Virus Cryptage RSA-4096

[Résolu/Fermé]
Signaler
-
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,
Il y a 2 jours, j'ai chopé un virus qui a crypté certains de mes fichiers odt, excel, etc. Ce message apparaît:

__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
2. http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
3. http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/DD794A3B478B515B
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://l4rdnvb5jskjb45sdfb.mayofish.com/DD794A3B478B515B
http://hawdahbmfsm4sdf.brinystylo.com/DD794A3B478B515B
http://p47kjndfbj8hsdfsd3e.sifetsere.com/DD794A3B478B515B
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/DD794A3B478B515B
!!! Your personal identification ID: DD794A3B478B515B
--------------------------------------------------------------------------------------------------------

J'ai effecuté un scan avec FRST, voici mes rapports:

http://pjjoint.malekal.com/files.php?id=20160131_x9k14n11d12m6
http://pjjoint.malekal.com/files.php?id=20160131_i15z15q15v7k13
http://pjjoint.malekal.com/files.php?id=FRST_20160131_q6v10v8s10n11

J'aimerais aussi savoir s'il sera possible de récupérer mes fichiers et comment le faire.
Merci de bien vouloir m'apporter un peu d'aide!!


8 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Salut,

Je regarde les rapports, il s'agit de TeslaCrypt.
Merci bien, je reste attentif à tes réponses
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Il y a quelques adwares aussi.


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

~~

A faire sur la session administrateur :
Désinstalle Accelere PC.


~~

Sur la session administrateur

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


 HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Adobe Driver Update] => C:\Users\Samuel\AppData\Local\Temp\adbreader.exe <===== ATTENTION 
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Shgfikgozhqqddlg.exe] => C:\Users\Samuel\AppData\Roaming\Shgfikgozhqqddlg.exe
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [CrashReportChecker] => C:\Users\Samuel\AppData\Local\Temp\temp94841181.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [ConnectionInformer] => C:\Users\Samuel\AppData\Local\Temp\temp105420248.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [NetworkVerifyer] => C:\Users\Samuel\AppData\Local\Temp\temp19966346.exe <===== ATTENTION
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [Owqhics] => C:\Users\Samuel\AppData\Local\Owqhics\TMP6C7.exe [126397 2016-01-29] ()
HKU\S-1-5-21-316268254-610067897-1670988507-1003\...\Run: [srv-2016] => C:\Users\Samuel\AppData\Roaming\poagqhe45.exe
Startup: C:\Users\Samuel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+gkt.txt [2016-01-29] ()
S2 Update focusbase; C:\Program Files (x86)\focusbase\updatefocusbase.exe [X]
S4 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [X]
2016-01-29 22:08 - 2016-01-30 23:34 - 00000000 ____D C:\Users\Samuel\AppData\Local\Owqhics
2016-01-29 22:08 - 2016-01-29 22:08 - 00000254 _____ C:\Users\Samuel\Documents\recover_file_bqaxbpjyo.txt
2016-01-29 22:07 - 2016-01-30 23:02 - 00000000 ___HD C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A}
2016-01-29 22:58 - 2013-09-20 17:26 - 00000000 ____D C:\Users\Samuel\AppData\Roaming\dll-files.com


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
  • Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
  • Lance "AdwCleaner" et clique sur [Scanner],
  • L'analyse va durer plusieurs minutes, patiente,
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
  • Une fois le nettoyage terminé, un rapport va s'ouvrir,
  • Copie/colle le contenu du rapport dans ta prochaine réponse.


Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


Redémarre l'ordinateur.


Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur recover_file et supprime les fichiers trouvés.

Voici le rapport Fixlog de FRST, mais je n'ai pas compris ce que je dois en faire..
http://pjjoint.malekal.com/files.php?id=20160131_h10h11m9u13q5
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
ok fais la suite =)
Le rapport est assez long...
http://pjjoint.malekal.com/files.php?id=20160131_k10f13z15n9k15
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
oui y a pas mal de merdouilles.
Tu as bien fait nettoyer ?
Yep, et maintenant?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
C'est normalement bon.

Pour les restes :

Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

http://pjjoint.malekal.com/files.php?id=20160131_g6c7r9s10e11
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
c'est bon, plus actif,

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Un nouveau ransomware est apparu récemment qui reprend les mêmes messages RSA-4096 (ils utilisent le même message que le ransomware TeslaCrypt).
L'extension des documents chiffrés est modifée en .crypt - ATTENTION cette famille vole les mots de passe contenu sur l'ordinateur.
> Ransomware RSA 4096 - extension .crypt
Ce dernier va par des Web Exploit - Maintenez vos logiciels à jour.

Pendant ce temps là, TeslaCrypt continue ses campagnes malicieuses.
L'extension est modifiée en .jpg, ça change tous les 15 du mois en général.
> Mails Malicieux TeslaCrypt.

et le dossier sur les ransomwres : Ransomwares / Rançongiciels.

Soyez vigilant.

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
FAQ concernant le Virus RSA-4096 ajoutée.