Pc infecté et fichiers cryptés - job crypter

cirdec21 Messages postés 224 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Le pc d'un ami vient d'être infecté par un virus qui a crypté tous les fichiers.

Description du virus :
https://forum.malekal.com/viewtopic.php?t=54381&start=

Mes questions :
Comment savoir si le virus a bien été supprimé ?
Comment faire pour décrypter les fichiers ?

Merci d'avance pour votre aide.

8 réponses

  1.
    Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Fais ceci :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  3. cirdec2000 Messages postés 27 Statut Membre
     
    je n'arrive pas à envoyer les rapports sur le site http://pjjoint.malekal.com/
    Dès je clique sur le bouton envoyer, j'arrive sur une page "page inaccessible"

    --
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Envoie les en PJ à spamhere-@wanadoo.fr
      0
    2. cirdec2000 Messages postés 27 Statut Membre
       
      je viens de vous les envoyer par mail
      0

  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    il n'y a pas d'antivirus sur ce PC ...
    Voici les trois étapes à suivre.

    1/

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit : 

    CreateRestorePoint:
    CloseProcesses:
     Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System) 
     Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] () 
     HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System) 
     HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe 
     C:\Documents and Settings\Bob\Application Data\Locker.exe 
     C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe 
    HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem  
    C:\Program Files\RCP
     Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2/

    Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
    Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
    Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
    Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

    3/

    Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
    1. cirdec21 Messages postés 224 Statut Membre 2
       
      Oui il n'y avait pas d'antivirus sur le PC. j'ai installé avast juste après t'avoir envoyé les rapports.

      OK pour le reste, je m'en charge demain matin. merci

      --
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > cirdec21 Messages postés 224 Statut Membre
         
        Pas de soucis =)
        0
  7. cirdec2000 Messages postés 27 Statut Membre
     
    J'ai fait les différentes modifications :

    étape 1
    après avoir cliquez sur le bouton "corriger/fix", une fenêtre s'est ouverte pour me demander de redémarrer le pc mais par contre je n'ai pas eu de fichier texte qui s'est ouvert.
    Par contre j'ai un nouveau fichier sur le bureau qui s'appelle fixlog.txt, j'imagine que ça doit être ça 

    Résultats de correction de Farbar Recovery Scan Tool (x86) Version:18-04-2016
Exécuté par Bob (2016-04-22 09:19:10) Run:1
Exécuté depuis C:\Documents and Settings\Bob\Bureau
Profils chargés: Bob (Profils disponibles: Bob)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System) 
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] () 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System) 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe 
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem  
C:\Program Files\RCP
 Reboot:
 
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe => déplacé(es) avec succès
C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css => déplacé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Sidebar(32.3) => valeur supprimé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\application => valeur supprimé(es) avec succès
"C:\Documents and Settings\Bob\Application Data\Locker.exe" => non trouvé(e).
C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe => déplacé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\RDReminder => valeur supprimé(es) avec succès
"C:\Program Files\RCP" => non trouvé(e).


Le système a dû redémarrer.

==== Fin de Fixlog 09:19:21 ====


    étape 2
    j'ai bien mis le fichier zip sur http://upload.malekal.com
    J'ai eu ce message "L'upload a r�ussi !" mais par contre je n'ai pas eu de lien vers le fichier déposé. C'est normal ?

    étape 3
    ok

    ps
    au démarrage du pc, j'ai 4 éléments qui se lance
    1 : fatal error = failed to get proc address for getLocicalProcessorInformation (KERNEL32.dll)
    2 : un fichier texte qui s'ouvre (bluetooth Manager.lnk)
    3 : un autre fichier texte qui s'ouvre (windows desktop search.lnk)
    4 : erreur = solution Menu Ex n'est pas correctement installé. Réinstallez-le puis réessayez

    --
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ouaip le malware est plutôt bien détecté, comme d'habitude.

    Change tous les mots de passe sensibles.

    Name: Startup32.3.exe.xBAD
    Detection ratio: 24 / 56
    Analysis date: 2016-04-22 07:32:33 UTC ( 2 minutes ago )

    Antivirus Result Update
    AVware Trojan.Win32.Generic.pak!cobra 20160422
    Ad-Aware Trojan.GenericKD.3169253 20160422
    Arcabit Trojan.Generic.D305BE5 20160422
    Avast Win32:Malware-gen 20160422
    Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
    BitDefender Trojan.GenericKD.3169253 20160422
    DrWeb Trojan.Siggen6.58585 20160422
    ESET-NOD32 MSIL/Agent.ACU 20160422
    Emsisoft Trojan.GenericKD.3169253 (B) 20160422
    F-Secure Trojan.GenericKD.3169253 20160422
    GData Trojan.GenericKD.3169253 20160422
    Ikarus Trojan.MSIL.Spy 20160422
    Kaspersky Trojan.Win32.Reconyc.fkan 20160422
    Malwarebytes Trojan.Reconyc 20160422
    McAfee RDN/Generic.bfg 20160422
    McAfee-GW-Edition Artemis!Trojan 20160422
    eScan Trojan.GenericKD.3169253 20160422
    Panda Generic Suspicious 20160421
    Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
    Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160422
    Sophos Troj/MSIL-GQC 20160422
    Symantec Infostealer.Limitail 20160422
    VIPRE Trojan.Win32.Generic.pak!cobra 20160422
    Zillya Trojan.GenericCRTD.Win32.4 20160422
    0
    1. cirdec2000 Messages postés 27 Statut Membre
       
      je viens de changer le mot de passe pour accéder au mail. Je ne vois rien d'autre de plus.

      PS : est ce que tu crois que ça va être faisable de décrypter les fichiers ? Si c'est non, dans ce cas, autant formater le pc !
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > cirdec2000 Messages postés 27 Statut Membre
       
      Je pense que des éditeurs d'antivirus comme Dr.WEB ou Kaspersky peuvent récupérer les données. L'auteur de ce ransomware n'étant pas très doué.
      Par contre, comme tu n'es pas client chez eux, ils te feront surement payer, faut voir les prix.

      Ca vient par des emails pourris, faut sensibiliser les internautes.

      Bloquer les scripts aussi, ça limitera la casse :

      Comment se protéger des scripts malicieux sur Windows
      0
    3. cirdec2000 Messages postés 27 Statut Membre
       
      oui c'est en cliquant dans un lien qui se trouvait dans un mail que le pc a été infecté !
      Niveau prix, tu penses que ça va chiffrer à combien à peu près ?
      Est ce que tu sais si les mails présents dans outlook ont été crypté aussi ? Si je pouvais au moins récupérer les mails, ça serait déjà ça ^^
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > cirdec2000 Messages postés 27 Statut Membre
       
      Aucune idée pour les prix.
      A toi de voir pour les mails.

      as-tu encore le lien du mail ? je suis preneur =)
      0
    5. cirdec21 Messages postés 224 Statut Membre 2
       
      Oui voici le lien du mail

      ATTENTION, LE LIEN QUI SUIT EST CONTAMINE, NE CLIQUEZ PAS DESSUS 
      https://

      weber2.net/order-confirm/

      12548SCD1254SD21C45FT541V4V2BGB14214


      Dit moi quand tu l'auras copié pour que je supprime ce message ;)
      0
  9. Tho.laplante Messages postés 2 Statut Membre
     
    Bonjour,

    J'ai aussi un soucis avec ces .locked j'ai pas voulu payer pensant trouvé une solution, me voilà bloqué depuis 2 mois.

    Je vais vous faire part de mes rapports mais je veux que vous sachiez que j'utilise actuellement un pc " saint " sur lequel j'ai relié mon ancien disque via un boitier externe.
    Je ne suis pas sûr que FRST soit allé le scanner.
    FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160625_w15v14v12s14q11
    Addition : https://pjjoint.malekal.com/files.php?id=20160625_m9r13q6x9x11
    Shortcut : https://pjjoint.malekal.com/files.php?id=20160625_q14x8z15i5s9

    Si vous pourriez m'en dire plus..

    Merci d'avance.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      Le malware n'est plus actif.
      Tu peux supprimer ce dossier je pense : C:\Users\Remi\AppData\Local\Microsoft Help
      0
    2. Tho.laplante Messages postés 2 Statut Membre
       
      Merci de la réponse très rapide !
      Je n'ai pas précisé mais le disque qui est infecté ( G: ) est connecté en usb sur mon pc portable et j'ai placé le fichier FRST comme demandé sur le desktop du pc portable,
      Les fichiers présent sur le disque infecté sont toujours cryptés eux.
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Tho.laplante Messages postés 2 Statut Membre
         
        Ben oui et ils resteront chiffrés.

        Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

        A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

        Il faut d'abord vérifier qu'aucune menace ne soit encore active.
        Par précaution, pense aussi à changer tous tes mots de passe.
        0