Sujet Précédent Sujet Suivant

Ransomware cryptage RSA-4096

Résolu/Fermé
Cyboo Messages postés 217 Date d'inscription vendredi 28 décembre 2012 Statut Membre Dernière intervention 15 octobre 2022 - 26 mars 2016 à 15:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 mars 2016 à 10:22
Bonjour,

on m'a confié un Toshiba Satellite C660-2RP, Win 7x64 ayant attrapé un virus cryptant les fichiers et délivrant le message ci-dessous

Quelqu'un aurait-il la gentillesse de me guider dans la désinfection, s'il vous plait ?
De ce que j'ai lu la récupération des fichiers cryptés n'est pas possible il me semble.


__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
2. http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
3. http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
4. https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
5. https://t7r67vsrpjcm5dfc.tor2web.org/9A71C1F38835D45
6. https://t7r67vsrpjcm5dfc.onion.cab/9A71C1F38835D45

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
!!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
!!! Your personal identification ID: 9A71C1F38835D45
========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!




8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 26/03/2016 à 16:31
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
0
Réponse 2 / 8
Cyboo Messages postés 217 Date d'inscription vendredi 28 décembre 2012 Statut Membre Dernière intervention 15 octobre 2022 23
Modifié par Cyboo le 26/03/2016 à 16:57
Merci de ton temps Malekal_morte-

FRST
https://pjjoint.malekal.com/index.php
Shortcuts
https://pjjoint.malekal.com/files.php?id=20160326_12y12o12m12j10
Addition
https://pjjoint.malekal.com/files.php?id=20160326_f11y13t11z12x9
0
Réponse 3 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mars 2016 à 17:08
Tu as eu deux ransomwares TeslaCrypt et Locky.
Je sais pas trop comment tu as fait Oo

Locky va exclusivement par email malicieux.
TeslaCrypt par des emails malicieux et Web Exploit.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe  
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] () 
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] () 
 HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe 
 2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html 
 2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt 
 2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe 
 2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe 
 2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe 
 2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe 
 2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe 
 2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe 
 2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html 
 2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt 
 2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} 
 2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky  
 2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html 
 2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt  
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
0
Réponse 4 / 8
Cyboo Messages postés 217 Date d'inscription vendredi 28 décembre 2012 Statut Membre Dernière intervention 15 octobre 2022 23
26 mars 2016 à 18:14
lol je ne sais pas, ce n'est pas mon pc, la dame me l'a passé en disant que c'est arrivé quand sa fille a voulu installer un logiciel pour "nettoyer" l'ordinateur, mais en effet en regardant dans téléchargement avant le scan il semble que les dates clés soient le 20/12/12 pour les .vvv et le 18/03/16 pour les .locky
Le 18/03 apparaît un fichier "Pi ce jointe" (je n'ai pas oublié le "è", il est écrit comme cela) dont je ne connais pas l'extension qui était même déjà là en d'autres exemplaires à des dates précédentes. Pour le 20/12 je ne sais pas quel fichier est suspicieux, peut-être un zip, mais le fix a changé quelques trucs dans les dates.
Je regarderai aussi l'historique internet

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Thoshiba (2016-03-26 17:22:55) Run:1
Exécuté depuis C:\Users\Thoshiba\Desktop
Profils chargés: Thoshiba (Profils disponibles: Thoshiba)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] ()
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] ()
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe
2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html
2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt
2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe
2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe
2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe
2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe
2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe
2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe
2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html
2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt
2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120}
2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky
2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html
2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Yahoo! Search => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt => déplacé(es) avec succès
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\santa_svc => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} => déplacé(es) avec succès
C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky => déplacé(es) avec succès
C:\ProgramData\how_recover+dra.html => déplacé(es) avec succès
C:\ProgramData\_Locky_recover_instructions.txt => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 17:23:57

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
26 mars 2016 à 23:50
ok, histoire de :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

0
Réponse 6 / 8
Cyboo Messages postés 217 Date d'inscription vendredi 28 décembre 2012 Statut Membre Dernière intervention 15 octobre 2022 23
Modifié par Cyboo le 29/03/2016 à 12:26
Bonjour Malekal,

désolé je suis resté éloigné des pc jusqu'à ce matin

Le rapport mbam
https://pjjoint.malekal.com/files.php?id=20160329_w9s14v13s15b11

Tout est en quarantaine

En tout cas dès FRST il n'y avait plus de message de rançon au redémarrage

J'ai essayé "restaurer la version précédente" sur les fichiers .vvv et .locky mais évidement cela n'a pas fonctionné
0
Réponse 7 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
29 mars 2016 à 18:01
La restauration est impossible.

Fais ceci pour limiter la portée des mais malicieux en Trojan.JS.Downloader :

Comment se protéger des scripts malicieux sur Windows

et :

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0
Réponse 8 / 8
Cyboo Messages postés 217 Date d'inscription vendredi 28 décembre 2012 Statut Membre Dernière intervention 15 octobre 2022 23
Modifié par Cyboo le 29/03/2016 à 19:54
Ok

Merci beaucoup de ton aide Malekal et pour ces derniers liens, je n'avais pas encore lu ce dossier sur les scripts malicieux

Topic résolu

Cette infection est méchante, de plus la manière de payer la rançon me paraît quand même compliquée pour beaucoup d'internautes (utiliser Tor, acheter des BTC) à tel point que je me suis demandé si elle était rentable. Elle doit l'être sinon ils ne la feraient pas mais cela m'a surpris.

Bonne soirée
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 30/03/2016 à 10:23
Ca coûte rien leur campagne de SPAM pour diffuser.

Je pense que c'est plus que rentable.
Un hopital a été touché, ils ont fait monter la rançon à plusieurs dizaines de milliers d'euros.
0

Discussions similaires

Désactiver le cryptage
azta19 -
RomainJavourez -

3 réponses
4096 mo= combien de go?
inachi -
titi -

8 réponses
blocage code 4096
paulo -
bazfile -

1 réponse
clé de cryptage
bavardage -
bavardage -

1 réponse
RSA ET EPARGNE DISPONIBLE
reda491 -
dna.factory -

3 réponses