Ransomware cryptage RSA4096
ptivelo2
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
ptivelo2 Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
ptivelo2 Messages postés 6 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Le pc de mon pere a été infecter par RSA4096 avec les symptômes déjà enoncer sur le forum avec le fameux message qui annonce que l'on doit payer en bitcoin pour retrouver ses fichiers crypter etc etc etc ...
J'ai supprimer le virus avec malware-bytes qui m'a supprimé au passage 80 programmes malveillant. Il ne fallait pas en demander tant à Avast ...
Sauf que le probleme c'est que les fichiers sont toujours crypter avec des extensions à la mormoilnoeux du genre .8ED09 ; .1E760 ; et surement encore d'autres. Les noms des fichiers sont également changer en une suite de chiffres
Donc j'ai essayé de décrypter en utilisant ça : <lien supprimé par la modératrion>
Mais ça ne fonctionne pas, teslacrack me renvoit 3 clefs AES inconnus de 126 caracteres chacune et aussi 3 clefs bitcoin de 126 caracteres également .. quand je rentre une des clefs dans yafu en faisant : factor(0xclef), ça ne fonctionne pas, il me dit "wrong numbers characters".
Ensuite j'ai essayé Tesla decoder, mais il ne fonctionne pas non plus, car mes fichiers ne sont pas avec une extension .ccc ou .vvv ou .aaa, etc ..
C'est un peu ennuyeux, parmi ces fichiers il y avait pas mal de photo de famille ...
Si c'est possible de récuperer ^^' .., je suis prêt à faire des manips assez complexe
merci d'avance !
Le pc de mon pere a été infecter par RSA4096 avec les symptômes déjà enoncer sur le forum avec le fameux message qui annonce que l'on doit payer en bitcoin pour retrouver ses fichiers crypter etc etc etc ...
J'ai supprimer le virus avec malware-bytes qui m'a supprimé au passage 80 programmes malveillant. Il ne fallait pas en demander tant à Avast ...
Sauf que le probleme c'est que les fichiers sont toujours crypter avec des extensions à la mormoilnoeux du genre .8ED09 ; .1E760 ; et surement encore d'autres. Les noms des fichiers sont également changer en une suite de chiffres
Donc j'ai essayé de décrypter en utilisant ça : <lien supprimé par la modératrion>
Mais ça ne fonctionne pas, teslacrack me renvoit 3 clefs AES inconnus de 126 caracteres chacune et aussi 3 clefs bitcoin de 126 caracteres également .. quand je rentre une des clefs dans yafu en faisant : factor(0xclef), ça ne fonctionne pas, il me dit "wrong numbers characters".
Ensuite j'ai essayé Tesla decoder, mais il ne fonctionne pas non plus, car mes fichiers ne sont pas avec une extension .ccc ou .vvv ou .aaa, etc ..
C'est un peu ennuyeux, parmi ces fichiers il y avait pas mal de photo de famille ...
Si c'est possible de récuperer ^^' .., je suis prêt à faire des manips assez complexe
merci d'avance !
2 réponses
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
C'est la variante CryptXXX donc tu peux oublier TeslaCrack et compagnie.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
C'est la variante CryptXXX donc tu peux oublier TeslaCrack et compagnie.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Plus actif,
Sécurise ton ordinateur :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits qui permettent l'infection de ton ordinateur par la simple visite d'un site WEB, si des logiciels ne sont pas à jour et vulnérables.
.
Sécurise ton ordinateur :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits qui permettent l'infection de ton ordinateur par la simple visite d'un site WEB, si des logiciels ne sont pas à jour et vulnérables.
.
merci de ta réponse, voici les 3 rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20160717_v9u10s86v10
https://pjjoint.malekal.com/files.php?id=20160717_p8m7g10w12h11
https://pjjoint.malekal.com/files.php?id=20160717_m7n9s10z7v15