All of your files were protected by a strong encryption with RSA Résolu/Fermé

Question

Bonjour, voici le message que j ai à l'ouverture de session. Que puis je faire?
Merci d avance je n'arrive pas non plus à m inscrire sur le site ! Pas de chance....



 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://djru34dnd.lgk749kch8ej.com/E65AE64EACEEE146
2. http://ks53kc7s.td45hdrtabc23.com/E65AE64EACEEE146
3. https://alcov44uvcwkrend.onion.to/E65AE64EACEEE146 
 
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: alcov44uvcwkrend.onion/E65AE64EACEEE146 
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://djru34dnd.lgk749kch8ej.com/E65AE64EACEEE146
http://ks53kc7s.td45hdrtabc23.com/E65AE64EACEEE146 
https://alcov44uvcwkrend.onion.to/E65AE64EACEEE146  
Your personal page (using TOR): alcov44uvcwkrend.onion/E65AE64EACEEE146 
Your personal identification number (if you open the site (or TOR 's) directly): E65AE64EACEEE146








Configuration: Windows 7 / Internet Explorer 9.0

Malekal_morte- · Answer

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe. 

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Malekal_morte- · Answer

Tu as des adwares (logiciels publicitaires). Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : Startup: D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html [2015-10-14] () Startup: D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt.ccc [2015-10-14] () CHR HKU\S-1-5-21-2796017192-632909976-1671321542-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: Softonic Helper Object -> {E87806B5-E908-45FD-AF5E-957D83E58E68} -> D:\Program Files\Softonic\Softonic\1.8.29.3\bh\Softonic.dll => Pas de fichier Toolbar: HKLM - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - D:\Program Files\Softonic\Softonic\1.8.29.3\SoftonicTlbr.dll Pas de fichier CHR Extension: (Pas de nom) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\gflandjopdloblmlcoiidmncpinmmacn [2013-08-11] CHR Extension: (Pas de nom) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jljheddigenhleadfofeccneimcmlefp [2014-01-15] CHR Extension: (1Click Downloader) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh [2012-05-22] CHR Extension: (uTorrentBar_FR) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib [2012-02-10] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gflandjopdloblmlcoiidmncpinmmacn] - D:\Users\Maman\AppData\Roaming\zulagames\zulagames.crx [2013-07-01] CHR HKLM\...\Chrome\Extension: [jljheddigenhleadfofeccneimcmlefp] - D:\Users\Maman\AppData\Roaming\speedtest4354\speedtest4354.crx [2013-12-19] CHR HKLM\...\Chrome\Extension: [jplinpmadfkdgipabgcdchbdikologlh] - D:\Program Files\1ClickDownload\1click12.crx CHR HKLM\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - D:\Users\Maman\AppData\Local\Temp\ccex.crx 2015-10-16 11:36 - 2014-01-15 14:41 - 00000000 ____D D:\Users\Maman\AppData\Roaming\speedtest4354 2015-10-14 16:34 - 2013-08-11 17:57 - 00000000 ____D D:\Users\Maman\AppData\Roaming\PerformerSoft 2015-10-14 16:34 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\zulagames 2015-10-14 16:34 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\SpeedAnalysis2 2015-10-14 16:34 - 2011-11-14 19:15 - 00000000 ____D D:\Users\Maman\AppData\Roaming\NewSoft 2015-10-14 16:33 - 2014-01-15 14:41 - 00000000 ____D D:\Users\Maman\AppData\LocalLow\Softonic 2015-10-14 16:33 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\Babylon 2015-10-14 16:33 - 2013-02-10 14:21 - 00000000 ____D D:\Users\Maman\AppData\Roaming\DealPly 2015-10-14 13:28 - 2013-08-11 17:55 - 00000000 ____D D:\ProgramData\IBUpdaterService 2015-10-14 13:28 - 2013-08-11 17:55 - 00000000 ____D D:\ProgramData\Babylon 2015-10-14 13:27 - 2014-09-12 16:54 - 00000000 ____D D:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Corriger / Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur puis réinitialise tes navigateurs: ================================== Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites : Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start= Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start= Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start= ~~ Désinstalle Spyhunter, nou allons le remplacer par Malwarebytes. Malwarebytes (temps : environ 40min de scan): ================================================== Télécharge et installe Malwarebyte. Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) : Tutorial Malwarebytes version gratuite Tutorial Malwarebytes version payante Mets Malwarebytes à jour puis lance un examen. A la fin du scan, clic sur "Supprimer Selection" en bas à gauche. Redémarre l'ordinateur si besoin. Après redémarrage, relance Malwarebytes. Vas chercher le rapport dans l'onglet Historique. A gauche Journal d'analyse. Doube-clic sur l'examen dans la liste. Puis en bas Copier dans le presse papier Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes. Clic sur envoyer. Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

sylviechap · Answer

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:22-10-2015 Exécuté par Maman (2015-10-22 20:59:08) Run:1 Exécuté depuis D:\Users\Maman\Desktop Profils chargés: Maman & (Profils disponibles: Maman) Mode d'amorçage: Normal ============================================== fixlist contenu: Startup: D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html [2015-10-14] () Startup: D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt [2015-10-14] () Startup: D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt.ccc [2015-10-14] () CHR HKU\S-1-5-21-2796017192-632909976-1671321542-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION BHO: Softonic Helper Object -> {E87806B5-E908-45FD-AF5E-957D83E58E68} -> D:\Program Files\Softonic\Softonic\1.8.29.3\bh\Softonic.dll => Pas de fichier Toolbar: HKLM - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - D:\Program Files\Softonic\Softonic\1.8.29.3\SoftonicTlbr.dll Pas de fichier CHR Extension: (Pas de nom) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\gflandjopdloblmlcoiidmncpinmmacn [2013-08-11] CHR Extension: (Pas de nom) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jljheddigenhleadfofeccneimcmlefp [2014-01-15] CHR Extension: (1Click Downloader) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh [2012-05-22] CHR Extension: (uTorrentBar_FR) - D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib [2012-02-10] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gflandjopdloblmlcoiidmncpinmmacn] - D:\Users\Maman\AppData\Roaming\zulagames\zulagames.crx [2013-07-01] CHR HKLM\...\Chrome\Extension: [jljheddigenhleadfofeccneimcmlefp] - D:\Users\Maman\AppData\Roaming\speedtest4354\speedtest4354.crx [2013-12-19] CHR HKLM\...\Chrome\Extension: [jplinpmadfkdgipabgcdchbdikologlh] - D:\Program Files\1ClickDownload\1click12.crx CHR HKLM\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - D:\Users\Maman\AppData\Local\Temp\ccex.crx 2015-10-16 11:36 - 2014-01-15 14:41 - 00000000 ____D D:\Users\Maman\AppData\Roaming\speedtest4354 2015-10-14 16:34 - 2013-08-11 17:57 - 00000000 ____D D:\Users\Maman\AppData\Roaming\PerformerSoft 2015-10-14 16:34 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\zulagames 2015-10-14 16:34 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\SpeedAnalysis2 2015-10-14 16:34 - 2011-11-14 19:15 - 00000000 ____D D:\Users\Maman\AppData\Roaming\NewSoft 2015-10-14 16:33 - 2014-01-15 14:41 - 00000000 ____D D:\Users\Maman\AppData\LocalLow\Softonic 2015-10-14 16:33 - 2013-08-11 17:55 - 00000000 ____D D:\Users\Maman\AppData\Roaming\Babylon 2015-10-14 16:33 - 2013-02-10 14:21 - 00000000 ____D D:\Users\Maman\AppData\Roaming\DealPly 2015-10-14 13:28 - 2013-08-11 17:55 - 00000000 ____D D:\ProgramData\IBUpdaterService 2015-10-14 13:28 - 2013-08-11 17:55 - 00000000 ____D D:\ProgramData\Babylon 2015-10-14 13:27 - 2014-09-12 16:54 - 00000000 ____D D:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html => déplacé(es) avec succès D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.html => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOWTO_RESTORE_FILES_iyuft.txt.ccc => déplacé(es) avec succès "HKU\S-1-5-21-2796017192-632909976-1671321542-1001\SOFTWARE\Policies\Google" => clé supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}" => clé supprimé(es) avec succès "HKCR\CLSID\{E87806B5-E908-45FD-AF5E-957D83E58E68}" => clé supprimé(es) avec succès HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{5018CFD2-804D-4C99-9F81-25EAEA2769DE} => valeur supprimé(es) avec succès "HKCR\CLSID\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}" => clé supprimé(es) avec succès D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\gflandjopdloblmlcoiidmncpinmmacn => déplacé(es) avec succès D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jljheddigenhleadfofeccneimcmlefp => déplacé(es) avec succès D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jplinpmadfkdgipabgcdchbdikologlh => déplacé(es) avec succès D:\Users\Maman\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib => déplacé(es) avec succès "HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk" => clé supprimé(es) avec succès "HKLM\SOFTWARE\Google\Chrome\Extensions\gflandjopdloblmlcoiidmncpinmmacn" => clé supprimé(es) avec succès D:\Users\Maman\AppData\Roaming\zulagames\zulagames.crx => déplacé(es) avec succès "HKLM\SOFTWARE\Google\Chrome\Extensions\jljheddigenhleadfofeccneimcmlefp" => clé supprimé(es) avec succès D:\Users\Maman\AppData\Roaming\speedtest4354\speedtest4354.crx => déplacé(es) avec succès "HKLM\SOFTWARE\Google\Chrome\Extensions\jplinpmadfkdgipabgcdchbdikologlh" => clé supprimé(es) avec succès "HKLM\SOFTWARE\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib" => clé supprimé(es) avec succès D:\Users\Maman\AppData\Roaming\speedtest4354 => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\PerformerSoft => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\zulagames => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\SpeedAnalysis2 => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\NewSoft => déplacé(es) avec succès D:\Users\Maman\AppData\LocalLow\Softonic => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\Babylon => déplacé(es) avec succès D:\Users\Maman\AppData\Roaming\DealPly => déplacé(es) avec succès D:\ProgramData\IBUpdaterService => déplacé(es) avec succès D:\ProgramData\Babylon => déplacé(es) avec succès D:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 => déplacé(es) avec succès Fin de Fixlog 20:59:21

sylviechap · Answer

https://pjjoint.malekal.com/files.php?id=20151022_k7q8g9o5y15

Malekal_morte- · Answer

Gros ménage de Malwarebytes.

Alors il reste des problèmes particuliers ?

(pour les documents, je répète, malheureusement, c'est mort).

sylviechap · Answer

A part le fait que je ne puisse plus ouvrir les fichiers photo, le reste a l air d aller. J'ai Stellar Phoenix Photo Recovery, est ce que je vais pouvoir les recuperer avec ce programme ou l infection etait trop importante?

sylviechap · Answer

Pas de chance ! vraiment !
Je vais supprimer les howto
Merci pour tout

Malekal_morte- · Answer

Je pense que l'on a terminé.
Comme dit plus haut attention aux emails que tu reçois et les pièces jointes WORD.

Sinon :

Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - contre les exploitWeb :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à  la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à  jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à  ton insu.  
Le fait de ne pas avoir des logiciels à  jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à  jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à  jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à  jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à  tes amis ! 

~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=



~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

All of your files were protected by a strong encryption with RSA

8 réponses

Fin de Fixlog 20:59:21

Discussions similaires