Sujet Précédent Sujet Suivant

Ransomware TeslaCrypt

Résolu/Fermé
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016 - Modifié par Malekal_morte- le 28/03/2016 à 19:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 avril 2016 à 14:08
Bonjour,
veuillez m'aider s'il vous plait.ces que je n'est plus acces a mes fichiers
voici le message de menace
pas votre langue? UTILISATION https://translate.google.com
Quel est le problème avec vos fichiers?
Vos données ont été sécurisées par un cryptage fort avec RSA4096.
Utilisez le lien ci-dessous vers le bas pour trouver des informations supplémentaires sur les clés de chiffrement en utilisant RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Qu'est-ce que cela signifie exactement?
Cela signifie que sur un niveau structurel vos fichiers ont été transformés. Vous ne serez pas en mesure d'utiliser, lire, voir ou de travailler avec eux plus.
En d'autres termes, ils sont inutiles, cependant, il est possible de les restaurer avec notre aide.
Qu'est-ce qui est arrivé à vos fichiers ???
Deux clés RSA-4096 personnels ont été générés pour votre PC / ordinateur portable; une clé publique est une autre clé est privée.
Toutes vos données et fichiers ont été chiffrés par le biais de la clé publique, que vous avez reçu sur le Web.
Afin de décrypter vos données et avoir accès à votre ordinateur, vous avez besoin d'une clé privée et d'un logiciel de décryptage, qui se trouve sur l'un de nos serveurs secrets.

Que devrais-tu faire ensuite ?
Il y a plusieurs options pour vous de considérer:
Vous pouvez attendre pendant un certain temps jusqu'à ce que le prix d'une clé privée va augmenter, de sorte que vous devrez payer deux fois plus pour accéder à vos fichiers ou
Vous pouvez commencer à obtenir BitCoins dès maintenant et obtenir l'accès à vos données assez rapide.

Dans le cas où vous avez des fichiers précieux, nous vous conseillons d'agir rapidement car il n'y a pas d'autre option plutôt
que de payer afin de récupérer vos données.
Pour obtenir des instructions spécifiques, s'il vous plaît accéder à votre page personnelle en choisissant l'une des rares adresses vers le bas ci-dessous:
http://uj5nj.onanwhit.com/C0CF982CEAEC5CC
http://2gdb4.leoraorage.at/C0CF982CEAEC5CC
http://9hrds.wolfcrap.at/C0CF982CEAEC5CC
Si vous ne pouvez pas accéder à votre page personnelle ou les adresses ne fonctionnent pas, procédez comme suit:
Télécharger TOR Browser - https://www.torproject.org/download/
Installer navigateur TOR et navigateur TOR ouverte
Insérer le lien suivant dans la barre d'adresse: k7tlx3ghr3m4n2tu.onion / C0CF982CEAEC5CC


*
      • *** *** *** *** *** UNE INFORMATION IMPORTANT *** *** *** *** *** ***


Vos pages personnelles
http://uj5nj.onanwhit.com/C0CF982CEAEC5CC
http://2gdb4.leoraorage.at/C0CF982CEAEC5CC
http://9hrds.wolfcrap.at/C0CF982CEAEC5CC
Votre page personnelle Tor-Browser k7tlx3ghr3m4n2tu.onion / C0CF982CEAEC5CC
Votre C0CF982CEAEC5CC d'identification personnel

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
Modifié par Malekal_morte- le 28/03/2016 à 19:47
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
1
Réponse 2 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
Modifié par Malekal_morte- le 29/03/2016 à 08:44
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
 HKLM-x32\...\Run: [Chedot] => C:\Users\user\AppData\Local\Chedot\Application\chedot.exe  
C:\Users\user\AppData\Local\Chedot\Application\chedot.exe  
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png [2016-03-28] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt [2016-03-28] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png [2016-03-28] () 
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt [2016-03-28] () 
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk [2012-11-28]  
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png [2016-03-28] () 
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt [2016-03-28] () 
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png [2016-03-28] () 
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt [2016-03-28] () 
 2016-03-28 13:34 - 2015-07-20 00:01 - 00000000 ____D C:\Users\user\AppData\Roaming\dll-files.com  
 2015-08-06 13:19 - 2015-08-06 13:19 - 0260876 _____ (VuuPC Limited) C:\Users\user\AppData\Local\nsmBACB.tmp  
 2015-08-06 13:19 - 2015-08-06 13:19 - 0260876 _____ (VuuPC Limited) C:\Users\user\AppData\Local\nsw8875.tmp  
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

~~

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur +REcovER+ et supprime les fichiers trouvés.


Veuillez appuyer sur une touche pour continuer la désinfection...
1
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
29 mars 2016 à 14:38
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par user (2016-03-29 13:09:39) Run:1
Exécuté depuis C:\Users\user\Desktop
Profils chargés: user (Profils disponibles: user)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Chedot] => C:\Users\user\AppData\Local\Chedot\Application\chedot.exe
C:\Users\user\AppData\Local\Chedot\Application\chedot.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png [2016-03-28] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt [2016-03-28] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png [2016-03-28] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt [2016-03-28] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk [2012-11-28]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png [2016-03-28] ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt [2016-03-28] ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png [2016-03-28] ()
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt [2016-03-28] ()
2016-03-28 13:34 - 2015-07-20 00:01 - 00000000 ____D C:\Users\user\AppData\Roaming\dll-files.com
2015-08-06 13:19 - 2015-08-06 13:19 - 0260876 _____ (VuuPC Limited) C:\Users\user\AppData\Local\nsmBACB.tmp
2015-08-06 13:19 - 2015-08-06 13:19 - 0260876 _____ (VuuPC Limited) C:\Users\user\AppData\Local\nsw8875.tmp
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Chedot => valeur supprimé(es) avec succès
"C:\Users\user\AppData\Local\Chedot\Application\chedot.exe" => non trouvé(e).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt => non trouvé(e).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt => non trouvé(e).
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk => déplacé(es) avec succès
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.png => déplacé(es) avec succès
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+hyxrl+.txt => non trouvé(e).
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.png => déplacé(es) avec succès
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+REcovER+wqexj+.txt => non trouvé(e).
C:\Users\user\AppData\Roaming\dll-files.com => déplacé(es) avec succès
C:\Users\user\AppData\Local\nsmBACB.tmp => déplacé(es) avec succès
C:\Users\user\AppData\Local\nsw8875.tmp => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 13:10:01

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
29 mars 2016 à 14:39
voila le ransomware Teslacrypt avait été déjà supprimé de ton système.
Il ne restait que la clef de lancement et les fichiers instructions qu'il te faut supprimer.
0
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
29 mars 2016 à 14:39
je remercie l'équipe Malekal_morte- vous étés fantastique c'est très bien explique
bravo a vous pour votre immense travaille les message de chantage ce sont arrêtés
j'espère que ça va aider autre personne
je vous remercie encore
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
Modifié par Malekal_morte- le 29/03/2016 à 14:44
de rien =)

Malheureusement pour tes documents, c'est mort, il faut remettre une sauvegarde.

pour limiter la portée des emails malicieux :
Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
0
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
29 mars 2016 à 15:01
la clef de lancement ou je peux la trouver ?
merci
je ne connaissais pas sauvegarde Windows c'est une bonne chose a faire
merci encore
0
Réponse 3 / 6
^Abel^ Messages postés 15399 Date d'inscription jeudi 14 juillet 2011 Statut Contributeur Dernière intervention 14 février 2023 6 865
Modifié par ^Abel^ le 28/03/2016 à 15:54
Bonjour,
Voir dans vos programmes si Luky tab est présent, et le désinstaller.
Proverbe africain :
Si tu veux marcher vite, marche seul. Si tu veux marcher loin, marche avec les autres 
0
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 15:51
merci ^Abel^ mes non je n'ai pas luky tab dont mes programmes
0
^Abel^ Messages postés 15399 Date d'inscription jeudi 14 juillet 2011 Statut Contributeur Dernière intervention 14 février 2023 6 865
28 mars 2016 à 15:51
Utiliser ceci :
https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/
0
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 16:03
merci ^Abel^ mes non jes essayer adwcleaner ca marche pas ces pas un simple virus je suis pirate + chantage je ne ces pas ci je formater mon PC ca va partie ou quoi faire ?
0
^Abel^ Messages postés 15399 Date d'inscription jeudi 14 juillet 2011 Statut Contributeur Dernière intervention 14 février 2023 6 865
28 mars 2016 à 16:06
Formater écrasera toutes vos données :/
Le mieux pour l'heure est de patienter qu'un contributeur sécurité, vienne vous donner la marche à suivre... Ce qui ne saurait tarder.
0
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 16:27
d'accord je vais attendre merci
0
Réponse 4 / 6
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 23:08
merci pour vos réponses je vais essayer avec Malekal_morte-
voice :

https://pjjoint.malekal.com/files.php?id=FRST_20160328_m10d13y6o117
https://pjjoint.malekal.com/files.php?id=20160328_n14c5g8b10c15
https://pjjoint.malekal.com/files.php?id=20160328_h5l11k7m13s13
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
OWBEWEST
Modifié par OWBEWEST le 2/04/2016 à 13:03
http://pjjoint.malekal.com/files.php?id=FRST_20160402_p10c11h7b11f13
http://pjjoint.malekal.com/files.php?id=20160402_n12t12v14q8j7
http://pjjoint.malekal.com/files.php?id=20160402_l9l11d15f11w15
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
2 avril 2016 à 14:08
Salut,

Créé ton propre sujet stp.
0
Réponse 6 / 6
informatiien
28 mars 2016 à 15:14
Ne fais rien et appelle ton opérateur !
-4
drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 15:45
je crois que c'est le virus Locky ci je formater mon PC bien ou non ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > drag33 Messages postés 9 Date d'inscription lundi 28 mars 2016 Statut Membre Dernière intervention 29 mars 2016
28 mars 2016 à 19:48
Il s'agit de TeslaCrypt : https://forum.malekal.com/viewtopic.php?t=53347&start=15#p416620
0

Discussions similaires

Fichier crypté par un ransomware, .wwty, comment decryté
kayemard -
bazfile -

2 réponses
Ransomware
EdyFyo -
bazfile -

1 réponse
ransomware README.HTML
mamig -
Malekal_morte- -

3 réponses
Fichiers cryptés extension .0xxx
mcsaisai72 -
bazfile -

14 réponses
Attack ransomware
Yassine -
MisteryBean -

1 réponse