Sujet Précédent Sujet Suivant

Ransomware : fichiers cryptés.

Fermé
dniepopetrovsk Messages postés 2 Date d'inscription jeudi 31 mars 2016 Statut Membre Dernière intervention 1 avril 2016 - Modifié par Malekal_morte- le 31/03/2016 à 17:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 avril 2016 à 10:47
Bonjour,

Depuis quelques semaines j'ai une sorte de virus qui s'est emparé de mes fichiers, photos ,dossiers. Chaque dossier contient une sorte de feuille noire sur laquelle est écrit des informations pour activer une clé de sécurité qui bloque le tout.
Chaque fois que je veux ouvrir quelque chose , il s'affiche que mon fichier est endommagé. Et que je dois suivre les indications pour déverrouiller cette clé
"All of your files were protected by a strong encryption with RSA
More information about the encryption RSA can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)"
Je ne sais pas quoi faire. Qui pourrait m'aider svp ?
j'ai des photos auxquelles je tiens beaucoup et j'ai peur qu'elles ne soient fichues.
Merci mille fois de votre aide
A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 31/03/2016 à 16:42
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
dniepopetrovk
8 avril 2016 à 08:09
Bonjour,
J'ai enfin trouvé le temps de faire ce que vous avez écrit . Je vous mets le lien ci dessous et vous remercie encore une fois pour votre aide.

http://pjjoint.malekal.com/files.php?id=FRST_20160408_g6d7v10h1115

J'espère avoir fait les choses correctement car je ne suis pas une pro.
En espérant que ca pourra éclairer quelqu'un pour m'aider.
Cordialement
Valérie
0
Réponse 2 / 3
dniepopetrovsk Messages postés 2 Date d'inscription jeudi 31 mars 2016 Statut Membre Dernière intervention 1 avril 2016
1 avril 2016 à 07:43
Merci beaucoup pour ton aide je vais essayer tout cela et je croise les doigts.
Bonne journée
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 avril 2016 à 10:47
il s'agit du Ransomware TeslaCrypt

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+lxk.html [2016-02-09] () 
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+lxk.png [2016-02-09] () 
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+lxk.txt [2016-02-09] () 
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+vnu.html [2016-02-08] () 
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+vnu.png [2016-02-08] () 
Startup: C:\Users\Util\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_RECOVER_instructions+vnu.txt [2016-02-08] () 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\avg-secure-search.xml [2016-02-29] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+lxk.html [2016-02-09] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+lxk.png [2016-02-09] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+lxk.txt [2016-02-09] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+vnu.html [2016-02-08] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+vnu.png [2016-02-08] 
FF SearchPlugin: C:\Users\Util\AppData\Roaming\Mozilla\Firefox\Profiles\51kfxbfm.default\searchplugins\HELP_RECOVER_instructions+vnu.txt [2016-02-08] 
2016-02-13 21:38 - 2016-02-13 21:38 - 00000000 ____D C:\696567fd4f201ccba410 
 2016-02-13 21:38 - 2016-02-13 21:38 - 00000000 ____D C:\014ad4d62ebb55813780 
 2016-02-13 21:37 - 2016-02-13 21:37 - 00000000 ____D C:\60741ad0db45658d71 
 2016-02-13 21:37 - 2016-02-13 21:37 - 00000000 ____D C:\37d0b166dc698392f01cf36fda66728b  
 2016-02-13 21:31 - 2016-02-13 21:31 - 00000000 ____D C:\ddca69ba31679532a497b094d0f6 
 2016-02-13 21:21 - 2016-02-13 21:21 - 00000000 ____D C:\afd6d9622592b51acb666c507eb777b4  
 2016-02-13 21:11 - 2016-02-13 21:11 - 00000000 ____D C:\463d43b8b7aed7480be566202c24a2 
 2016-02-13 21:01 - 2016-02-13 21:01 - 00000000 ____D C:\02f08a9c81356761d13747 
 2016-02-13 20:51 - 2016-02-13 20:51 - 00000000 ____D C:\12ef219d7a65af014970c4 
 2016-02-13 20:41 - 2016-02-13 20:41 - 00000000 ____D C:\d535a243258eaf92ca8140392b4f 
 2016-02-13 20:31 - 2016-02-13 20:31 - 00000000 ____D C:\062a7670513d1fc5a86486184d416e 
 2016-02-13 20:21 - 2016-02-13 20:21 - 00000000 ____D C:\426a6134df69b4c3d0523e 
 2016-02-13 20:11 - 2016-02-13 20:11 - 00000000 ____D C:\f04a2d9c7ad047346b 
 2016-02-13 20:01 - 2016-02-13 20:01 - 00000000 ____D C:\2dba365fc116177dfeb7463a16d4 
 2016-02-13 19:51 - 2016-02-13 19:51 - 00000000 ____D C:\772f5754043d8fbb7141f617430809bf  
 2016-02-13 19:41 - 2016-02-13 19:41 - 00000000 ____D C:\6390a413c406e7ab431de464 
 2016-02-13 19:31 - 2016-02-13 19:31 - 00000000 ____D C:\646349fcc69dd86f99f5645bff 
 2016-02-13 19:21 - 2016-02-13 19:21 - 00000000 ____D C:\130a32ab0f1d696a59f3bc5b 
 2016-02-13 19:11 - 2016-02-13 19:11 - 00000000 ____D C:\ded34354ec00e5c02d6ef6c52a092e 
 2016-02-13 19:01 - 2016-02-13 19:01 - 00000000 ____D C:\3c49a314fbb58cf62837663979 
 2016-02-13 18:51 - 2016-02-13 18:51 - 00000000 ____D C:\18524663c9b0d34cf1 
 2016-02-13 18:41 - 2016-02-13 18:41 - 00000000 ____D C:\afca7c6362d5e0aa9d88f4ffc2ad8f21  
 2016-02-13 18:31 - 2016-02-13 18:31 - 00000000 ____D C:\8a0b9d49bb8b18f1e8a5e7 
 2016-02-13 18:21 - 2016-02-13 18:21 - 00000000 ____D C:\adc28fc2fcba757a2aae9fce8861 
 2016-02-13 18:11 - 2016-02-13 18:11 - 00000000 ____D C:\ec85b3f9fe0ddd907745f8a743 
 2016-02-13 18:01 - 2016-02-13 18:01 - 00000000 ____D C:\c2949254fabce75bdbcfc7 
 2016-02-13 17:51 - 2016-02-13 17:51 - 00000000 ____D C:\25863e01ac2b6402c2ce79170cb0 
 2016-02-13 17:41 - 2016-02-13 17:41 - 00000000 ____D C:\d2dbc968bf21b7a718066d 
 2016-02-13 17:31 - 2016-02-13 17:31 - 00000000 ____D C:\c0b5d8f977039364b4 
 2016-02-13 17:21 - 2016-02-13 17:21 - 00000000 ____D C:\9caab7d14c3ff5e19d2053c0a4 
 2016-02-13 17:11 - 2016-02-13 17:11 - 00000000 ____D C:\f82266f2e0d2e88a3d 
 2016-02-13 17:01 - 2016-02-13 17:01 - 00000000 ____D C:\c8cb03e876d6113672 
 2016-02-13 16:51 - 2016-02-13 16:51 - 00000000 ____D C:\6c024cce97ebd8a213e0c78af9 
 2016-02-13 16:41 - 2016-02-13 16:41 - 00000000 ____D C:\85400148d360773db6fbedf204ec 
 2016-02-13 16:31 - 2016-02-13 16:31 - 00000000 ____D C:\e992ccf306ac8f7f51ba 
2016-02-13 16:22 - 2016-03-24 19:29 - 00000000 ___HD C:\.~BT 
 2016-02-13 16:21 - 2016-02-13 16:21 - 00000000 ____D C:\0e3933f0fb0d585e04486c06093ecb 
 2016-02-13 16:11 - 2016-02-13 16:11 - 00000000 ____D C:\b34cd904639c8b376ba07ca1 
 2016-02-13 16:00 - 2016-02-13 16:00 - 00000000 ____D C:\9563ee280270f1af9360f08d8b91 
 2016-02-13 15:50 - 2016-02-13 15:50 - 00000000 ____D C:\dfc52cb8d2b9b1a2733c8539ba1d0ce2  
 2016-02-13 15:40 - 2016-02-13 15:40 - 00000000 ____D C:\3eead87c0a7b5707e0e5a17727dae9 
 2016-02-13 15:30 - 2016-02-13 15:30 - 00000000 ____D C:\6304a6d4b11a1a80aa1d3ac5 
 2016-02-13 15:20 - 2016-02-13 15:20 - 00000000 ____D C:\6c339e7a1e45f3e2a7f6a0dfd7 
 2016-02-13 15:10 - 2016-02-13 15:10 - 00000000 ____D C:\590a0ec7abe27b6c1852 
 2016-02-13 15:00 - 2016-02-13 15:00 - 00000000 ____D C:\15f60928a372508759e232ba204a 
 2016-02-13 14:50 - 2016-02-13 14:50 - 00000000 ____D C:\6422c421acb29fcd2d747ffbb9 
 2016-02-13 14:40 - 2016-02-13 14:40 - 00000000 ____D C:\b9ddf54c623bbebdfc54 
 2016-02-13 14:30 - 2016-02-13 14:30 - 00000000 ____D C:\ff3b3a262af74774a0267b53f1bac2d8  
 2016-02-13 14:20 - 2016-02-13 14:20 - 00000000 ____D C:\ff280c25544cac36dcf46c338e94bcc2  
 2016-02-13 14:10 - 2016-02-13 14:10 - 00000000 ____D C:\83f062c4cd0a2a4efccf8a13 
 2016-02-13 14:00 - 2016-02-13 14:00 - 00000000 ____D C:\3d4873c4b107df78b5be22d22fc6 
 2016-02-13 13:50 - 2016-02-13 13:50 - 00000000 ____D C:\a2f35d30163b1c9ddd4e35 
 2016-02-13 13:40 - 2016-02-13 13:40 - 00000000 ____D C:\3a666307e5281b9794fbf3 
 2016-02-13 13:30 - 2016-02-13 13:30 - 00000000 ____D C:\289659d31c486d0cc2 
 2016-02-13 13:20 - 2016-02-13 13:20 - 00000000 ____D C:\579b743e6da0bb9d86628087d274d913  
 2016-02-13 13:10 - 2016-02-13 13:10 - 00000000 ____D C:\a97b921f2fee2f2add05 
 2016-02-13 13:00 - 2016-02-13 13:00 - 00000000 ____D C:\1608c9c4544a953f535109307799a7 
 2016-02-13 12:50 - 2016-02-13 12:50 - 00000000 ____D C:\2e5be67a8541b8e187ff2d4d2a42f8 
 2016-02-13 12:40 - 2016-02-13 12:40 - 00000000 ____D C:\e9af0e30603524ee32cf 
 2016-02-13 12:30 - 2016-02-13 12:30 - 00000000 ____D C:\852ffaf9314e9530b430e2329e75 
 2016-02-13 12:20 - 2016-02-13 12:20 - 00000000 ____D C:\bcee00dc5aed45309fb28fe6d7 
 2016-02-13 12:10 - 2016-02-13 12:10 - 00000000 ____D C:\3112a44c4ad4f04bbaa7 
 2016-02-13 12:00 - 2016-02-13 12:00 - 00000000 ____D C:\0e587523f952868f28cf69bfdcc457 
 2016-02-13 11:50 - 2016-02-13 11:50 - 00000000 ____D C:\cc327d877f6602ceb2679f8d3b 
 2016-02-13 11:40 - 2016-02-13 11:40 - 00000000 ____D C:\b7f859336360baa93f94dffbb332a95e  
 2016-02-13 11:30 - 2016-02-13 11:30 - 00000000 ____D C:\f727cb85b3f2189b1af3ba64f3e7d808  
 2016-02-13 11:20 - 2016-02-13 11:20 - 00000000 ____D C:\4bbd55a947e93662ade4ecbc 
 2016-02-13 11:10 - 2016-02-13 11:10 - 00000000 ____D C:\d49b8e0b56c67f2cf6c265c88b 
 2016-02-13 11:00 - 2016-02-13 11:00 - 00000000 ____D C:\f50f75801e188e55c4d7e7f82295 
2016-02-02 17:05 - 2016-02-02 17:05 - 0001525 _____ () C:\Users\Util\AppData\Roaming\Anglophile 
 2015-05-20 03:28 - 2015-05-20 03:28 - 0003044 _____ () C:\Users\Util\AppData\Roaming\app_updater_learn_more_footer.png  
 2015-05-20 03:28 - 2016-02-09 09:28 - 0003424 _____ () C:\Users\Util\AppData\Roaming\app_updater_learn_more_footer.png.micro 
 2014-05-08 07:44 - 2014-05-08 07:44 - 0000000 _____ () C:\Users\Util\AppData\Roaming\d 
 2016-02-09 09:29 - 2016-02-09 09:38 - 0012626 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+lxk.html 
 2016-02-09 09:29 - 2016-02-09 09:38 - 0068981 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+lxk.png 
 2016-02-09 09:29 - 2016-02-09 09:38 - 0002118 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+lxk.txt 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0012626 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+vnu.html 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0068981 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+vnu.png 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0002118 _____ () C:\Users\Util\AppData\Roaming\HELP_RECOVER_instructions+vnu.txt 
 2016-02-09 09:28 - 2016-02-09 09:38 - 0012626 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+lxk.html 
 2016-02-09 09:28 - 2016-02-09 09:38 - 0068981 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+lxk.png 
 2016-02-09 09:28 - 2016-02-09 09:38 - 0002118 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+lxk.txt 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0012626 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+vnu.html 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0068981 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+vnu.png 
 2016-02-08 17:40 - 2016-02-08 22:31 - 0002118 _____ () C:\Users\Util\AppData\Roaming\Microsoft\HELP_RECOVER_instructions+vnu.txt 
 2016-02-09 09:24 - 2016-02-09 09:37 - 0012626 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+lxk.html 
 2016-02-09 09:24 - 2016-02-09 09:37 - 0068981 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+lxk.png 
 2016-02-09 09:24 - 2016-02-09 09:37 - 0002118 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+lxk.txt 
 2016-02-08 17:31 - 2016-02-08 22:31 - 0012626 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+vnu.html 
 2016-02-08 17:31 - 2016-02-08 22:31 - 0068981 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+vnu.png 
 2016-02-08 17:31 - 2016-02-08 22:31 - 0002118 _____ () C:\Users\Util\AppData\Local\HELP_RECOVER_instructions+vnu.txt 
 2015-05-26 20:23 - 2015-05-26 20:23 - 0007605 _____ () C:\Users\Util\AppData\Local\Resmon.ResmonCfg  
 2016-02-09 09:23 - 2016-02-09 09:24 - 0012626 _____ () C:\ProgramData\HELP_RECOVER_instructions+lxk.html 
 2016-02-09 09:23 - 2016-02-09 09:24 - 0068981 _____ () C:\ProgramData\HELP_RECOVER_instructions+lxk.png 
 2016-02-09 09:23 - 2016-02-09 09:24 - 0002118 _____ () C:\ProgramData\HELP_RECOVER_instructions+lxk.txt 
 2016-02-08 17:31 - 2016-02-08 17:31 - 0012626 _____ () C:\ProgramData\HELP_RECOVER_instructions+vnu.html 
 2016-02-08 17:31 - 2016-02-08 17:31 - 0068981 _____ () C:\ProgramData\HELP_RECOVER_instructions+vnu.png 
 2016-02-08 17:31 - 2016-02-08 17:31 - 0002118 _____ () C:\ProgramData\HELP_RECOVER_instructions+vnu.txt 
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur HELP_RECOVER_ et supprime les fichiers trouvés.

0

Discussions similaires

Fichier crypté par un ransomware, .wwty, comment decryté
kayemard -
bazfile -

2 réponses
Ransomware
EdyFyo -
bazfile -

1 réponse
ransomware README.HTML
mamig -
Malekal_morte- -

3 réponses
Fichiers cryptés extension .0xxx
mcsaisai72 -
bazfile -

14 réponses
Attack ransomware
Yassine -
MisteryBean -

1 réponse