Ransomware extension .micro

Fermé
Aurel - 26 janv. 2016 à 18:50
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mai 2016 à 22:26
Bonjour,
je ne sais pas si le sujet a déjà été ouvert, si c'est le cas je m'en excuse...
Je rencontre un souci sur un PC fixe sous Windows 7 Pro x32, le souci étant que j'ai tous mes fichiers jpeg, docx, pdf etc... qui ont une extension en .micro et il m'est donc impossible de les ouvrir (même en supprimant l'extension). J'ai farfouillé sur divers forums et je sais que c'est un ransomware qui crypte les fichiers afin de les rendre illisibles (que ce soit en local, sur un groupe de travail ou même sur un support externe).
J'ai déjà exécuté diverses analyses : Malwarebytes, Hitman pro et Eset NOD32 Scanner mais sans succès...
J'ai donc terminé par lancer une analyse avec le programme FRST qui m'a donné 2 rapports au format .txt que je vous transmet si jamais cela peut aider.
http://pjjoint.malekal.com/files.php?id=FRST_20160126_i6w12l8n5p9
http://pjjoint.malekal.com/files.php?id=20160126_t15t6l9s12y15
Merci d'avance pour vos réponses,
Cordialement.


A voir également:

3 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
18 mai 2016 à 22:26
Il est maintenant possible de récupérer les fichiers TeslaCrypt toute variantes confondus :

Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 janv. 2016 à 20:56
Salut

je regarde cela.

--
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 janv. 2016 à 21:21
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.


il n'est plus actif.

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur help_recover_instructions et supprime les fichiers trouvés.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
26 janv. 2016 à 21:36
salut , et le super topic que tu as fait sur ton site serait pas fonctionnel pour ca ?

à savoir : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022
26 janv. 2016 à 21:37
non ça marche que pour les .vvv
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
Modifié par g3n-h@ckm@n le 26/01/2016 à 21:40
ben suivant les commentaires en bas du topic , apparemment , ca fonctionne pour d'autres extensions en modifiant chépukel fichier avec extension .py, donc je me disais.....
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022
26 janv. 2016 à 22:24
C'est juste que le script prend par défaut les .vvv et cherche cette extension mais ça n'a rien à voir.
Comme d'hab ils regardent ce qu'on fait et corrige en conséquence.

Avant la clef publique étant en clair en début de fichier, par une attaque de factorisation, il était possible d'avoir la clef privée.

Maintenant la clef publique n'est plus lisible.
0
Merci pour vos réponses :) je vais tout copier de coté, si des fois une solution se présente. Bonne soirée à vous
0