Attaque virus ransomware .jaff : chiffrement RSA [Fermé]

Signaler
Messages postés
1
Date d'inscription
mercredi 28 septembre 2016
Statut
Membre
Dernière intervention
28 septembre 2016
-
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
-
Bonjour, s'il vous plait ce matin ma machine a subi une attaque ransonware j'essaie de trouver des solutions et sur les forums j'ai donc fais l'analyse voici le resultat mais je ne sais que faire si quelqu'un peut m'aider a liberer la machine

https://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
https://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
https://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9


8 réponses

Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Vu qu'il y a d'autres demandes on va détailler.

.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz

Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.

Rapide tour d'horizon du ransomware Locky.

Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : https://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.

Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.

La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.

Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.

Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.



- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.

Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.

Du point de vue sécurité :

Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.

Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.

Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.

FAITES DES SAUVEGARDES

et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.

=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement



Veuillez appuyer sur une touche pour continuer la désinfection...
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76040 internautes nous ont dit merci ce mois-ci

Messages postés
4
Date d'inscription
jeudi 18 mai 2017
Statut
Membre
Dernière intervention
20 mai 2017

Bonsoir et même si il se fait tard, je peux encore patienter 5 mn pour remercier Malekal pour ses explications et ses bonnes orientations et je vais voir comment me protéger dès ce WE... Voilà sur ce, bonne soirée et @++++
MENDJAM
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 >
Messages postés
4
Date d'inscription
jeudi 18 mai 2017
Statut
Membre
Dernière intervention
20 mai 2017

merci et de rien :)
Messages postés
4
Date d'inscription
jeudi 18 mai 2017
Statut
Membre
Dernière intervention
20 mai 2017

Bonsoir Malekal,
Je voulais encore profiter de ton savoir-faire pour m'éclairer sur un truc qui s'affiche sur mon écran à chaque démarrage. Une fenêtre qui me dit qu'il ne peut pas ouvrir ceci ou cela parce qu'il manque "rtl.120.bpl" et une autre qq secondes plus tard "rtl.150.bpl"...
J'ai essayé de télécharger des trucs soi-disant correcteurs, mais qui sont payants...!
Voilà ce que je voulais savoir comme solution pour ouvrir sur un fichier pour l'ouvrir...
Avec tous mes remerciements.
MENDJAM
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 >
Messages postés
4
Date d'inscription
jeudi 18 mai 2017
Statut
Membre
Dernière intervention
20 mai 2017

c'est lié à realtek, probablement ta carte réseau, rien à voir avec des virus.
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Je change le titre en .shit pour couvrir la nouvelle extension de Locky.

comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76040 internautes nous ont dit merci ce mois-ci

Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Je change le titre en .thor pour couvrir la nouvelle extension de Locky.
> fichiers chiffrés avec l'extension .thor maintenant.

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 76040 internautes nous ont dit merci ce mois-ci

Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Salut,

C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.

Pour sécuriser ton ordinateur face à ces menaces :

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 > Emile2509
Garde les, dans le cas où une solution est trouvée d'ici quelques mois.
Garde les un an ou deux.

Je n'ai pas compris les deux dernières questions.
>
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020

Salut bon actu je suis au stade que je vous ai fait parvennir mais comment je restaure ma machine ? La question etait si je pouvais copier ces fichiers la sur une cle comportant des donnees saines sans aucun risque.
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 > Emile2509
Pourquoi veux-tu restaurer ta machine ?
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.

Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
>
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020

cool suis rassure mais petit probleme apres avoir tout repris mon souci est que mon pack office ne passe plus alors j'ai desinstallé pour reinstaller mais l'installation ne passe pas .
Serieusement vous m'etes d'une grande utilite
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 > Emile2509
C'est dire à l'installation ne passe pas ?
Tu as des messages d'erreur ou des codes ? Faut pas donner plus d'informations.
Messages postés
173
Date d'inscription
dimanche 30 juillet 2006
Statut
Membre
Dernière intervention
29 septembre 2016
9
Bonjour,
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
Messages postés
1
Date d'inscription
vendredi 23 octobre 2015
Statut
Membre
Dernière intervention
29 septembre 2016

Un ami a été infecté par le virus .odin et enlevé. Quelqu'un sait comment décrypter les fichiers? Toutes les photos et ses fichiers sont verrouillés avec .odin .. Y at-il un remède? Nous voulons sauver au moins les images! :(
Messages postés
26
Date d'inscription
vendredi 21 juin 2013
Statut
Membre
Dernière intervention
2 novembre 2016

Merci pour le infos mais il semble que je n'arrive pas à récupérer les données infectées. J'ai fait une restauration système mais, bien entendu, les photos et documents ne sont toujours pas récupérables...Si quelqu'un a une idée, je suis preneur. Je rappelle que j'ai été infecté par un virus .thor qui m'a bloqué tous mes fichiers (photos, données, vidéos...), j'utilise windows 10, j'ai fait deux recup système sans succès et j'ai lancé malwarebytes....Merci par avance à ceux qui pourraient m'aider.
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Titre changé pour extension .aesir
J'ai supprimé le malware avec malwarebytes. Si je comprends bien, il n'existe aucun moyen de récupérer les fichiers encryptés ? J'ai essayé Shadow Explorer, il n'y a aucune sauvegarde pour le disque affecté (aucun dossier).

Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 > Camille
Si Shadow Explorer échoue, non.

Désolé...

Faut faire des sauvegardes des documents, voir mon message "global" => https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125
Modif avec l'extension .zzzzz

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
1
Date d'inscription
lundi 12 décembre 2016
Statut
Membre
Dernière intervention
12 décembre 2016

Bien le Bonjour à tous !

Il se trouve que je suis dans le même cas depuis vendredi dernier.
Tous mes fichiers sont cryptés avec l'extension .osiris

Alors j'ai suivi les quelques instructions demandées, notamment les trucs avec FRST (Addition, FRST et Short Cut).
Si vous voulez y jeter un eil, dites moi où je peux vous les envoyer en toute discrétion svp (PC pro)

Au préalable, j'ai installé Shadow explorer mais la page reste blanche de chez blanche, je n'ai même pas l'arborescence des dossiers... j'ai peut être fait une mauvaise manip, je ne sais pas.

J'y comprend pas grand chose à tous ça, je suis carrément novice, alors si vous pouviez m'aider à m'en sortir, ce serait vraiment sympa.

Merci de me dire s'il faut d'autres infos, je suis dispo n'hésitez pas.

Merci beaucoup d'avance pour votre aide.
Greg
Messages postés
178206
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 juin 2020
21 125 >
Messages postés
1
Date d'inscription
lundi 12 décembre 2016
Statut
Membre
Dernière intervention
12 décembre 2016

Si la page de Shadow Explorer reste blanche
c'est malheureusement mort pour récupérer tes fichiers.