Comment récupérer ses données aprés un ransomware (.vvv)

Résolu
Rackunk -  
 Micking -
Bonjour,

J'ai été infecté par un virus type Ransomware (How Recover+vaa)

Voici leur "Demande de rançon" :

++++++==============================================================================================================+++++++======

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Specially for your PC was generated personal RSA2048 KEY, both public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
++++++==============================================================================================================+++++++======
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
2. http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
3. https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3
Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
Your personal identification number (if you open the site (or TOR-Browser's) directly): F3D9E6C0AFFDCBF3
++++++==============================================================================================================+++++++======


Je pense être venu à bout du virus grâce à Malwarebyte.

Le problème est que certains de mes fichiers ont été cryptés (En .vvv)

Les seuls fichiers que je veux vraiment récupérer sont mes photos de voyage, principalement pour le derniers dont je rentre juste et où je n'ai pas fait de sauvegarde.

Voilà ce que j'ai déjà essayé de faire :

- Sauvegarde Windows : Toutes effacées par le ransomware.
- Utilisation de Recuva : Sans succès
- Utilisation de Rectordecryptor : Il me trouve les fichiers cryptés mais n'arrive pas à les décrypter.
- Utilisation de XoristDecryptor et Rakhnidecryptor : Ne trouve aucun fichiers cryptés.
- Utilisation de ShadowExploreur : Ne trouve aucunes sauvegardes

Il est inconcevable, pour moi de "Payer" la rançon, afin de ne pas rentrer dans leur jeux.

Vous avez d'autres pistes pour essayer de décrypter ces données ?

J'ai des copies de certaines photo sur clef usb, j'ai lu quelques part que ça pouvait aider d'avoir le fichier en crypter et en source afin d’éventuellement trouver la clef ?

Merci d'avance pour votre aide.

Cordialement,
LVR.

13 réponses

Résumé de la discussion

Une infection par un ransomware How Recover+vaa a crypté des fichiers, y compris des photos, avec une clé RSA-2048 et une rançon promettant le déchiffrement via paiement. Plusieurs solutions ont été évoquées pour récupérer les données, telles que Recuva, FRST de Malekal et des outils pour les extensions .vvv, avec des résultats variables. En cas d'incertitude, certains recommandent de ne pas payer et de nettoyer l'ordinateur avec FRST, tandis que des sauvegardes non touchées sur clés USB peuvent aider. Des témoignages mentionnent des cas où des outils spécialisés ont permis une récupération partielle, mais ces résultats restent rares et ne remplacent pas des sauvegardes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as été infecté par un Ransomware chiffreurs de fichiers.

    Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

    Il n'y a pas vraiment de solution pour récupérer les documents.

    Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

    Pour désinfecter l'ordinateur :

    Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    4
    1. Rackunk
       
      Bonjour,

      Merci pour votre réponse aussi rapide.

      Comme demandé, voici les 3 liens.

      FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151206_f6o13z8i11g9
      Shortcut : http://pjjoint.malekal.com/files.php?id=20151206_m14x14d6g14x13
      Addition : http://pjjoint.malekal.com/files.php?id=20151206_w11w11k14r7m12

      Ma priorité est surtout (Si possible, de récupérer mes fichiers), une fois mes photos decryptés je peux reformater mes disques.

      Ps : Je suis en train de tester Stellar Phoenix photo recovery, il à l'air de me trouver des fichiers pour le moment.
      0
    2. Eliz
       
      Bonjour,
      J'ai un virus type Ransomware. J'ai donc fait un scan FRST comme préconisé.
      Voici les deux rapports (je n'en ai pas eu 3....?)
      - http://pjjoint.malekal.com/files.php?id=FRST_20160304_o8n7x15e13h7
      - http://pjjoint.malekal.com/files.php?id=20160304_v6p148z5s10

      Que dois-je faire?

      Je vous remercie!!
      0
    3. Lorenzo
       
      Bonjour.

      J'ai un virus type Ransomware. J'ai fait un scan FRST comme préconisé.
      Voici les 3 rapports.

      http://pjjoint.malekal.com/files.php?id=FRST_20160321_j10x1111x15o6
      http://pjjoint.malekal.com/files.php?id=20160321_p6q5t11v9t10
      http://pjjoint.malekal.com/files.php?id=20160321_m13s11k14r11u13

      Sincère Salutation.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Lorenzo
         
        Salut,

        Ton rapport est correct.
        Faut supprimer tous les fichiers _rEcOvEr_
        0
    4. redcena
       
      Merci a votre reponse

      http://pjjoint.malekal.com/files.php?id=FRST_20160610_r11w10v6x5y7
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    La récupération des documents est impossible, voir mon message précédent.

    Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
    Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC

    Voici la correction à  effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
    Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
    Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
    Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
    Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
    c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}

    Une fois, le texte collé dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Fais une recherche de fichiers sur how_recover et supprime tous les fichiers how_recover trouvé.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
    1. Rackunk
       
      Merci encore pour votre réponse.

      Voilà le fixlog :

      Fix result of Farbar Recovery Scan Tool (x64) Version:05-12-2015
      Ran by Lo' (2015-12-06 14:40:46) Run:1
      Running from C:\Users\Lo'\Downloads
      Loaded Profiles: Lo' & (Available Profiles: Lo')
      Boot Mode: Normal
      ==============================================

      fixlist content:

      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
      Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
      Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
      Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
      Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
      c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}


      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
      C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
      C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
      C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk => moved successfully
      C:\Windows\Tasks\NutritionCount.job => moved successfully
      "c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}" => not found.

      End of Fixlog 14:40:46

      0
      1. wilgaia Messages postés 2 Statut Membre > Rackunk
         
        bonjour
        tu peux recuperer tes fichiers. Y a un moyen, je viens de le faire ...
        0
  3. Rackunk
     
    Je pense à une autre possibilité, j'ai déplacé les fichiers de mes cartes SD d'appareil photo sans réécrire dessus, vous pensez que je peux les récupérer de cette manière ? Ils n'ont pas été exposé au virus. Je préfère donc attendre d'être sur que tout soit clean avant d'essayer.
    1
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    oui tu peux.
    1
    1. Rackunk
       
      Merci pour l'info,

      Tout est réglé au vu de mon fixlog ?

      Merci encore pour tout, j'y vois déjà plus clair grâce à ton siteweb !
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Rackunk
         
        de rien :)

        Attention aux mails.
        0
      2. nonette > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Bonjour,

        J'ai suivi ta méthode et j'ai deux liens :
        FRST :http://pjjoint.malekal.com/files.php?id=FRST_20160822_v10q9c5n15r13
        Addition : http://pjjoint.malekal.com/files.php?id=20160822_w15n7r14r8x13

        Est-ce que tu peux m'aider?

        Merci
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Rackunk
     
    Pour info, en esperant que ça puisse en aider d'autres, j'ai pu récupérer toutes mes photos supprimées sur des clef usb/cartes sd de mes appareils photos avec le logiciel RECUVA (Complètement gratuit). Ca prend pas mal de temps par contre, et essayez d'écrire sur un autre lecteur que celui où vous voulez récupérer des infos.
    1
    1. Max59
       
      bonjour, j'ai le même problème que vous (virus ransomware .vvv) comment dois-je faire pour récupérer mes photos sur ordinateur et disque dur, (que je n'arrive plus à ouvrir) d'avance merci
      0
      1. Max59 > Max59
         
        disque dur externe (je précise) merci
        0
    2. Rackunk
       
      Désolé, je ne vois ta réponse que maintenant, le disque dur est en panne ?
      0
  7. Decrypt
     
    Bonjour,

    je peux vous aider à récupérer vos fichiers qui ont été crypté avec l'extension .vvv.

    Envoi moi un fichier avec l'extension .vvv pour faire les tests.

    j'ai arrivé à traité un cas.

    Salut
    1
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Comme il y a beaoucoup d'arnaques, explique comment tu fais que je puisse tester et valider.

      0
      1. Decrypt > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Envoi moi l'un des fichiers crypté et je vais essayé de le decrypté.
        Je ne suis pas arnaqueur.
        Salut
        0
      2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Decrypt
         
        Donc expose ta méthode.
        0
      3. Micking > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Ou il exploite des clé de cryptage qu'il a crée ou https://www.nomoreransom.org/decryption-tools.html
        0
      4. hljmb Messages postés 3 Statut Membre > Decrypt
         
        bonjour

        j'ai le même problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter.
        Par avance merci.

        Cordialement
        0
  8. pommezede Messages postés 7 Statut Membre 3
     
    J'étais infecté par vvv (TeslaCrypt) et j'ai tout récupéré via ce programme : https://talosintelligence.com/teslacrypt_tool

    Télécharger Windows binary.
    C'était long au début mais une fois qu'il a généré la clé ça devient beaucoup plus rapide
    1
    1. Helper
       
      Bonsoir,

      Vous pouvez utiliser Kaspersky decryptor ça fonctionne parfaitement et les fichiers perdus peuvent etre recuperees entierement.

      https://noransom.kaspersky.com/
      0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      Tu as des adwares Wajam etc.

      ~~

      Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
      Voici la procédure à suivre pour les supprimer :

      Commence par ceci :

      Suis le tutorial AdwCleaner( d'Xplode )
      Ce programme permet de supprimer les adwares et programmes parasites :
      • Télécharge le sur ton bureau ou dossier de téléchargement.
      • Lance AdwCleaner, clique sur [Scanner].
      • L'analyse peux durer plusieurs minutes, patiente.
      • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
      • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.


      Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
      Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


      Désinstalle Microsoft Security Essentials, c'est une passoire.


      installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
      (Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


      Fais une recherche de fichiers sur how_recover et supprime tout.
      0
    2. hirsute13 Messages postés 3 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Bonjour
      Un grand merci pour votre aide.

      # AdwCleaner v5.025 - Rapport créé le 20/12/2015 à 10:52:16
      # Mis à jour le 13/12/2015 par Xplode
      # Base de données : 2015-12-13.2 [Serveur]
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
      # Nom d'utilisateur : Allouch - ALLOUCH-PC
      # Exécuté depuis : C:\Users\Allouch\Desktop\adwcleaner_5.025.exe
      # Option : Nettoyer
      # Support : https://toolslib.net/forum
              • [ Services ] *****


      [-] Service Supprimé : CltMngSvc
      [-] Service Supprimé : SPPD
              • [ Dossiers ] *****


      [#] Dossier Supprimé : C:\Program Files\SearchProtect
      [-] Dossier Supprimé : C:\Users\Allouch\AppData\Local\SearchProtect
              • [ Fichiers ] *****


      [-] Fichier Supprimé : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
      [-] Fichier Supprimé : C:\windows\AppPatch\nbin\VC32Loader.dll
              • [ DLLs ] *****
              • [ Raccourcis ] *****
              • [ Tâches planifiées ] *****
              • [ Registre ] *****


      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
      [-] Clé Supprimée : HKLM\SOFTWARE\SearchProtect
      [-] Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
              • [ Navigateurs ] *****


      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M397E35FC-C339-42A0-B730-EDCF5173138E&SearchSource=69&CUI=&SSPV=&Lay=1&UM=6&UP=SPD3030455-196F-4E0[...]


      :: Clés "Tracing" supprimées
      :: Paramètres Winsock réinitialisés

      ########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1853 octets] ##########
      0
    3. hirsute13 Messages postés 3 Statut Membre
       
      # AdwCleaner v5.025 - Rapport créé le 20/12/2015 à 10:39:15
      # Mis à jour le 13/12/2015 par Xplode
      # Base de données : 2015-12-13.2 [Serveur]
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
      # Nom d'utilisateur : Allouch - ALLOUCH-PC
      # Exécuté depuis : C:\Users\Allouch\Desktop\adwcleaner_5.025.exe
      # Option : Nettoyer
      # Support : https://toolslib.net/forum
              • [ Services ] *****


      [-] Service Supprimé : CltMngSvc
      [-] Service Supprimé : SPPD
      [-] Service Supprimé : Wajam Web Enhancer
              • [ Dossiers ] *****


      [#] Dossier Supprimé : C:\Program Files\SearchProtect
      [-] Dossier Supprimé : C:\Program Files\WajaWebEnhancer
      [-] Dossier Supprimé : C:\ProgramData\Partner
      [#] Dossier Supprimé : C:\Users\Allouch\AppData\Local\SearchProtect
      [-] Dossier Supprimé : C:\Users\Allouch\AppData\LocalLow\BabylonToolbar
      [-] Dossier Supprimé : C:\Users\Allouch\AppData\Roaming\OpenCandy
      [-] Dossier Supprimé : C:\Users\Allouch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam Web Enhancer
      [-] Dossier Supprimé : C:\windows\system32\config\systemprofile\AppData\Local\SearchProtect
              • [ Fichiers ] *****


      [-] Fichier Supprimé : C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\searchplugins\trovi-search.xml
      [-] Fichier Supprimé : C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\user.js
      [-] Fichier Supprimé : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
      [-] Fichier Supprimé : C:\windows\AppPatch\nbin\VC32Loader.dll
              • [ DLLs ] *****
              • [ Raccourcis ] *****
              • [ Tâches planifiées ] *****
              • [ Registre ] *****


      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledsDB\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}
      [-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\chrome.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
      [-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\firefox.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
      [-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\iexplore.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\3045035B-3C14-4698-8AC4-ADB18CC42C1E
      [-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
      [-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
      [-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
      [-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D637FAD-E202-48D1-8F18-5B9C459BD1E3}
      [-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
      [-] Clé Supprimée : HKCU\Software\InstallCore
      [-] Clé Supprimée : HKCU\Software\Softonic
      [-] Clé Supprimée : HKCU\Software\YahooPartnerToolbar
      [-] Clé Supprimée : HKCU\Software\WajIEnhance
      [-] Clé Supprimée : HKLM\SOFTWARE\SearchProtect
      [-] Clé Supprimée : HKLM\SOFTWARE\Wajam Web Enhancer
      [-] Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam Web Enhancer
      [-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A2D81E70-2A98-4A08-A628-94388B063C5E}
      [-] Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
      [-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
              • [ Navigateurs ] *****


      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M397E35FC-C339-42A0-B730-EDCF5173138E&SearchSource=69&CUI=&SSPV=&Lay=1&UM=6&UP=SPD3030455-196F-4E0[...]
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 8);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.cntry", "FR");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "fr");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.firstRun", false);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.hdrMd5", "4B7A3CB8F9858231F208419CC6808799");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.id", "50e57d1b39684083a3aa04b495d71632");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15159");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.lastActv", "8");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 8);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 59297319);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
      [-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.sid", "50e57d1b39684083a3aa04b495d71632");
      [-] [C:\Users\Allouch\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Supprimé : slirsredirect.search.aol.com
      [-] [C:\Users\Allouch\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Supprimé : search.mywebsearch.com


      :: Clés "Tracing" supprimées
      :: Paramètres Winsock réinitialisés

      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [7501 octets] ##########
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Remplace MSE par Avast!
      Refais un scan FRST et donne les rapports via pjjoint.
      0
    5. wilgaia Messages postés 2 Statut Membre
       
      bonjour tout le monde, y a moyen de recuperer les fichiers (je viens de le faire)
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
    Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
    0
    1. Rackunk
       
      Je suis en pleine saison, donc pas énormément de temps mais je vais essayer de lancer la procédure.

      Je te tiens au courant via ton forum.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Rackunk
       
      Ca semble fontionner chez certains utilisateurs.
      0
    3. Finist0
       
      Bonjour,
      je n'ai pas assez de connaissances en informatique pour résoudre la récupération
      de 1000 fichiers jpeg corrompus en .vvv . Pourriez-vous prendre la main sur mon ordi
      via TeamViewer9, et me délivrer de cet enfer qui me tue depuis plusieurs semaines?
      D'avance merci de votre réponse.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Finist0
       
      Le plus simple serait que tu partages un fichier .pdf.vvv
      0
    5. bonetb64 Messages postés 2 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Bonjour, je me greffe sur votre forum car j'ai été infecté par le même virus. J'ai fait les différentes manip pour supprimer le virus (super tuto!!!) et je me suis lancé dans le décryptage des fichiers. J'ai fait tout ce qui est indiqué mais yafu n'arrive pas à factoriser ma clef, il mouline mouline et après 2 jours commence avec des séries de chiffres infinies... Pouvez-vous me donner un coup de main? Je peux soit vous donner les 2 clefs ou bien vous envoyer un fichier crypté de type pdf.vvv

      Merci d'avance
      0
  10. bonetb64 Messages postés 2 Statut Membre
     
    Rebonjour,

    merci Malekal_morte pour cette réponse rapide.
    Je vais finir par me résigner à penser que je suis une grosse buse! En effet, je viens de télécharger depuis dropbox les fichiers qui vont bien, j'ai lancé instal.bat. Le fichier Teslacrack.bat est bien sur mon bureau, je le lance et puis rien (une fenêtre cmd se lance et se ferme de suite)... J'ai vérifié que les programmes contenus dans SRC sont bien installés (Python, VCF et Pyqt4). Je ne trouve pas le dossier exe dans SRC.
    Et franchement je bloque!

    Encore désolé de te faire perdre ton temps mais si les fichiers cryptés n'étaient pas importants je ne te solliciterais pas.
    0
  11. hljmb Messages postés 3 Statut Membre
     
    Bonjour

    J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

    Cordialement
    0
  12. sinail
     
    Bonjour,

    J'ai un ordinateur infecté par ce virus et souhaiterai pouvoir recupérer les fichiers crypter.

    Voici les fichiers nécessaires d’apres le tuto :

    http://pjjoint.malekal.com/files.php?id=FRST_20160801_e8y14u7w914
    http://pjjoint.malekal.com/files.php?id=20160801_z13j13d914e6
    http://pjjoint.malekal.com/files.php?id=20160801_e15q6r9y6j15

    Je vous remercie d'avance pour votre aide.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu as des .locky
      Ce n'est pas le même ransomware et il n'est plus actif.
      = > Fiche Ransomware Locky/Zepto - tu y trouveras des solutions pour sécuriser ton ordinateur.

      Il n'y a pas de solution pour récupérer les fichiers (sauf sauvegarde).

      ~~

      Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.
      0
    2. Micking
       
      nouvelle variante fichier .thor aie aie aie
      0