Ransomcrypte .cryp1

[Fermé]
Signaler
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

J'ai été victime d'un ransomware qui a crypté tous les fichiers !
j'ai eu un écran (sur le bureau) noir et il y avait écrit :


All your files are enccrypted

ID . 6F01C9EFC002

http://eqyo4fbr5okzaysm.onion.to
http://eqyo4fbr5okzaysm.onion.cab
http://ww12.onion.city

Download and install Tor-Browser https://www.torproject.org/download/

TorLink:http://eqyo4fbr5okzaysm.onion

Write down the information to notebook (exercise book) and reboot the computer


je ne peux plus rien ouvrir ; mes fichiers .JPG ou . doc sont transformés en .crypt



comment puis-je m'en débarrasser et retrouver mes fichiers ?
Merci beaucoup par avance !!
je ne suis pas une pro de l'informatique ...
Sylvie

4 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

C'est la variante cryp1.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

Bonsoir Malekal_morte.
Je vais faire ça !
Merci
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236
CryptXXX ne reste pas actif, une fois qu'il a chiffré les fichiers, du coup, il ne reste que les fichiers d'instructions.

Menu Démarrer / tous les programmes et dans Démarrage, supprime les fichiers.

si tu trouves pas ce fix FRST va faire le boulot :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002B.lnk [1899-12-30]
ShortcutTarget: !6F01C9EFC002B.lnk -> C:\ProgramData\!6F01C9EFC002.bmp (Pas de fichier)
Startup: C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002H.lnk [1899-12-30]
ShortcutTarget: !6F01C9EFC002H.lnk -> C:\ProgramData\!6F01C9EFC002.html ()


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Je te conseille de désinstaller Spybot, pas super efficace, selon moi. ( Adwares : Antispyware comment ne pas désinfecter son Windows )
En plus il se charge au démarrage, ce qui peut ralentir le démarrage.

Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

Bonjour,
merci pour la suite !
J'ai Windows 8.1 et j'ai pas trouvé le menu démarrer !!! alors j'ai fait avec FRST !!
voici le message Fixlog.txt
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:01-06-2016
Exécuté par MONNERET (2016-06-02 18:40:52) Run:1
Exécuté depuis C:\Users\MONNERET\Desktop
Profils chargés: MONNERET (Profils disponibles: MONNERET & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002B.lnk [1899-12-30]
ShortcutTarget: !6F01C9EFC002B.lnk -> C:\ProgramData\!6F01C9EFC002.bmp (Pas de fichier)
Startup: C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002H.lnk [1899-12-30]
ShortcutTarget: !6F01C9EFC002H.lnk -> C:\ProgramData\!6F01C9EFC002.html ()


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002B.lnk => déplacé(es) avec succès
C:\ProgramData\!6F01C9EFC002.bmp => non trouvé(e).
C:\Users\MONNERET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!6F01C9EFC002H.lnk => déplacé(es) avec succès
ShortcutTarget: !6F01C9EFC002H.lnk -> C:\ProgramData\!6F01C9EFC002.html () => non trouvé(e).


Le système a dû redémarrer.

Fin de Fixlog 18:41:13

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236
voila, on peut pas faire mieux.

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows vu que tu as dû être infecté par un Web Exploit.

Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

merci beaucoup pout ton aide!
c super sympa.
Sinon j'ai vu qu'il y avait pas mal de fichier *.cryp1 !!
ça ne va pas gêner pour le fonctionnement de l'ordi ?

Je vais aller voir sur ton lien pour sécuriser !!
Merci encore

cdlt
Sylvie
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236 >
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

non, garde les 6 mois, des fois qu'une solution soit trouvée pour les récupérer.
Si pas de nouvelle, c'est mort.
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

Ok.
Merci pour tout.
Sylvie
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236 >
Messages postés
26
Date d'inscription
jeudi 5 juin 2008
Statut
Membre
Dernière intervention
3 juin 2016

de rien =)
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 236
Kaspersky vient de mettre en ligne un outil qui permet de récupérer les fichiers .crypt
Plus d'informations, sur la fiche CryptXXX.