A voir également:
- Ransomwares
- Protection contre les ransomwares - Guide
34 réponses
Une variante BandarChor / Criakl / Rakhni (Crypto-Ransomware) ou Mobef qui peut toucher la France via une malvertising sur Trafficholder.
Ca restera limité, mais il y aura surement quelques victimes.
L'extension utilisée est .KEY7
La fiche du Ransomware .KEY7 : Ransomware .Key7
Veuillez appuyer sur une touche pour continuer la désinfection...
Ca restera limité, mais il y aura surement quelques victimes.
L'extension utilisée est .KEY7
La fiche du Ransomware .KEY7 : Ransomware .Key7
Veuillez appuyer sur une touche pour continuer la désinfection...
Les spams du ransomware Locky font leur retour après une absence de 10 jours.
Les spams sont en anglais mais soyez vigilant.
https://forum.malekal.com/viewtopic.php?t=54467&start=30#p421688
Les spams sont en anglais mais soyez vigilant.
https://forum.malekal.com/viewtopic.php?t=54467&start=30#p421688
Locky avec une extension .zepto : https://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_zepto
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Les faux emails #freemobile poussant le #ransomware #locky sont de retour, soyez vigilant : https://forum.malekal.com/viewtopic.php?t=54467&start=30#p422110
Wahou !!!
Je viens de voir ....
Est-ce que l'on sait comment il s'attrape ??
N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????
Car je suppose qu'il faut un CD Win 10 si on doit réinstaller Windows et quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!
Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé !!!
Vraiment à faire partager cette information ......réseau sociaux etc...non ??
^^
Je viens de voir ....
Est-ce que l'on sait comment il s'attrape ??
N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????
Car je suppose qu'il faut un CD Win 10 si on doit réinstaller Windows et quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!
Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé !!!
Vraiment à faire partager cette information ......réseau sociaux etc...non ??
^^
il n'y a rien de nouveau là dedans, des locker MBR existent depuis 2012 : https://forum.malekal.com/viewtopic.php?t=36202&start=#p280716
C'est juste que celui là chiffre les fichiers en plus, comme le font les crypto-ransomware actuels.
Petya est pire car il tente de chiffrer les partitions.
Et ça ne vise pas la France ou très très peu.
Bref rien de nouveau.
C'est juste que celui là chiffre les fichiers en plus, comme le font les crypto-ransomware actuels.
Petya est pire car il tente de chiffrer les partitions.
Et ça ne vise pas la France ou très très peu.
Bref rien de nouveau.
Car je suppose qu'il faut un CD Win 10 si on doit réinstaller Windows
IL faut TOUJOURS quelque chose pour réinstaller windows ou n'importe quel système. que ce soit un CD/dvd, une clé usb, une disque dur secondaire, externe ou non, etc.
quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!
Je pense que vous voyez le mal partout.
Quand on a PAS fait les sauvegardes nécessaires et qu'on achète même un tout nouveau pc on n'a pas non plus de CD/dvd ou autre média. Certes il y avait le partition recovery, mais ca non plus ce n'est plus d'actualité et ça n'empèche pas les sauvegardes.
Seul les moyens évoluent avec la technologie, pas les obligations.
Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé
Je confirme, peu d'internaute le font mais ça c'est leur responsabilité.
C'est comme pour une voiture (ou d'autres choses dans la vie) Quand vous l'achetez, il vous incombe une certains nombre de chose à faire, comme mettre de l’essence ou du liquide lave glace, vérifier la pression des pneus; prendre RDV pour les entretient, Bref tout ce que le garagiste ne fera pas à votre place mais qui si elle ne se font pas, risque d'user prématurément le véhicule voir pire.
Votre raisonnement serait de dire que si on ne le fait pas, c'est un coup des constructeurs pour vous obliger à changer de voiture plus souvent...
Je pense que ce n'est pas tout à fait logique et même une façon de toujours trouver la faute ailleurs.
Si les gens ne lisent pas les modes d'emplois, les recommandations du constructeurs, c'est leur choix et leur responsabilité.
"On avale à pleine gorgée le mensonge qui nous flatte et l'on boit goutte à goutte une vérité qui nous est amère."
IL faut TOUJOURS quelque chose pour réinstaller windows ou n'importe quel système. que ce soit un CD/dvd, une clé usb, une disque dur secondaire, externe ou non, etc.
quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!
Je pense que vous voyez le mal partout.
Quand on a PAS fait les sauvegardes nécessaires et qu'on achète même un tout nouveau pc on n'a pas non plus de CD/dvd ou autre média. Certes il y avait le partition recovery, mais ca non plus ce n'est plus d'actualité et ça n'empèche pas les sauvegardes.
Seul les moyens évoluent avec la technologie, pas les obligations.
Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé
Je confirme, peu d'internaute le font mais ça c'est leur responsabilité.
C'est comme pour une voiture (ou d'autres choses dans la vie) Quand vous l'achetez, il vous incombe une certains nombre de chose à faire, comme mettre de l’essence ou du liquide lave glace, vérifier la pression des pneus; prendre RDV pour les entretient, Bref tout ce que le garagiste ne fera pas à votre place mais qui si elle ne se font pas, risque d'user prématurément le véhicule voir pire.
Votre raisonnement serait de dire que si on ne le fait pas, c'est un coup des constructeurs pour vous obliger à changer de voiture plus souvent...
Je pense que ce n'est pas tout à fait logique et même une façon de toujours trouver la faute ailleurs.
Si les gens ne lisent pas les modes d'emplois, les recommandations du constructeurs, c'est leur choix et leur responsabilité.
"On avale à pleine gorgée le mensonge qui nous flatte et l'on boit goutte à goutte une vérité qui nous est amère."
je suis un peu (beaucoup) d'accord avec toi mais si tout le monde faisait ce qui nous parait évident , il n'y aurait pratiquement plus de désinfection !!
les trois quart des gens quand ils achètent , ils veulent que cela fonctionne , ils se foutent complètement du pourquoi ou du comment c'est fait tant que cela fonctionne !!!
quand aux constructeurs (de tout et de rien) il devrait faire aussi des notice lisible et plus simple, tout en allant plus "profondément !!
mais l'un dans l'autre je suis d'accord , le sujet n'étant pas là , c'est comment faire quand on a attrapé cette grosse infection ...!
^^
les trois quart des gens quand ils achètent , ils veulent que cela fonctionne , ils se foutent complètement du pourquoi ou du comment c'est fait tant que cela fonctionne !!!
quand aux constructeurs (de tout et de rien) il devrait faire aussi des notice lisible et plus simple, tout en allant plus "profondément !!
mais l'un dans l'autre je suis d'accord , le sujet n'étant pas là , c'est comment faire quand on a attrapé cette grosse infection ...!
^^
tiens le nouveau rasomware qui continu à détruire même après avoir payé ...(il fallait bien que cela arrive ...)
Logithèque
^^
Logithèque
^^
Après l'extenson .Zepto
Le ransomware Locky utilise maintenant l'extension .odin :
https://forum.malekal.com/viewtopic.php?t=54444&start=#p425385
https://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_odin
Le ransomware Locky utilise maintenant l'extension .odin :
https://forum.malekal.com/viewtopic.php?t=54444&start=#p425385
https://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_odin
Attention aux faux emails Free qui propagent Locky : https://forum.malekal.com/viewtopic.php?t=54467&start=30#p426674
Sachant qu'il n'y a pas de méthodes pour récupérer les fichiers .odin
Après il sera trop tard.
Comme d'habitude, le fichier malicieux est un script.
=> Comment se protéger des scripts malicieux sur Windows
Veuillez appuyer sur une touche pour continuer la désinfection...
Sachant qu'il n'y a pas de méthodes pour récupérer les fichiers .odin
Après il sera trop tard.
Comme d'habitude, le fichier malicieux est un script.
=> Comment se protéger des scripts malicieux sur Windows
Veuillez appuyer sur une touche pour continuer la désinfection...
Hello,
La méthode de récupération via Shadow Explorer fonctionne très bien, encore faut-il qu'il y ait un point de restauration réalisé préalablement comme le souligne l'électricien du 69 ;)
Prudence est mère de sureté...
La méthode de récupération via Shadow Explorer fonctionne très bien, encore faut-il qu'il y ait un point de restauration réalisé préalablement comme le souligne l'électricien du 69 ;)
Prudence est mère de sureté...
Ca ne fonctionne que dans certains cas.
Locky cherche à supprimer toutes les shadow copies depuis presque le début, il n'y avait que les premières variantes qui les laissaient.
Puis ils se sont mis à utiliser vssadmin.
Les concepteurs sont pas là pour laisser une chance de récupérer les fichiers mais à obliger la victime à payer.
Avant Locky : https://pjjoint.malekal.com/files.php?read=20161024_y12t11i8m14p15
Après Locky :
https://pjjoint.malekal.com/files.php?read=20161024_g11i11p7v13u10
https://pjjoint.malekal.com/files.php?read=20161024_e126f8q1315
Les versions précédentes sont supprimées.
La seule chose est que Locky continue à chiffrer les documents même si les versions précédentes n'ont PAS été supprimées, là où Cryptowall, lui, s'arretait (il faisait un check).
Donc ça peut marcher dans certains cas mais normalement le but est bien de les supprimer.
Ca paraît assez évident.
Locky cherche à supprimer toutes les shadow copies depuis presque le début, il n'y avait que les premières variantes qui les laissaient.
Puis ils se sont mis à utiliser vssadmin.
Les concepteurs sont pas là pour laisser une chance de récupérer les fichiers mais à obliger la victime à payer.
Avant Locky : https://pjjoint.malekal.com/files.php?read=20161024_y12t11i8m14p15
Après Locky :
https://pjjoint.malekal.com/files.php?read=20161024_g11i11p7v13u10
https://pjjoint.malekal.com/files.php?read=20161024_e126f8q1315
Les versions précédentes sont supprimées.
La seule chose est que Locky continue à chiffrer les documents même si les versions précédentes n'ont PAS été supprimées, là où Cryptowall, lui, s'arretait (il faisait un check).
Donc ça peut marcher dans certains cas mais normalement le but est bien de les supprimer.
Ca paraît assez évident.
Oui je suis d'accord mais Shadow Explorer est quand même à tenter. Ici en l'occurrence sur Odin il permet de récupérer ses doc soit disant perdus...(j'ai testé moi même sur un Windows 7). Après, évidemment y'a des versions où ça ne fonctionne pas, mais ça ne coûte rien de tenter en tout cas.
Bref, l'espoir est très mince mais pas forcément absent ;)
Bref, l'espoir est très mince mais pas forcément absent ;)
Bien sûr qu'il faut tenter.
Ca ne dépend pas de la version, comme j'ai dit précédemment, depuis presque le début, Locky tentent de supprimer versions précédentes.
Ca ne dépend pas de la version, comme j'ai dit précédemment, depuis presque le début, Locky tentent de supprimer versions précédentes.
Re Mak,
Oui bien sûr, par version je voulais dire le "type" de Ransomware..., pas de version de Odin...Tester un ranso Odin (ainsi que les solutions de récup qui peuvent fonctionner) me suffit amplement ;)
Mais parfois y'a des mise à jour de versions, donc on a vite fait de ne pas se comprendre effectivement...
Bonne soirée ;)
Oui bien sûr, par version je voulais dire le "type" de Ransomware..., pas de version de Odin...Tester un ranso Odin (ainsi que les solutions de récup qui peuvent fonctionner) me suffit amplement ;)
Mais parfois y'a des mise à jour de versions, donc on a vite fait de ne pas se comprendre effectivement...
Bonne soirée ;)
Locky utilise maintenant l'extension .shit : https://forum.malekal.com/viewtopic.php?t=54444&start=#p426678
L'ordinateur familial a été infecté par ce ransomware avec effectivement tous les fichiers cryptés et l'extension .shit.
Est ce que tu saurais comment supprimer cette nouvelle version du virus?
Malwarebytes ne le trouve pas, et les autres anti virus nécessitent une connection internet, cependant nous ne souhaitons pas prendre le risque de connecter l'ordinateur infecté au wifi de la maison pour ne pas contaminer les autres ordinateurs.
Je t'avoue que nous sommes tous dégoûtés, plusieurs années de photos de famille sont perdues pour le moment, et avant de tester les solutions avec Shadow Explorer on tente en vain de supprimer le virus ...
Je n'ai trouvé pour le moment que des fichiers nommés "nehehxoiw1" "nehehxoiw2" et "nehehxoiw3" dont certains en .dll que j'ai supprimé, mais impossible de savoir si le virus est toujours présent.
Merci d'avance si tu acceptes de nous venir en aide.
Est ce que tu saurais comment supprimer cette nouvelle version du virus?
Malwarebytes ne le trouve pas, et les autres anti virus nécessitent une connection internet, cependant nous ne souhaitons pas prendre le risque de connecter l'ordinateur infecté au wifi de la maison pour ne pas contaminer les autres ordinateurs.
Je t'avoue que nous sommes tous dégoûtés, plusieurs années de photos de famille sont perdues pour le moment, et avant de tester les solutions avec Shadow Explorer on tente en vain de supprimer le virus ...
Je n'ai trouvé pour le moment que des fichiers nommés "nehehxoiw1" "nehehxoiw2" et "nehehxoiw3" dont certains en .dll que j'ai supprimé, mais impossible de savoir si le virus est toujours présent.
Merci d'avance si tu acceptes de nous venir en aide.
Salut,
Malheureusement, la récupération n'est pas possible.
Normalement Locky n'est pas résident.
Suis le tutoriel FRST
Créé ton sujet (réponds pas ici stp)
Donne y les rapports pjjoint.
Malheureusement, la récupération n'est pas possible.
Normalement Locky n'est pas résident.
Suis le tutoriel FRST
Créé ton sujet (réponds pas ici stp)
Donne y les rapports pjjoint.
Les fichiers chiffrés par le ransomware Locky ont maintenant l'extension .thor maintenant.
https://forum.malekal.com/viewtopic.php?t=54444&start=#p426729
https://forum.malekal.com/viewtopic.php?t=54444&start=#p426729
Non c'est .thor l'extension actuelle, l'extension .shit c'était juste avant pour 2 jours.
https://forums.commentcamarche.net/forum/affich-33484536-ransomwares?page=2#68
https://forums.commentcamarche.net/forum/affich-33484536-ransomwares?page=2#74
Vous ne suivez pas Mr Gen-Hackman, c'est cela aussi de se mettre au fond de la classe et discutailler avec vos amis sur les différents topics.
Vous me donnerez votre carnet de correspondance à la fin du cours de désinfection.
https://forums.commentcamarche.net/forum/affich-33484536-ransomwares?page=2#68
https://forums.commentcamarche.net/forum/affich-33484536-ransomwares?page=2#74
Vous ne suivez pas Mr Gen-Hackman, c'est cela aussi de se mettre au fond de la classe et discutailler avec vos amis sur les différents topics.
Vous me donnerez votre carnet de correspondance à la fin du cours de désinfection.
avec aussi des stealer stype Smokebot, d'autres ransomwares etc.
Ca doit faire depuis un sacré moment que cela tourne, puisque j'avais déjà choppé une fin Avril.