de faire attention aux emails qu'il ouvre.

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Messages postés
387
Date d'inscription
samedi 8 juin 2013
Statut
Membre
Dernière intervention
2 décembre 2019
37
C'est ce que j'ai fais. Merci beaucoup pour ton lien, enfin des explications concises que je cherchaient depuis pas mal de temps pour des amis :)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 351
Pas de soucis =)