Ransomware cryptage RSA-4096 Résolu/Fermé

Question

Bonjour, 

on m'a confié un Toshiba Satellite C660-2RP, Win 7x64 ayant attrapé un virus cryptant les fichiers et délivrant le message ci-dessous

Quelqu'un aurait-il la gentillesse de me guider dans la désinfection, s'il vous plait ?
De ce que j'ai lu la récupération des fichiers cryptés n'est pas possible il me semble.


 __!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!  

NOT YOUR LANGUAGE? USE https://translate.google.com 

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
2. http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
3. http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
4. https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45 
5. https://t7r67vsrpjcm5dfc.tor2web.org/9A71C1F38835D45 
6. https://t7r67vsrpjcm5dfc.onion.cab/9A71C1F38835D45 

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: https://www.torproject.org/download/ 
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45 
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45 
https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45  
!!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45 
!!! Your personal identification ID: 9A71C1F38835D45
========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!




Configuration: Windows 7 / Chrome 49.0.2623.87

Malekal_morte- · Answer

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Cyboo · Answer

Merci de ton temps Malekal_morte-

FRST
https://pjjoint.malekal.com/index.php
Shortcuts
https://pjjoint.malekal.com/files.php?id=20160326_12y12o12m12j10
Addition
https://pjjoint.malekal.com/files.php?id=20160326_f11y13t11z12x9

Malekal_morte- · Answer

Tu as eu deux ransomwares TeslaCrypt et Locky.
Je sais pas trop comment tu as fait Oo

Locky va exclusivement par email malicieux.
TeslaCrypt par des emails malicieux et Web Exploit.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:CloseProcesses: HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe  Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] () Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] ()  HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe  2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html  2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt  2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe  2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe  2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe  2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe  2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe  2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe  2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html  2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt  2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120}  2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky   2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html  2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt  Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Cyboo · Answer

lol je ne sais pas, ce n'est pas mon pc, la dame me l'a passé en disant que c'est arrivé quand sa fille a voulu installer un logiciel pour "nettoyer" l'ordinateur, mais en effet en regardant dans téléchargement avant le scan il semble que les dates clés soient le 20/12/12 pour les .vvv et le 18/03/16 pour les .locky
Le 18/03 apparaît un fichier "Pi ce jointe" (je n'ai pas oublié le "è", il est écrit comme cela) dont je ne connais pas l'extension qui était même déjà là en d'autres exemplaires à des dates précédentes. Pour le 20/12 je ne sais pas quel fichier est suspicieux, peut-être un zip, mais le fix a changé quelques trucs dans les dates.
Je regarderai aussi l'historique internet

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Thoshiba (2016-03-26 17:22:55) Run:1
Exécuté depuis C:\Users\Thoshiba\Desktop
Profils chargés: Thoshiba (Profils disponibles: Thoshiba)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe  
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] () 
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] () 
 HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe 
 2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html 
 2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt 
 2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe 
 2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe 
 2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe 
 2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe 
 2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe 
 2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe 
 2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html 
 2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt 
 2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} 
 2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky  
 2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html 
 2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt  
Reboot:



Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo! Search => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt => déplacé(es) avec succès
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\santa_svc => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} => déplacé(es) avec succès
C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky => déplacé(es) avec succès
C:\ProgramData\how_recover+dra.html => déplacé(es) avec succès
C:\ProgramData\_Locky_recover_instructions.txt => déplacé(es) avec succès


Le système a dû redémarrer.
 Fin de Fixlog 17:23:57

Malekal_morte- · Answer

ok, histoire de :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

 Tutoriel MBAM version gratuite
 Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche. 
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Cyboo · Answer

Bonjour Malekal,

désolé je suis resté éloigné des pc jusqu'à ce matin

Le rapport mbam
https://pjjoint.malekal.com/files.php?id=20160329_w9s14v13s15b11

Tout est en quarantaine

En tout cas dès FRST il n'y avait plus de message de rançon au redémarrage

J'ai essayé "restaurer la version précédente" sur les fichiers .vvv et .locky mais évidement cela n'a pas fonctionné

Malekal_morte- · Answer

La restauration est impossible.

Fais ceci pour limiter la portée des mais malicieux en Trojan.JS.Downloader :

Comment se protéger des scripts malicieux sur Windows

et :

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Cyboo · Answer

Ok

Merci beaucoup de ton aide Malekal et pour ces derniers liens, je n'avais pas encore lu ce dossier sur les scripts malicieux

Topic résolu

Cette infection est méchante, de plus la manière de payer la rançon me paraît quand même compliquée pour beaucoup d'internautes (utiliser Tor, acheter des BTC) à tel point que je me suis demandé si elle était rentable. Elle doit l'être sinon ils ne la feraient pas mais cela m'a surpris.

Bonne soirée

Ransomware cryptage RSA-4096

8 réponses

Fin de Fixlog 17:23:57

Discussions similaires