Virus cryptage PC

Résolu
titou337 Messages postés 8572 Date d'inscription   Statut Contributeur Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Mon frère a chopé un virus sur le PC familial qui crypte des fichiers. Une page internet s'est affichée qui d'après lui serait CTB-Locker.

Quelques jours avant il m'a dit qu'après avoir fait le ménage sur le HDD celui ci s'est re-rempli tout seul.

Merci d'avance de votre aide,

titou
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
salut

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

--
1
titou337
 
Merci, voici les rapports :


Les liens ne fonctionnent pas Hors Ligne... Les rapports viennent d'être cryptés, je recommence.

PS, le message qui s'affiche est celui ci : 

 __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!  

NOT YOUR LANGUAGE? USE https://translate.google.com 

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://akdfrefdkm45tf33fsdfsdf.yamenswash.com/9B11EE57B568D9F
2. http://p4fhmjnsdfbm4w4fdsc.avowvoice.com/9B11EE57B568D9F
3. http://nn54djhfnrnm4dnjnerfsd.replylaten.at/9B11EE57B568D9F
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 
2. After a successful installation, run the browser and wait for initialization
3. Type in the address bar: fwgrhsao3aoml7ej.onion/9B11EE57B568D9F 
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://akdfrefdkm45tf33fsdfsdf.yamenswash.com/9B11EE57B568D9F
http://p4fhmjnsdfbm4w4fdsc.avowvoice.com/9B11EE57B568D9F
http://nn54djhfnrnm4dnjnerfsd.replylaten.at/9B11EE57B568D9F 
!!! Your personal page Tor-Browser: fwgrhsao3aoml7ej.onion/9B11EE57B568D9F 
!!! Your personal identification ID: 9B11EE57B568D9F
0
titou337 > titou337
 
du coup ->
http://pjjoint.malekal.com/files.php?id=20160214_v7y8x14f8d12
http://pjjoint.malekal.com/files.php?id=FRST_20160214_q12q13b9u8x5
http://pjjoint.malekal.com/files.php?id=20160214_p9p13j15t10v11
0
Réponse 2 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok donc extension .mp3
c'était mort pour récupérer les fichiers.

Pour ne pas réinfecter ton ordinateur :

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
il s'agit de TeslaCrypt.


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

~~

Envoie C:\Users\Utilisateur\Documents\ueqmsewuj.exe
sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


 HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\...\Run: [addon_v57] => C:\Users\Utilisateur\Documents\ueqmsewuj.exe [606208 2016-02-14] ()
C:\Users\Utilisateur\Documents\ueqmsewuj.exe
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM [2016-02-14] () 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG [2016-02-14] () 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT [2016-02-14] () 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM [2016-02-14] () 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG [2016-02-14] () 
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT [2016-02-14] ()  
 2016-02-14 13:48 - 2013-01-15 18:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 
 2016-02-14 18:10 - 2010-08-18 10:54 - 00000000 ____D C:\Users\Utilisateur\AppData\Local\76561198022326057



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur RECOVER+qsukw et supprime les fichiers trouvés.


0
titou337
 
Résultats de correction de Farbar Recovery Scan Tool (x86) Version:07-02-2016
Exécuté par Utilisateur (2016-02-14 19:11:01) Run:1
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Juju & UpdatusUser & Rambo & Provisoire)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\...\Run: [addon_v57] => C:\Users\Utilisateur\Documents\ueqmsewuj.exe [606208 2016-02-14] ()
C:\Users\Utilisateur\Documents\ueqmsewuj.exe
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT [2016-02-14] ()
2016-02-14 13:48 - 2013-01-15 18:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-02-14 18:10 - 2010-08-18 10:54 - 00000000 ____D C:\Users\Utilisateur\AppData\Local\76561198022326057


HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\Software\Microsoft\Windows\CurrentVersion\Run\\addon_v57 => valeur non trouvé(e).
"C:\Users\Utilisateur\Documents\ueqmsewuj.exe" => non trouvé(e).
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT => déplacé(es) avec succès
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\76561198022326057 => déplacé(es) avec succès

Fin de Fixlog 19:11:11

0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
voila fais le reste.

Les documents chiffrés sont avec l'extension .micro ?
0
titou337 Messages postés 8572 Date d'inscription   Statut Contributeur Dernière intervention   1 894
 
Merci de nous avoir aidé, les fichiers étaient en .mp3 ou .mp4.

J'ai décidé de réinstaller Windows quitte à tout perdre.

Comment éviter ça a l'avenir ?
0