Fichiers encryptés RSA

Résolu/Fermé
DavySim
Messages postés
4
Date d'inscription
mercredi 17 février 2016
Statut
Membre
Dernière intervention
17 février 2016
- 17 févr. 2016 à 21:32
Malekal_morte-
Messages postés
180243
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
- 17 févr. 2016 à 23:39
Bonjour à toutes et tous,
J'ai un gros soucis sur mon ordinateur, tous mes fichiers ont été renommés et je ne peux plus les ouvrir.
Lorsque je redémarre mon PC j'ai une page web et un bloc note qui s'ouvrent automatiquement m'indiquant que "tous mes fichiers ont été encryptés avec RSA"... Plus tout un laïus m'expliquant ce qui s'est passé, ce que ça veut dire, comment c'est arrivé, etc...
Le tout dans un anglais impeccable...
Ensuite on me demande d'installer tor-browser puis de rentrer une clé, ...
Je retrouve dans tous les dossiers et sous dossiers de mon PC systématiquement les mêmes fichiers :
Recovery+cnygv.html
Recovery+cnygv.png
Recovery+cnygv.txt

J'ai fait une analyse MalewereByte qui a mis quelque chose comme 722 fichiers en quarantaine, dans laquelle je retrouve mes fameux fichiers recovery+cnygv.html, png et txt.

Un grand merci d'avance à celle ou celui qui me viendra en aide car je ne sais vraiment plus quoi faire.

Davy.

6 réponses

Malekal_morte-
Messages postés
180243
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 565
17 févr. 2016 à 21:43
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.

0
DavySim
Messages postés
4
Date d'inscription
mercredi 17 février 2016
Statut
Membre
Dernière intervention
17 février 2016

17 févr. 2016 à 22:25
Salut,
Tout d'abord un grand merci de t'occuper de mon problème je suis un peu en panique car pas un pro de l'informatique. Mais tes instructions sont très bien détaillées c'est le top.
Et donc voici les fichiers générés :
Addition.txt :
https://pjjoint.malekal.com/files.php?id=20160217_r8r9y9n13h12

FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160217_s9v7w6q11d13

Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20160217_s10o14h99i11

Encore merci de ton aide
Davy
0
Malekal_morte-
Messages postés
180243
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 565
17 févr. 2016 à 22:44
Le ransomware n'est plus actif.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt [2016-02-17] ()
2016-02-17 17:16 - 2013-07-18 18:53 - 00000000 ___HD C:\Users\Davy\AppData\Local\IngKl3W2b
2016-02-17 17:16 - 2012-10-24 08:18 - 00000000 ___HD C:\Users\Davy\AppData\Local\9rR1UCVUBQ49xL
2016-02-17 17:17 - 2015-02-16 15:00 - 00000000 ____D C:\Users\Davy\AppData\Roaming\E6323DC0-1424095226-11D3-A305-7824AF8FB08B
2016-02-17 17:17 - 2015-02-16 14:49 - 00000000 ____D C:\Users\Davy\AppData\Roaming\WTools



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur Recovery+cnygv et supprime les fichiers trouvés.


0
DavySim
Messages postés
4
Date d'inscription
mercredi 17 février 2016
Statut
Membre
Dernière intervention
17 février 2016

17 févr. 2016 à 23:14
Voici le rapport FRST :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:17-02-2016
Exécuté par Davy (2016-02-17 23:10:39) Run:1
Exécuté depuis C:\Users\Davy\Desktop
Profils chargés: Davy (Profils disponibles: Davy)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png [2016-02-17] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png [2016-02-17] ()
Startup: C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt [2016-02-17] ()
2016-02-17 17:16 - 2013-07-18 18:53 - 00000000 ___HD C:\Users\Davy\AppData\Local\IngKl3W2b
2016-02-17 17:16 - 2012-10-24 08:18 - 00000000 ___HD C:\Users\Davy\AppData\Local\9rR1UCVUBQ49xL
2016-02-17 17:17 - 2015-02-16 15:00 - 00000000 ____D C:\Users\Davy\AppData\Roaming\E6323DC0-1424095226-11D3-A305-7824AF8FB08B
2016-02-17 17:17 - 2015-02-16 14:49 - 00000000 ____D C:\Users\Davy\AppData\Roaming\WTools


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt => déplacé(es) avec succès
C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.html => déplacé(es) avec succès
C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.png => déplacé(es) avec succès
C:\Users\Davy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Recovery+cnygv.txt => déplacé(es) avec succès
C:\Users\Davy\AppData\Local\IngKl3W2b => déplacé(es) avec succès
C:\Users\Davy\AppData\Local\9rR1UCVUBQ49xL => déplacé(es) avec succès
C:\Users\Davy\AppData\Roaming\E6323DC0-1424095226-11D3-A305-7824AF8FB08B => déplacé(es) avec succès
C:\Users\Davy\AppData\Roaming\WTools => déplacé(es) avec succès

Fin de Fixlog 23:10:40

Tu dis que le ransomware n'est plus actif, ce qui est déjà une grande nouvelle... Est-ce que j'ai perdu tous mes fichiers (j'ai une sauvegarde ce n'est pas très grave c'est juste pour savoir vu le bazar que ça a mis partout...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte-
Messages postés
180243
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 565
17 févr. 2016 à 23:23
oui c'est pas récupérable. Faut remettre la sauvegarde.


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

0
DavySim
Messages postés
4
Date d'inscription
mercredi 17 février 2016
Statut
Membre
Dernière intervention
17 février 2016

17 févr. 2016 à 23:37
Je te remercie beaucoup en tout cas de ton efficacité et ta précision.
Je vais étudier le lien que tu viens de m'envoyer et restaurer mes sauvegardes... Après avoir fait le ménage :)

Encore merci beaucoup de ton temps et ta patience.
Davy
0
Malekal_morte-
Messages postés
180243
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 565
17 févr. 2016 à 23:39
De rien =)
0