Une autre infection par .VVV

Fermé
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016 - 16 janv. 2016 à 11:09
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016 - 21 janv. 2016 à 18:53
Bonjour,

je constate malheureusement que nous sommes nombreux à galérer depuis décembre avec des ordis bloqués par des ransomware. Le mien après une première désinstallation manuelle, le mois dernier, de "recover_bmq" qui rajoute 2 fichiers ds chaque dossier de votre ordi, me voilà bloqué avec tous mes fichiers pollués par extension .VVV.


si qqun peux m'aider, merci par avance.

Je poste les 3 fichiers donnés par FRST, conformément aux conseils de Malekal.

https://pjjoint.malekal.com/files.php?id=FRST_20160116_o1010u12n11b11

https://pjjoint.malekal.com/files.php?id=20160116_p14o7b11r6w13

https://pjjoint.malekal.com/files.php?id=20160116_6i15u14r5n11



13 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 11:11
Salut,

Je regarde cela.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 11:13
il n'est plus actif.

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Pour la récupération des documents, suis la procédure donnée sur ce sujet : Récupération des fichiers .vvv
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
16 janv. 2016 à 11:19
Merci Malakal, de cette réactivité. C'est la première fois que j'utilise un forum et ma foi... super

Donc le ransomware n'est plus actif et il me rest à suivre ton lien pour tenter de récupérer mes fichiers.

J'Y vais.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 12:22
tout à fait.
0
Help Malekal,

Je suis bloqué à l'étape d'obtention des clés ds ma tentative de récupération des fichiers infectés par .vvv


C:\Users\Shaazam\Desktop\TeslaCrack-master>python teslacrack.py
Cannot decrypt ./Guide managers PDV 2Þme partie.pdf.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
using msieve:
Traceback (most recent call last):
File "teslacrack.py", line 111, in <module>
main(sys.argv[1:])
File "teslacrack.py", line 105, in main
print(key.decode() + " found in " + unknown_keys[key])
UnicodeDecodeError: 'ascii' codec can't decode byte 0xe8 in position 22: ordinal
not in range(128)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 14:13
change le nom du pdf pour avoir un truc plus simple sans espace et caractère spéciaux
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
16 janv. 2016 à 15:09
Ok, c'est fait
mais tu sembles peut-être donner de trop bons conseils ds tes tutos...
Le mien a décroché et ton site n'est plus accessible...
Serais-tu victime à ton tour?

Reviens...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 15:11
Ca fait quoi ?
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
16 janv. 2016 à 15:41
c'est reparti
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
16 janv. 2016 à 16:49
Bon , j'ai suivi ton tuto et Yafu après 20 mn passe en défilement continu de ligne de chiffres précédées ou non par save:parfois....

je vais donc essayer le second msieve
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
16 janv. 2016 à 16:58
Ca peut passer en mode nfs ensuite pour factoriser.
Mais faut avoir installer le pack comme expliqué là : https://forum.malekal.com/viewtopic.php?t=53866&start=
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
16 janv. 2016 à 17:24
Désolé je n'ai pas fait d'études informatiques, même si je suis curieux de toutes choses et essaie toujours, mais là après 4 h passées derrière ce PC, j'ai qq brumes ds mon petit cerveau et je reprendrai tes conseils et au besoin ton contact demain, pour voir si enfin j'arrive à récupérer ces fichus dossiers.
Encore merci de ton aide et de cette initiation.
Bonne soirée
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
16 janv. 2016 à 17:12
Alors j'ai télécharger msieve152, l'ai extrait ds le dossier TeslaCrack-master. j'ai du rajouter pthreadgc2.dll qui était absent.
lancé en cmd et voilà le résultat après 3 tentatives:
Microsoft Windows [version 6.0.6000]
Copyright (c) 2006 Microsoft Corporation. Tous droits réservés.

C:\Users\Shaazam>Desktop\TeslaCrack-master\msieve.exe -v -e 0x0BA4AC65CD621820F1
AC95295EBBE0CF35B0C16281CAFCBF44B7E8F7F1FBC9A667E7C690DDAD5432EFABFC6EE68B95033A
A35E5F843FD6FD9BA25E368C2BFF8A
'Desktop\TeslaCrack-master\msieve.exe' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.

C:\Users\Shaazam>
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 janv. 2016 à 12:44
La clef c'est ça, tu confirmes ?

0x0BA4AC65CD621820F1AC95295EBBE0CF35B0C16281CAFCBF44B7E8F7F1FBC9A667E7C690DDAD5432EFABFC6EE68B95033AA35E5F843FD6FD9BA25E368C2BFF8A
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
17 janv. 2016 à 15:15
bonjour Malekal,
Oui cela semble être la clé sortie pour la procédure avec msieve.
0BA4AC65CD621820F1AC95295EBBE0CF35B0C16281CAFCBF44B7E8F7F1FBC9A667E7C690DDAD5432EFABFC6EE68B95033AA35E5F843FD6FD9BA25E368C2BFF8
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
17 janv. 2016 à 18:46
ok je viens de lancer, je te tiens au courant, ça va prendre quelques heures ou jour.
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
17 janv. 2016 à 20:37
Merci,

j,ai fait de même, mais je ne suis pas sûr d'avoir respecter exactement la procédure. En tous cas, cela tourne depuis 3h. C'en est là:


01/17/16 16:27:47 v1.34.5 @ PC-DE-SHAAZAM, System/Build Info:
Using GMP-ECM 7.0-dev, Powered by MPIR 2.6.0
detected Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
detected L1 = 32768 bytes, L2 = 4194304 bytes, CL = 64 bytes
measured cpu frequency ~= 2399.219730
using 20 random witnesses for Rabin-Miller PRP checks

===============================================================
======= Welcome to YAFU (Yet Another Factoring Utility) =======
======= bbuhrow@gmail.com =======
======= Type help at any time, or quit to quit =======
===============================================================
cached 78498 primes. pmax = 999983


>> factor(0x0BA4AC65CD621820F1AC95295EBBE0CF35B0C16281CAFCBF44B7E8F7F1FBC9A667E7
C690DDAD5432EFABFC6EE68B95033AA35E5F843FD6FD9BA25E368C2BFF8)

fac: factoring 38112923459621116061451933810412202408814781076030785298353187355
15088800939412320558327169917304148208443168410185704432663619788636464482219257
6708600
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
rho: x^2 + 3, starting 1000 iterations on C147
rho: x^2 + 2, starting 1000 iterations on C147
rho: x^2 + 1, starting 1000 iterations on C147
pm1: starting B1 = 150K, B2 = gmp-ecm default on C147
ecm: 30/30 curves on C138, B1=2K, B2=gmp-ecm default
ecm: 74/74 curves on C138, B1=11K, B2=gmp-ecm default
ecm: 214/214 curves on C138, B1=50K, B2=gmp-ecm default, ETA: 1 sec
pm1: starting B1 = 3750K, B2 = gmp-ecm default on C138
ecm: 430/430 curves on C138, B1=250K, B2=gmp-ecm default, ETA: 5 sec
pm1: starting B1 = 15M, B2 = gmp-ecm default on C138
ecm: 603/904 curves on C138, B1=1M, B2=gmp-ecm default, ETA: 1.70 hrs

Bonne soirée.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
18 janv. 2016 à 09:25
Si c'est bon enfin pour le moment, car si tu as pas pris le zip msieve.zip que j'ai mis sur le forum, ça ne passera pas à l'étape suivante.
Ta clef est longue à factoriser.
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
18 janv. 2016 à 19:36
Bonsoir Malekal,

Bon voilà où cela en est, ce soir.


01/17/16 16:27:47 v1.34.5 @ PC-DE-SHAAZAM, System/Build Info:
Using GMP-ECM 7.0-dev, Powered by MPIR 2.6.0
detected Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz
detected L1 = 32768 bytes, L2 = 4194304 bytes, CL = 64 bytes
measured cpu frequency ~= 2399.219730
using 20 random witnesses for Rabin-Miller PRP checks

===============================================================
======= Welcome to YAFU (Yet Another Factoring Utility) =======
======= bbuhrow@gmail.com =======
======= Type help at any time, or quit to quit =======
===============================================================
cached 78498 primes. pmax = 999983


>> factor(0x0BA4AC65CD621820F1AC95295EBBE0CF35B0C16281CAFCBF44B7E8F7F1FBC9A667E7
C690DDAD5432EFABFC6EE68B95033AA35E5F843FD6FD9BA25E368C2BFF8)

fac: factoring 38112923459621116061451933810412202408814781076030785298353187355
15088800939412320558327169917304148208443168410185704432663619788636464482219257
6708600
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
rho: x^2 + 3, starting 1000 iterations on C147
rho: x^2 + 2, starting 1000 iterations on C147
rho: x^2 + 1, starting 1000 iterations on C147
pm1: starting B1 = 150K, B2 = gmp-ecm default on C147
ecm: 30/30 curves on C138, B1=2K, B2=gmp-ecm default
ecm: 74/74 curves on C138, B1=11K, B2=gmp-ecm default
ecm: 214/214 curves on C138, B1=50K, B2=gmp-ecm default, ETA: 1 sec
pm1: starting B1 = 3750K, B2 = gmp-ecm default on C138
ecm: 430/430 curves on C138, B1=250K, B2=gmp-ecm default, ETA: 5 sec
pm1: starting B1 = 15M, B2 = gmp-ecm default on C138
ecm: 904/904 curves on C138, B1=1M, B2=gmp-ecm default, ETA: 21 sec
ecm: 1373/2350 curves on C138, B1=3M, B2=gmp-ecm default, ETA: 15.05 hrs
Qu'en penses-tu?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
18 janv. 2016 à 20:30
tu as une clef C138 donc c'est long !
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
18 janv. 2016 à 21:00
Espérons qu'il n'y ait pas une coupure de courant intempestive d'ici la fin...

Bonne soirée.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 19/01/2016 à 12:44
la vache, la prochaine chez moi est annoncée à 80 heures \o/
0
Bonsoir Malekal,
combien de tours encore, d'après toi?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
20 janv. 2016 à 09:43
Je sais pas, c'est difficile à dire, après il y aura surement le défilement des chiffres etc
mais la dernière fois que j'ai fait une clef aussi longue, ça a planté :/
0
SHAAZAM Messages postés 12 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 21 janvier 2016
21 janv. 2016 à 18:53
Bonsoir Malekal,
Dans la série maraboutage, un de mes enfants a fermé la fenêtre d'écriture commande et donc.... tout ce qui était lancé depuis 3 jours est HS, je suppose?
Que me conseilles-tu?

Merci de ton aide.
0