Comment récupérer ses données aprés un ransomware (.vvv) [Résolu/Fermé]

Signaler
-
 Micking -
Bonjour,

J'ai été infecté par un virus type Ransomware (How Recover+vaa)

Voici leur "Demande de rançon" :



++++++==============================================================================================================+++++++======

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Specially for your PC was generated personal RSA2048 KEY, both public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
++++++==============================================================================================================+++++++======
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
2. http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
3. https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3
Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
Your personal identification number (if you open the site (or TOR-Browser's) directly): F3D9E6C0AFFDCBF3
++++++==============================================================================================================+++++++======




Je pense être venu à bout du virus grâce à Malwarebyte.

Le problème est que certains de mes fichiers ont été cryptés (En .vvv)

Les seuls fichiers que je veux vraiment récupérer sont mes photos de voyage, principalement pour le derniers dont je rentre juste et où je n'ai pas fait de sauvegarde.

Voilà ce que j'ai déjà essayé de faire :

- Sauvegarde Windows : Toutes effacées par le ransomware.
- Utilisation de Recuva : Sans succès
- Utilisation de Rectordecryptor : Il me trouve les fichiers cryptés mais n'arrive pas à les décrypter.
- Utilisation de XoristDecryptor et Rakhnidecryptor : Ne trouve aucun fichiers cryptés.
- Utilisation de ShadowExploreur : Ne trouve aucunes sauvegardes

Il est inconcevable, pour moi de "Payer" la rançon, afin de ne pas rentrer dans leur jeux.

Vous avez d'autres pistes pour essayer de décrypter ces données ?

J'ai des copies de certaines photo sur clef usb, j'ai lu quelques part que ça pouvait aider d'avoir le fichier en crypter et en source afin d’éventuellement trouver la clef ?

Merci d'avance pour votre aide.

Cordialement,
LVR.

13 réponses

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


4
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Bonjour,

Merci pour votre réponse aussi rapide.

Comme demandé, voici les 3 liens.

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151206_f6o13z8i11g9
Shortcut : http://pjjoint.malekal.com/files.php?id=20151206_m14x14d6g14x13
Addition : http://pjjoint.malekal.com/files.php?id=20151206_w11w11k14r7m12

Ma priorité est surtout (Si possible, de récupérer mes fichiers), une fois mes photos decryptés je peux reformater mes disques.

Ps : Je suis en train de tester Stellar Phoenix photo recovery, il à l'air de me trouver des fichiers pour le moment.
Bonjour,
J'ai un virus type Ransomware. J'ai donc fait un scan FRST comme préconisé.
Voici les deux rapports (je n'en ai pas eu 3....?)
- http://pjjoint.malekal.com/files.php?id=FRST_20160304_o8n7x15e13h7
- http://pjjoint.malekal.com/files.php?id=20160304_v6p148z5s10

Que dois-je faire?

Je vous remercie!!
Bonjour.

J'ai un virus type Ransomware. J'ai fait un scan FRST comme préconisé.
Voici les 3 rapports.

http://pjjoint.malekal.com/files.php?id=FRST_20160321_j10x1111x15o6
http://pjjoint.malekal.com/files.php?id=20160321_p6q5t11v9t10
http://pjjoint.malekal.com/files.php?id=20160321_m13s11k14r11u13

Sincère Salutation.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 > Lorenzo
Salut,

Ton rapport est correct.
Faut supprimer tous les fichiers _rEcOvEr_
Merci a votre reponse

http://pjjoint.malekal.com/files.php?id=FRST_20160610_r11w10v6x5y7
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
La récupération des documents est impossible, voir mon message précédent.

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Fais une recherche de fichiers sur how_recover et supprime tous les fichiers how_recover trouvé.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Merci encore pour votre réponse.

Voilà le fixlog :

Fix result of Farbar Recovery Scan Tool (x64) Version:05-12-2015
Ran by Lo' (2015-12-06 14:40:46) Run:1
Running from C:\Users\Lo'\Downloads
Loaded Profiles: Lo' & (Available Profiles: Lo')
Boot Mode: Normal
==============================================

fixlist content:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk => moved successfully
C:\Windows\Tasks\NutritionCount.job => moved successfully
"c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}" => not found.

End of Fixlog 14:40:46

Messages postés
2
Date d'inscription
jeudi 24 décembre 2015
Statut
Membre
Dernière intervention
24 décembre 2015
> Rackunk
bonjour
tu peux recuperer tes fichiers. Y a un moyen, je viens de le faire ...
Je pense à une autre possibilité, j'ai déplacé les fichiers de mes cartes SD d'appareil photo sans réécrire dessus, vous pensez que je peux les récupérer de cette manière ? Ils n'ont pas été exposé au virus. Je préfère donc attendre d'être sur que tout soit clean avant d'essayer.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
oui tu peux.
Merci pour l'info,

Tout est réglé au vu de mon fixlog ?

Merci encore pour tout, j'y vois déjà plus clair grâce à ton siteweb !
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 > Rackunk
de rien :)

Attention aux mails.
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Bonjour,

J'ai suivi ta méthode et j'ai deux liens :
FRST :http://pjjoint.malekal.com/files.php?id=FRST_20160822_v10q9c5n15r13
Addition : http://pjjoint.malekal.com/files.php?id=20160822_w15n7r14r8x13

Est-ce que tu peux m'aider?

Merci
Pour info, en esperant que ça puisse en aider d'autres, j'ai pu récupérer toutes mes photos supprimées sur des clef usb/cartes sd de mes appareils photos avec le logiciel RECUVA (Complètement gratuit). Ca prend pas mal de temps par contre, et essayez d'écrire sur un autre lecteur que celui où vous voulez récupérer des infos.
bonjour, j'ai le même problème que vous (virus ransomware .vvv) comment dois-je faire pour récupérer mes photos sur ordinateur et disque dur, (que je n'arrive plus à ouvrir) d'avance merci
> Max59
disque dur externe (je précise) merci
Désolé, je ne vois ta réponse que maintenant, le disque dur est en panne ?
Bonjour,

je peux vous aider à récupérer vos fichiers qui ont été crypté avec l'extension .vvv.

Envoi moi un fichier avec l'extension .vvv pour faire les tests.

j'ai arrivé à traité un cas.

Salut
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Comme il y a beaoucoup d'arnaques, explique comment tu fais que je puisse tester et valider.

>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Envoi moi l'un des fichiers crypté et je vais essayé de le decrypté.
Je ne suis pas arnaqueur.
Salut
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 > Decrypt
Donc expose ta méthode.
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Ou il exploite des clé de cryptage qu'il a crée ou https://www.nomoreransom.org/decryption-tools.html
Messages postés
3
Date d'inscription
mardi 1 mars 2016
Statut
Membre
Dernière intervention
2 mars 2016
> Decrypt
bonjour

j'ai le même problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter.
Par avance merci.

Cordialement
Messages postés
4
Date d'inscription
samedi 7 juillet 2012
Statut
Membre
Dernière intervention
11 juillet 2016
4
J'étais infecté par vvv (TeslaCrypt) et j'ai tout récupéré via ce programme : https://talosintelligence.com/teslacrypt_tool

Télécharger Windows binary.
C'était long au début mais une fois qu'il a généré la clé ça devient beaucoup plus rapide
Bonsoir,

Vous pouvez utiliser Kaspersky decryptor ça fonctionne parfaitement et les fichiers perdus peuvent etre recuperees entierement.

https://noransom.kaspersky.com/
Messages postés
3
Date d'inscription
samedi 19 décembre 2015
Statut
Membre
Dernière intervention
20 décembre 2015

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Remplace MSE par Avast!
Refais un scan FRST et donne les rapports via pjjoint.
Messages postés
2
Date d'inscription
jeudi 24 décembre 2015
Statut
Membre
Dernière intervention
24 décembre 2015

bonjour tout le monde, y a moyen de recuperer les fichiers (je viens de le faire)
>
Messages postés
2
Date d'inscription
jeudi 24 décembre 2015
Statut
Membre
Dernière intervention
24 décembre 2015

Bonjour, je veux bien plus d'informations sur ta technique pour decrypter les données.

Merci d'avance !
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 >
Messages postés
2
Date d'inscription
jeudi 24 décembre 2015
Statut
Membre
Dernière intervention
24 décembre 2015

Si c'est le cas, donne la et en public.
Ca éviterait qu'on se pose la question de savoir, si tu profites de la crédulité des gens pour les arnaquer =)
Messages postés
1
Date d'inscription
jeudi 24 décembre 2015
Statut
Membre
Dernière intervention
24 décembre 2015

Bonjour wilgaia, tu as réussi à décrypter tes fichiers ?
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 > Rackunk
Ca semble fontionner chez certains utilisateurs.
Bonjour,
je n'ai pas assez de connaissances en informatique pour résoudre la récupération
de 1000 fichiers jpeg corrompus en .vvv . Pourriez-vous prendre la main sur mon ordi
via TeamViewer9, et me délivrer de cet enfer qui me tue depuis plusieurs semaines?
D'avance merci de votre réponse.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046 > Finist0
Le plus simple serait que tu partages un fichier .pdf.vvv
Messages postés
2
Date d'inscription
lundi 8 février 2016
Statut
Membre
Dernière intervention
8 février 2016
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Bonjour, je me greffe sur votre forum car j'ai été infecté par le même virus. J'ai fait les différentes manip pour supprimer le virus (super tuto!!!) et je me suis lancé dans le décryptage des fichiers. J'ai fait tout ce qui est indiqué mais yafu n'arrive pas à factoriser ma clef, il mouline mouline et après 2 jours commence avec des séries de chiffres infinies... Pouvez-vous me donner un coup de main? Je peux soit vous donner les 2 clefs ou bien vous envoyer un fichier crypté de type pdf.vvv

Merci d'avance
Messages postés
3
Date d'inscription
mardi 1 mars 2016
Statut
Membre
Dernière intervention
2 mars 2016
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

Bonjour

J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

Cordialement
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Tentez ce programme : https://forum.malekal.com/viewtopic.php?t=54350&start=#p415342

c'est automatisé.
Messages postés
2
Date d'inscription
lundi 8 février 2016
Statut
Membre
Dernière intervention
8 février 2016

Rebonjour,

merci Malekal_morte pour cette réponse rapide.
Je vais finir par me résigner à penser que je suis une grosse buse! En effet, je viens de télécharger depuis dropbox les fichiers qui vont bien, j'ai lancé instal.bat. Le fichier Teslacrack.bat est bien sur mon bureau, je le lance et puis rien (une fenêtre cmd se lance et se ferme de suite)... J'ai vérifié que les programmes contenus dans SRC sont bien installés (Python, VCF et Pyqt4). Je ne trouve pas le dossier exe dans SRC.
Et franchement je bloque!

Encore désolé de te faire perdre ton temps mais si les fichiers cryptés n'étaient pas importants je ne te solliciterais pas.
Messages postés
3
Date d'inscription
mardi 1 mars 2016
Statut
Membre
Dernière intervention
2 mars 2016

Bonjour

J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

Cordialement
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
As-tu tenté ce programme donné plus haut : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv#34

normalement c'est tout automatisé.
Bonjour,

J'ai un ordinateur infecté par ce virus et souhaiterai pouvoir recupérer les fichiers crypter.

Voici les fichiers nécessaires d’apres le tuto :

http://pjjoint.malekal.com/files.php?id=FRST_20160801_e8y14u7w914
http://pjjoint.malekal.com/files.php?id=20160801_z13j13d914e6
http://pjjoint.malekal.com/files.php?id=20160801_e15q6r9y6j15

Je vous remercie d'avance pour votre aide.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 046
Tu as des .locky
Ce n'est pas le même ransomware et il n'est plus actif.
= > Fiche Ransomware Locky/Zepto - tu y trouveras des solutions pour sécuriser ton ordinateur.

Il n'y a pas de solution pour récupérer les fichiers (sauf sauvegarde).

~~

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.
nouvelle variante fichier .thor aie aie aie