Virus/ransomware how recover+tpl [Résolu/Fermé]

Signaler
-
Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016
-
Bonsoir
Pouvez vous m'aider ? je n'arrive plus à ouvrir mes fichiers, quels qu'ils soient.... documents word, photo,musique et quand j'allume l'ordi ou que j'entre dans un dossier, il y toujours une page avec l'inscription how recover+tpl, et quand on l'ouvre, ça donne ça
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://k5fxm4dl35qk323d.justmakeapayment.com/D0D9AAD1D292254A
2. http://hrfdknrmsfw.pestresdfasd.com/D0D9AAD1D292254A
3. http://tsbfdsv.extr6mchf.com/D0D9AAD1D292254A
4. https://o7zeip6us33igmgw.onion.to/D0D9AAD1D292254A

5. https://o7zeip6us33igmgw.tor2web.org/D0D9AAD1D292254A

6. https://o7zeip6us33igmgw.onion.cab/D0D9AAD1D292254A

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: o7zeip6us33igmgw.onion/D0D9AAD1D292254A
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://k5fxm4dl35qk323d.justmakeapayment.com/D0D9AAD1D292254A
http://hrfdknrmsfw.pestresdfasd.com/D0D9AAD1D292254A
http://tsbfdsv.extr6mchf.com/D0D9AAD1D292254A
https://o7zeip6us33igmgw.onion.to/D0D9AAD1D292254A
Your personal page (using TOR-Browser): o7zeip6us33igmgw.onion/D0D9AAD1D292254A
Your personal identification number (if you open the site (or TOR-Browser's) directly): D0D9AAD1D292254A
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

4 réponses

Messages postés
178843
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 juillet 2020
21 412
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.
Il s'agit de la variante TeslaCrypt - extension .vvv.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Salut
Merci, mais comment récupérer mes fichiers, dossiers, photos ?
Messages postés
42804
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
28 mai 2020
3 403 > Manue
Pour tes fichiers ils sont perdus
Voici les liens pour les 3 rapports
Addition http://pjjoint.malekal.com/files.php?id=20151217_w13r5n14b8w12
FRST http://pjjoint.malekal.com/files.php?id=FRST_20151217_q15n9p12v12g5
Shortcut http://pjjoint.malekal.com/files.php?id=20151217_m5j7r15m14v10
Messages postés
178843
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 juillet 2020
21 412
Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


Startup: C:\Users\Manue et Christophe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tpl.html [2015-12-15] ()
Startup: C:\Users\Manue et Christophe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tpl.txt [2015-12-15] ()
2015-12-15 13:02 - 2013-10-08 20:38 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Roaming\zulagames
2015-12-15 13:02 - 2013-10-08 20:38 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Roaming\SpeedAnalysis2
2015-12-15 13:02 - 2013-10-08 20:38 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Roaming\PerformerSoft
2015-12-15 13:02 - 2013-10-08 20:38 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Roaming\Babylon
2015-12-15 13:02 - 2013-10-08 20:38 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Roaming\BabSolution
2015-12-15 12:56 - 2013-10-08 20:43 - 00000000 ____D C:\Users\Manue et Christophe\AppData\Local\Apps\2.0
2015-12-15 12:56 - 2013-10-08 20:38 - 00000000 ____D C:\ProgramData\IBUpdaterService
2015-12-15 12:55 - 2013-10-20 19:31 - 00000000 ____D C:\ProgramData\APN
2015-12-15 12:55 - 2013-10-08 20:38 - 00000000 ____D C:\ProgramData\DSearchLink
2015-12-15 12:55 - 2013-10-08 20:38 - 00000000 ____D C:\ProgramData\Babylon
2015-12-15 12:55 - 2013-06-26 02:16 - 00000000 ____D C:\ProgramData\Ask

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais une recherche de fichiers sur how_recover et supprime tout.
Merci de ton aide
Messages postés
178843
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 juillet 2020
21 412
De rien =)


Sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Messages postés
2
Date d'inscription
mardi 5 janvier 2016
Statut
Membre
Dernière intervention
5 janvier 2016

Bonjour Malekal

j'ai également le même problème que Manue

j'ai fait la même manip que tu as recommande, je t'envoie donc les 3 fichiers

https://a248.e.akamai.net/appnexus.download.akamai.com/89298/adnexus-prod/p/a8/e4/24/9e/a8e4249e59f9dc726abab053a4a335f2.gif

https://pjjoint.malekal.com/files.php?id=FRST_20160105_l67w6o5b11

https://pjjoint.malekal.com/files.php?id=20160105_l14m9e6m10z15

si tu peux m'aider à virer ce virus, je t'en serai extrêmement reconnaissant.

Merci pour ton retour

Cordialement

Aurélien
Messages postés
178843
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 juillet 2020
21 412 >
Messages postés
2
Date d'inscription
mardi 5 janvier 2016
Statut
Membre
Dernière intervention
5 janvier 2016

Salut,

Le ransomware n'est plus actif.



Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC.


Fais une recherche de fichiers sur how_recover et supprime tout.


Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv
Messages postés
2
Date d'inscription
mardi 5 janvier 2016
Statut
Membre
Dernière intervention
5 janvier 2016

super merci
Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016

Bonjour Malekal,

il semble que ce soit une épidémie…
Je te poste les liens des fichiers dans mon prochain post…

Si tu veux bien m'aider également… C'est une plaie ce virus !

Je te remercie par avance

et si jamais par chance tu avais une idée pour récupérer mes fichiers, compta et photos des enfants depuis 2 ans…

Cordialement

Potof
Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016

Merci Malekal,

voici déjà le contenu du fichier .txt créé

je redémarre et t'envoie le fichier quarantaine


Résultats de correction de Farbar Recovery Scan Tool (x64) Version:17-02-2016
Exécuté par yaya (2016-02-18 19:19:44) Run:1
Exécuté depuis C:\Users\yaya\Desktop
Profils chargés: yaya (Profils disponibles: aurélia & yaya)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

HKU\S-1-5-21-48573175-614735997-1471134968-1001\...\Run: [12_23-dst] => C:\Users\yaya\Documents\rpayvhelmttp.exe [638976 2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt [2016-02-17] ()
Startup: C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html [2016-02-17] ()
Startup: C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png [2016-02-17] ()
Startup: C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt [2016-02-17] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html [2016-02-17] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png [2016-02-17] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt [2016-02-17] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.html [2016-02-18] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.png [2016-02-18] ()
Startup: C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.txt [2016-02-18] ()


HKU\S-1-5-21-48573175-614735997-1471134968-1001\Software\Microsoft\Windows\CurrentVersion\Run\\12_23-dst => valeur supprimé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt => déplacé(es) avec succès
C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html => déplacé(es) avec succès
C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png => déplacé(es) avec succès
C:\Users\aurélia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.html => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.png => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+qtaks.txt => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.html => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.png => déplacé(es) avec succès
C:\Users\yaya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+rhwlf.txt => déplacé(es) avec succès

Fin de Fixlog 19:19:44

Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016

"quarantine.zip" uploadé.

Merci encore de ton aide.
Messages postés
178843
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
5 juillet 2020
21 412
Merci =)

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur Recovery+ et supprime les fichiers trouvés.

puis :


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016

Merci Malekal !

Pour mes données, je fais une croix dessus n'est ce pas ?
Messages postés
6
Date d'inscription
jeudi 18 février 2016
Statut
Membre
Dernière intervention
19 février 2016

Malekal,

Saurais-tu me donner le nom du malware qui m'a infecté que je reste à l'affut d'éventuelles solutions à l'avenir qui pourraient m'aider à décrypter mes fichiers...

Je me demandais aussi. En comparant un même fichier avant et après cryptage, n'existe-il pas des logiciels qui permettent de découvrir cette clef ?

En te remerciant