problème d'extension.vvvRésolu/Fermé

Question

Bonjour, 



j'ai rencontré le problème d'infection du virus qui transforme toutes les extensions de mes fichiers en .vvv
j'ai suivi la procédure indiquée et voici les liens des 3 fichiers :

https://pjjoint.malekal.com/files.php?id=FRST_20160109_d13h5l6u8o10
 https://pjjoint.malekal.com/files.php?id=20160109_k12g6c8b15c14
 https://pjjoint.malekal.com/files.php?id=20160109_d14w5g12h13g14
j'espère que vous pourrez m'aider et je vous en remercie d'avance

Malekal_morte- · Answer

Salut,



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

HKU\S-1-5-21-1801674531-842925246-725345543-500\...\Run: [santa_svc] => C:\Documents and Settings\Administrateur\Application Data\kdtfsacroic.exe
 C:\Documents and Settings\Administrateur\Application Data\kdtfsacroic.exe

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

tine26 · Answer

tout d'abord je te remercie pour ta réponse si rapide !
j'ai fais la manip et voici le texte qui est apparu

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:09-01-2015
Exécuté par Administrateur (2016-01-09 17:35:41) Run:1
Exécuté depuis C:\Documents and Settings\Administrateur\Bureau
Profils chargés: Administrateur (Profils disponibles: Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:


HKU\S-1-5-21-1801674531-842925246-725345543-500\...\Run: [santa_svc] => C:\Documents and Settings\Administrateur\Application Data\kdtfsacroic.exe 
C:\Documents and Settings\Administrateur\Application Data\kdtfsacroic.exe



HKU\S-1-5-21-1801674531-842925246-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\santa_svc => valeur supprimé(es) avec succès
"C:\Documents and Settings\Administrateur\Application Data\kdtfsacroic.exe" => non trouvé(e).
 Fin de Fixlog 17:35:41

Malekal_morte- · Answer

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Tu es sur un XP donc à sécuriser, c'est pas simple, vu qu'il n'y a plus de mises à jour de sécurité.

La récupération des documents est possible pour ce ransomware : Ransomware TeslaDecrypt  : Récupérer les fichiers en extensions .vvv.

tine26 · Answer

bonsoir, je viens de passer quelques heures.... pour essayer la procédure indiquer sur le site https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
je bloque à un endroit : je ne comprends pas cette indication : 
cd %userprofile%\Desktop\TeslaCrack-master
python teslacrack.py
j'ai ouvert cmd.exe et j'ai tapé la commande Desktop\TeslaCrack-master>
python teslacrack.py mais l'ordi m'indique : le chemin d'accès spécifié est introuvable
pouvez-vous m'aider
merci !!

Malekal_morte- · Answer

bon :

C:\Users\VincentPC\Desktop\TeslaCrack-master>python teslacrack.py justificatif1.
pdf.vvv
Cannot decrypt justificatif1.pdf.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
 using msieve:
19AE16567ADAB493F7A48D7D4FA76FF62302B99F16A72300535B495E2F3F01E6D6C856A9F74F4DC1
B2FA68FEB1601076F114C90A149C02FD0914120C53A5D67F found in justificatif1.pdf.vvv
Alternatively, you can crack the following Bitcoin key(s) using msieve, and use
them with TeslaDecoder:
449203D12AB542395A4374DE4501DC1D8FA47CA38A9F7A71873D7B3F07460E6116DEDA605CA927E8
20E60838FDC1140324DF9B5856BC55F7ABC566821C5E9C52 found in justificatif1.pdf.vvv 


J'ai déjà une factorisation en cours, je la lance ce soir, ce sera surement fait pour demain, si la clef n'est pas trop complexe.

Malekal_morte- · Answer

voila :

C:\Users\VincentPC\Desktop\TeslaCrack-master>python unfactor_ecdsa.py justificatif1.pdf.vvv 5 5 5 19 24481643 3904051142808181 6462182215511500706476283999813 2253442209269695147152455673244773227 406881567595091193470587688381498005982608718214926790572297Found AES private key: b'\x42\xb9\xfa\x58\x48\x98\x7a\xba\x56\x46\xff\x27\x89\xe8\x70\x88\xf6\x79\x7a\xbe\x00\xf0\x4a\x23\x7d\x74\x06\x8d\x52\x7f\x0b\x27' (42B9FA5848987ABA5646FF2789E87088F6797ABE00F04A237D74068D527F0B27)

tine26 · Answer

bonsoir,
j'ai fais 1 copier/coller de ce que tu m'as envoyé mais malheureusement le script écrit 'Found' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commande 

merci de me donner des indications pour que je puisse poursuivre

Malekal_morte- · Answer

pour édite le fichier, clic droit / Python IDE
ça ouvre un éditeur,

sinon tente cette méthode :

telecharges tesladecoder puis suit la manip indiquée .
- télécharger TeslaDecoder ici : https://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
- le dézippper puis lancer TeslaDecoder.exe en mode administrateur (clic droit puis "Exécuter en tant qu'administrateur").
- cliquer sur le bouton "Set Key".
- dans le champ "Key (hex)", coller la clé privée : 
19AE16567ADAB493F7A48D7D4FA76FF62302B99F16A72300535B495E2F3F01E6D6C856A9F74F4DC1
- dans le champ "Extension", choisir .vvv 
- valider en cliquant sur le bouton "Set Key",
- choisir soit "Decrypt Folder" (pour un dossier), soit "Decrypt All" (pour tout).

Problème d'extension.vvv

8 réponses

Fin de Fixlog 17:35:41

Newsletters