Fichier crypter

kiki91470 Messages postés 4 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour

je viens de constater qu'au démarrage de mon ordinateur des fichier ont changer,
les extensions ont changer fichier infecte transformé pdf jpg et docx en .crypt à cause d'un ransomware.
s'affiche un message, une rançon pour débloque le problème.
j'ai essayé de supprimé l'extension, mais bien sur cela aurait été trop facile. je perds toutes mes photos, pdf ,docx lien internet et autres.
je ne sais que faire.
merci pour votre aide
cordialement kiki91470

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

    Il faut d'abord vérifier qu'aucune menace ne soit encore active.
    Par précaution, pense aussi à changer tous tes mots de passe.

    1°) FRST
    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
    1. kiki91470 Messages postés 4 Statut Membre
       
      Bonsoir
      merci pour avoir repondu rapidement , je vient de vous faire parvenir les 3 fichiers
      merci
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > kiki91470 Messages postés 4 Statut Membre
         
        il faut donner les liens ici.
        0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu as trois antivirus, ça doit bien ramer.
    Panneau de configuration > Programmes et fonctionnalités.
    Désinstalle tout et garde Avast! OU AVG.

    AV: Lavasoft Ad-Watch Live! Anti-Virus (Disabled - Up to date) {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
    AV: Lavasoft Ad-Aware (Enabled - Out of date) {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
    AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    AV: AVG Internet Security 2012 (Disabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
    AS: AVG Internet Security 2012 (Disabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}


    sinon je ne vois pas de fichiers .crypt
    il y a cependant des restes d'adwares.

    C'est bien ce PC qui a été touché par le ransomware ?

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    ProxyEnable: [.DEFAULT] => Proxy est activé.
    ProxyServer: [.DEFAULT] => http=127.0.0.1:49466;https=127.0.0.1:49466 [Attention - Possible Proxy Malicieux]
    AutoConfigURL: [.DEFAULT] => http=127.0.0.1:49466;https=127.0.0.1:49466 [Attention - Possible Proxy Malicieux]
    CHR HomePage: Default -> hxxps://nl.search.yahoo.com/?type=926458&fr=yo-yhp-ch [Pays - ]
    CHR StartupUrls: Default -> hxxps://nl.search.yahoo.com/?type=926458&fr=yo-yhp-ch [Pays - ]
    R2 SafeguardService; C:\Program Files\nvkhjiyviht\SafeguardService.exe [1161216 2015-05-19] () [Fichier non signé]
    C:\Program Files\nvkhjiyviht
    Task: {ED5CA709-D23A-4A2C-9966-F89847E5A34C} - System32\Tasks\$dMM6KqyKu+JyN+{$ => C:\Users\ARMAND\AppData\Roaming\playnowradio\playnowradio\1.3.4.8\playnowradio.exe
    C:\Users\ARMAND\AppData\Roaming\playnowradio
    Task: {6398C3B2-6384-46B1-89C3-66129C65206E} - System32\Tasks\{FB75BF5C-D653-4CF9-AA61-BB7C70046E06} => pcalua.exe -a "E:\Nero_9\Nero 8 Ultra Edition 8.2.8.0\Nero 7.9.6.0 + keygen\Nero_7.9.6.0\Nero-7.9.6.0_all_trial.exe" -d "E:\Nero_9\Nero 8 Ultra Edition 8.2.8.0\Nero 7.9.6.0 + keygen\Nero_7.9.6.0"
    Task: {370167AD-C503-4CA8-9236-BD4E4BB8AB46} - System32\Tasks\{4624dc92-f5ae-4bf5-9bad-f74821924559} => C:\Program Files\7408f5ea-5b44-44c3-9582-83de408766c3\MzNmYjNiMjItMmMyYS00OThjLThhYjQtNmE3OTk3ZWY2MDQ4.exe [2015-05-29] ()
    Task: {126D1F83-4A4C-40D9-9EEE-BEB01663F5FD} - System32\Tasks\{5c24a865-3daa-46fa-b39c-30cefa400dd7} => C:\Program Files\23db8fd0-dfc3-4bb3-adf2-084207d3f7df\NTBkZTNiODktODk2YS00NmI3LWFlZGYtNTYxZmU2MTJhYzFi.exe [2015-05-29] ()
    Task: {13AFFE5C-D7BE-40FE-857E-84FEDC3FC771} - System32\Tasks\SimpleFiles Update Service => C:\Program Files\SimpleFilesUpdater\SimpleFilesUpdater.exe
    2016-05-01 16:21 - 2016-05-01 16:21 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{FD216C81-1A2C-4E25-8E3A-377BF8A4F2CE}
    2016-04-30 22:31 - 2016-04-30 22:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1E011462-B48E-4337-8239-4DC15088075A}
    2016-04-29 23:10 - 2016-04-29 23:10 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{972704E4-C8ED-4BCC-A96F-2F78720A1518}
    2016-04-28 19:36 - 2016-04-28 19:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5DE26E87-A667-4350-B6CA-AB3864386714}
    2016-04-27 23:11 - 2016-04-27 23:11 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{04559956-514C-4228-9C19-C6414AFECB7B}
    2016-04-27 22:46 - 2016-04-27 22:46 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1C58B872-3D7D-43F8-97DD-AF70B225473E}
    2016-04-26 14:45 - 2016-04-26 14:45 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{A51C844F-D8A4-49D1-8CD6-8F5267548F90}
    2016-04-25 22:59 - 2016-04-25 22:59 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{AA2E30EB-1831-4565-BEE1-DFB5BAC07F2C}
    2016-04-24 22:44 - 2016-04-24 22:44 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F7609006-489C-4A31-A15E-3377DECED569}
    2016-05-12 17:32 - 2016-05-12 17:33 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{90D06969-7AEA-4616-98FE-C421DC15304C}
    2016-05-11 14:32 - 2016-05-11 14:32 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{57577601-E4AC-4905-B1FC-FFF79AEF0FD1}
    2016-05-10 14:39 - 2016-05-10 14:39 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{B1729DB7-B612-4109-840A-03B2D290C79F}
    2016-05-09 14:20 - 2016-05-09 14:20 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{073ACEAD-AFAD-4F11-81C0-A250EFDBA7D0}
    2016-05-08 20:40 - 2016-05-08 20:40 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{4E00349D-13EE-4995-B602-D7999EF9994F}
    2016-05-08 00:16 - 2016-05-08 00:17 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{C180F8FC-F69F-4FDB-ABDA-1D797B5CDCB4}
    2016-05-06 14:31 - 2016-05-06 14:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{8AEF37AD-5078-4A43-BEBC-BD96C45361CF}
    2016-05-05 23:21 - 2016-05-05 23:21 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F1562473-7548-45D0-91E8-195A65584868}
    2016-05-05 23:20 - 2016-05-05 23:20 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{66766F04-980A-499B-AF3B-6537A54C44CF}
    2016-05-05 09:35 - 2016-05-05 09:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{ACA2EE2F-4E10-41D0-8F5E-CFAF384F3654}
    2016-05-04 21:17 - 2016-05-04 21:17 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5FF1BA1B-6718-4C5C-8953-6E276D0B1750}
    2016-05-03 14:31 - 2016-05-03 14:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{7F9AC3F1-3C2E-4B17-AEC0-F5B31DD866DE}
    2016-05-02 19:55 - 2016-05-02 19:55 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5ED077F4-38C9-44D0-A508-75E39937059F}
    2016-04-23 20:40 - 2016-04-23 20:40 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{CF64A5C5-654C-4019-80EB-3BE82E1D7FBD}
    2016-04-22 16:28 - 2016-04-22 16:28 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{732799F6-8B06-40A7-B79D-E1E7D6098959}
    2016-05-15 11:10 - 2016-05-15 11:10 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{8B2DA448-670D-4EEF-AF42-BA5E212ABB5F}
    2016-05-14 23:09 - 2016-05-14 23:09 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{CDA53571-5AEF-419A-B0C5-E26CFB511FF9}
    2016-05-14 09:15 - 2016-05-14 09:16 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{AED128D7-AF68-4FC2-9EE5-A4147053C3DE}
    2016-05-13 14:32 - 2016-05-13 14:32 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{16154C9A-489B-4D8B-A300-8F4D2CED2F82}
    2016-05-22 13:11 - 2016-05-22 13:11 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\ARMAND\Downloads\SpyHunter-Installer (2).exe
    2016-05-22 12:54 - 2016-05-22 12:54 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{BAE7CA2A-9652-49CB-BAB5-DBB9E2FBA64A}
    2016-05-20 16:18 - 2016-05-20 16:19 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5827EFF6-4028-4074-AA40-85F04DACADF3}
    2016-05-20 04:18 - 2016-05-20 04:18 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{250D0E79-BB9B-4E79-94CE-3E53F703498A}
    2016-05-19 15:36 - 2016-05-19 15:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{4B1F8C45-321C-4066-A860-2D97934ED35A}
    2016-05-18 17:01 - 2016-05-18 17:01 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1A2F66DB-3E28-4FA4-B38A-BA06541C5096}
    2016-05-17 14:52 - 2016-05-17 14:52 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{57B1558B-FBF7-4638-B0CE-C4EE2655CA63}
    2016-05-16 16:00 - 2016-05-16 16:01 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F9C7812C-36E2-48B1-83EF-D60DCD38C5E3}
    2016-05-15 23:24 - 2016-05-15 23:25 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{14ADEC6E-5BEF-4815-92AD-AA64ACD6EBE3}
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
    1. kiki91470 Messages postés 4 Statut Membre
       
      Bonsoir
      Un grand merci, Malekal _Morte
      Un grand soulagement d’avoir répondu à mas demande,

      C’est bien, ce pc qui a été toucher et toute mes photos, PDF, et fichier texte on changer d extensions .maintenant il ce terminent . crypt
      Je vais mettre les fichiers de coter si un jour ont peux les débloquer..
      Merci
      Cdt
      KIKI91470
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > kiki91470 Messages postés 4 Statut Membre
         
        essaye l'outil Kaspersky donné sur cette page mais pas dit que ça puisse permettre de récupérer les fichiers : Ransomware CryptXXX - .crypt.
        0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Kaspersky vient de mettre en ligne un outil qui permet de récupérer les fichiers .crypt
    Plus d'informations, sur la fiche CryptXXX.
    0