Cryptowall fichier pris en otage Résolu/Fermé

Question

Bonjour à tous,

Merci d'avance de prendre le temps de me lire en espérant que le tout sera assez claire pour que vous puissiez me comprendre.

Je vous expliquer mon problème.
Ce matin j'allume mon ordinateur, et 2 fenêtres s'ouvre , un fichier texte, ainsi qu'une fenêtre internet explorer dont je ne prête pas attention.
Je me dit que c'est un spam et je ferme tout.
Et je vois l'icone de ces 2 fichiers sur mon bureau, je les supprime.

Commençant à vouloir travailler, je m'aperçois que mes fichiers photos / images qui se trouve dans tout mes lecteur DD (jpeg, png,bitmap,giff,tiff...) ne s'ouvre pas peut importe le logiciels utilisé.
Le message d'erreur me dit " le fichier semble endommagé ou corrompu"

Mon ordinateur lui marche très bien.
J'en profite pour ouvrir le gestionnaire de tache, aucun programme suspect.
Je fait un nettoyage avec MalwareByte rien de suspect.
et je m'aperçois que ces 2 fichiers bizzare se sont coller dans tout mes dossiers et sous dossiers qui se trouve dans mes DD et que même si je les supprimes manuellement il ré apparaissent.

Apres quelques recherche sur le net je trouve une réponse comme quoi mes fichier on était prit en otage , donc crypté et que si je veux les récupéré il faut que je paye une rançon (comme dans les films)
Il est hors de question que je cède à se genre de chose donc , je décide de faire un backup ce qui es le plus logique et je fait face à un jolie message d'erreur : 
 "La restauration du système a rencontré une erreur.Essayer de rééxécuter la restauration du système (0x81000203)"

J'ai essayer des manpis, j'ai essayer en mode sans échec, également services.msc mais rien.

Bref je ne désespère pas.
Ce que j'aimerai par dessus tout c'est pouvoir retrouver mes photos et autres image.
Apres le reste je m'en fiche je formate et on en parle plus.

Alors question très simple, à votre avis, existe il une technique, un logiciel ou autre moyen de pouvoir récupéré mes fichiers crypté? 

Pour info je suis en Windows 7 édition intégral 64 bits Service Pack1

Cordialement

Malekal_morte- · Answer

Salut,

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--

Malekal_morte- · Answer

Alors déjà c'est pas Cryptowall mais TestlaCrypt mais ça change rien dans les faits.

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe. 


Tu as un CpuMiner qui sont venus avec des adwares.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 


HKLM\...\Run: [gpuminer] => C:\Users\Nanie\AppData\Roaming\cpuminer\sgminer\start.cmd [214 2015-08-21] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML [2015-11-18] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT [2015-11-18] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML [2015-11-18] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip [2015-09-05] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT [2015-11-18] () 
2015-11-18 13:14 - 2015-11-18 13:24 - 00006306 _____ C:\Users\_how_recover_spo.HTML 
2015-11-18 13:14 - 2015-11-18 13:24 - 00002615 _____ C:\Users\_how_recover_spo.TXT 
 2015-11-18 13:24 - 2015-09-13 15:16 - 00000000 ____D C:\Users\Nanie\Desktop\Mariage Fabien Gaelle 12 Sept 2015 
 2015-11-18 13:24 - 2015-08-26 21:38 - 00000000 ____D C:\Users\Nanie\AppData\Roaming\WTools  
 2015-11-18 13:24 - 2015-08-26 21:37 - 00000000 ____D C:\Users\Nanie\AppData\Roaming\Store  
C:\Users\Nanie\AppData\Roaming\cpuminer
 2015-11-18 13:18 - 2015-08-26 21:19 - 00000000 ____D C:\Users\Nanie\AppData\Local\BrowserHelper  
 2015-11-18 13:18 - 2015-07-23 18:50 - 00000000 ____D C:\Users\Nanie\AppData\Local\Apps\2.0  
 2015-11-18 13:18 - 2015-07-28 16:46 - 00000000 ____D C:\Users\Nanie\AppData\Local\CEF 
 2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nanie\AppData\Roaming\hWuzNoVZpJPsA6HSVTMJOgt 


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

angelpaine · Answer

Bonjour,

Merci beaucoup pour vos informations ainsi que votre aide.

J'ai donc suivi ce que vous m'avez demander et voila le fichier Fixlog.

Fix result of Farbar Recovery Scan Tool (x64) Version:19-11-2015
Ran by Nanie (2015-11-20 12:19:28) Run:1
Running from C:\Users\Nanie\Desktop
Loaded Profiles: Nanie (Available Profiles: Nanie)
Boot Mode: Normal
==============================================

fixlist content:


HKLM\...\Run: [gpuminer] => C:\Users\Nanie\AppData\Roaming\cpuminer\sgminer\start.cmd [214 2015-08-21] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML [2015-11-18] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT [2015-11-18] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML [2015-11-18] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip [2015-09-05] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML [2015-11-18] ()
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML [2015-11-18] () 
Startup: C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT [2015-11-18] () 
2015-11-18 13:14 - 2015-11-18 13:24 - 00006306 _____ C:\Users\_how_recover_spo.HTML 
2015-11-18 13:14 - 2015-11-18 13:24 - 00002615 _____ C:\Users\_how_recover_spo.TXT 
2015-11-18 13:24 - 2015-09-13 15:16 - 00000000 ____D C:\Users\Nanie\Desktop\Mariage Fabien Gaelle 12 Sept 2015 
2015-11-18 13:24 - 2015-08-26 21:38 - 00000000 ____D C:\Users\Nanie\AppData\Roaming\WTools 
2015-11-18 13:24 - 2015-08-26 21:37 - 00000000 ____D C:\Users\Nanie\AppData\Roaming\Store 
C:\Users\Nanie\AppData\Roaming\cpuminer 
2015-11-18 13:18 - 2015-08-26 21:19 - 00000000 ____D C:\Users\Nanie\AppData\Local\BrowserHelper 
2015-11-18 13:18 - 2015-07-23 18:50 - 00000000 ____D C:\Users\Nanie\AppData\Local\Apps\2.0 
2015-11-18 13:18 - 2015-07-28 16:46 - 00000000 ____D C:\Users\Nanie\AppData\Local\CEF 
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Nanie\AppData\Roaming\hWuzNoVZpJPsA6HSVTMJOgt 



HKLM\Software\Microsoft\Windows\CurrentVersion\Run\gpuminer => value removed successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT => moved successfully
C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip => moved successfully
C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.HTML => moved successfully
C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_hei.TXT => moved successfully
C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.HTML => moved successfully
C:\Users\Nanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_spo.TXT => moved successfully
C:\Users\_how_recover_spo.HTML => moved successfully
C:\Users\_how_recover_spo.TXT => moved successfully
C:\Users\Nanie\Desktop\Mariage Fabien Gaelle 12 Sept 2015 => moved successfully
C:\Users\Nanie\AppData\Roaming\WTools => moved successfully
C:\Users\Nanie\AppData\Roaming\Store => moved successfully
C:\Users\Nanie\AppData\Roaming\cpuminer => moved successfully
C:\Users\Nanie\AppData\Local\BrowserHelper => moved successfully

"C:\Users\Nanie\AppData\Local\Apps\2.0" folder move:

Could not move "C:\Users\Nanie\AppData\Local\Apps\2.0" => Scheduled to move on reboot.

C:\Users\Nanie\AppData\Local\CEF => moved successfully
C:\Users\Nanie\AppData\Roaming\hWuzNoVZpJPsA6HSVTMJOgt => moved successfully

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-11-20 12:21:36)

C:\Users\Nanie\AppData\Local\Apps\2.0 => Is moved successfully
 End of Fixlog 12:21:36 
en vous remerciant

angelpaine · Answer

Voila j'ai supprimé tous les fichiers How_Recover dans tous mes disques dures.
Casi 30 000 au total incroyable

Malekal_morte- · Answer

installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Cryptowall fichier pris en otage

5 réponses

End of Fixlog 12:21:36

Discussions similaires