Virus Cryptage RSA-4096
Résolu
Futureexx
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Il y a 2 jours, j'ai chopé un virus qui a crypté certains de mes fichiers odt, excel, etc. Ce message apparaît:
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
2. http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
3. http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/DD794A3B478B515B
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/DD794A3B478B515B
!!! Your personal identification ID: DD794A3B478B515B
--------------------------------------------------------------------------------------------------------
J'ai effecuté un scan avec FRST, voici mes rapports:
http://pjjoint.malekal.com/files.php?id=20160131_x9k14n11d12m6
http://pjjoint.malekal.com/files.php?id=20160131_i15z15q15v7k13
http://pjjoint.malekal.com/files.php?id=FRST_20160131_q6v10v8s10n11
J'aimerais aussi savoir s'il sera possible de récupérer mes fichiers et comment le faire.
Merci de bien vouloir m'apporter un peu d'aide!!
Il y a 2 jours, j'ai chopé un virus qui a crypté certains de mes fichiers odt, excel, etc. Ce message apparaît:
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
2. http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
3. http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/DD794A3B478B515B
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/DD794A3B478B515B
!!! Your personal identification ID: DD794A3B478B515B
--------------------------------------------------------------------------------------------------------
J'ai effecuté un scan avec FRST, voici mes rapports:
http://pjjoint.malekal.com/files.php?id=20160131_x9k14n11d12m6
http://pjjoint.malekal.com/files.php?id=20160131_i15z15q15v7k13
http://pjjoint.malekal.com/files.php?id=FRST_20160131_q6v10v8s10n11
J'aimerais aussi savoir s'il sera possible de récupérer mes fichiers et comment le faire.
Merci de bien vouloir m'apporter un peu d'aide!!
A voir également:
- Virus Cryptage RSA-4096
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- 4096 mo en go ✓ - Forum Windows
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
8 réponses
Salut,
Je regarde les rapports, il s'agit de TeslaCrypt.
Je regarde les rapports, il s'agit de TeslaCrypt.
Futureexx
Merci bien, je reste attentif à tes réponses
Il y a quelques adwares aussi.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
A faire sur la session administrateur :
Désinstalle Accelere PC.
~~
Sur la session administrateur
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur recover_file et supprime les fichiers trouvés.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
A faire sur la session administrateur :
Désinstalle Accelere PC.
~~
Sur la session administrateur
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Adobe Driver Update] => C:\Users\Samuel\AppData\Local\Temp\adbreader.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Shgfikgozhqqddlg.exe] => C:\Users\Samuel\AppData\Roaming\Shgfikgozhqqddlg.exe
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [CrashReportChecker] => C:\Users\Samuel\AppData\Local\Temp\temp94841181.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [ConnectionInformer] => C:\Users\Samuel\AppData\Local\Temp\temp105420248.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [NetworkVerifyer] => C:\Users\Samuel\AppData\Local\Temp\temp19966346.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Owqhics] => C:\Users\Samuel\AppData\Local\Owqhics\TMP6C7.exe [126397 2016-01-29] ()
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [srv-2016] => C:\Users\Samuel\AppData\Roaming\poagqhe45.exe
Startup: C:\Users\Samuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+gkt.txt [2016-01-29] ()
S2 Update focusbase; C:\Program Files (x86)\focusbase\updatefocusbase.exe [X]
S4 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [X]
2016-01-29 22:08 - 2016-01-30 23:34 - 00000000 ____D C:\Users\Samuel\AppData\Local\Owqhics
2016-01-29 22:08 - 2016-01-29 22:08 - 00000254 _____ C:\Users\Samuel\Documents\recover_file_bqaxbpjyo.txt
2016-01-29 22:07 - 2016-01-30 23:02 - 00000000 ___HD C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
2016-01-29 22:58 - 2013-09-20 17:26 - 00000000 ____D C:\Users\Samuel\AppData\Roaming\dll-files.com
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
- Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
- Lance "AdwCleaner" et clique sur [Scanner],
- L'analyse va durer plusieurs minutes, patiente,
- Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
- Une fois le nettoyage terminé, un rapport va s'ouvrir,
- Copie/colle le contenu du rapport dans ta prochaine réponse.
Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur recover_file et supprime les fichiers trouvés.
Voici le rapport Fixlog de FRST, mais je n'ai pas compris ce que je dois en faire..
http://pjjoint.malekal.com/files.php?id=20160131_h10h11m9u13q5
http://pjjoint.malekal.com/files.php?id=20160131_h10h11m9u13q5
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
C'est normalement bon.
Pour les restes :
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Pour les restes :
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
- Tutoriel MBAM version gratuite
- Tutoriel MBAM version payante
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Un nouveau ransomware est apparu récemment qui reprend les mêmes messages RSA-4096 (ils utilisent le même message que le ransomware TeslaCrypt).
L'extension des documents chiffrés est modifée en .crypt - ATTENTION cette famille vole les mots de passe contenu sur l'ordinateur.
> Ransomware RSA 4096 - extension .crypt
Ce dernier va par des Web Exploit - Maintenez vos logiciels à jour.
Pendant ce temps là, TeslaCrypt continue ses campagnes malicieuses.
L'extension est modifiée en .jpg, ça change tous les 15 du mois en général.
> Mails Malicieux TeslaCrypt.
et le dossier sur les ransomwres : Ransomwares / Rançongiciels.
Soyez vigilant.
Veuillez appuyer sur une touche pour continuer la désinfection...
L'extension des documents chiffrés est modifée en .crypt - ATTENTION cette famille vole les mots de passe contenu sur l'ordinateur.
> Ransomware RSA 4096 - extension .crypt
Ce dernier va par des Web Exploit - Maintenez vos logiciels à jour.
Pendant ce temps là, TeslaCrypt continue ses campagnes malicieuses.
L'extension est modifiée en .jpg, ça change tous les 15 du mois en général.
> Mails Malicieux TeslaCrypt.
et le dossier sur les ransomwres : Ransomwares / Rançongiciels.
Soyez vigilant.
Veuillez appuyer sur une touche pour continuer la désinfection...
