Attaque virus ransomware .jaff : chiffrement RSA
Emile2509
Messages postés
1
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour, s'il vous plait ce matin ma machine a subi une attaque ransonware j'essaie de trouver des solutions et sur les forums j'ai donc fais l'analyse voici le resultat mais je ne sais que faire si quelqu'un peut m'aider a liberer la machine
https://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
https://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
https://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9
https://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
https://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
https://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9
A voir également:
- Attaque virus ransomware .jaff : chiffrement RSA
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Ransomware solution protection - Guide
8 réponses
Vu qu'il y a d'autres demandes on va détailler.
.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz
Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.
Rapide tour d'horizon du ransomware Locky.
Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : https://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.
Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.
La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.
Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.
Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.
- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.
Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.
Du point de vue sécurité :
Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.
Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.
Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.
FAITES DES SAUVEGARDES
et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.
=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement
Veuillez appuyer sur une touche pour continuer la désinfection...
.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz
Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.
Rapide tour d'horizon du ransomware Locky.
Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : https://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.
Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.
La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.
Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.
Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.
- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.
Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.
Du point de vue sécurité :
Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.
Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.
Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.
FAITES DES SAUVEGARDES
et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.
=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement
Veuillez appuyer sur une touche pour continuer la désinfection...
Je change le titre en .shit pour couvrir la nouvelle extension de Locky.
comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
Je change le titre en .thor pour couvrir la nouvelle extension de Locky.
> fichiers chiffrés avec l'extension .thor maintenant.
> fichiers chiffrés avec l'extension .thor maintenant.
Salut,
C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.
Pour sécuriser ton ordinateur face à ces menaces :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.
Pour sécuriser ton ordinateur face à ces menaces :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Salut bon actu je suis au stade que je vous ai fait parvennir mais comment je restaure ma machine ? La question etait si je pouvais copier ces fichiers la sur une cle comportant des donnees saines sans aucun risque.
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
Pourquoi veux-tu restaurer ta machine ?
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.
Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.
Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
Merci pour le infos mais il semble que je n'arrive pas à récupérer les données infectées. J'ai fait une restauration système mais, bien entendu, les photos et documents ne sont toujours pas récupérables...Si quelqu'un a une idée, je suis preneur. Je rappelle que j'ai été infecté par un virus .thor qui m'a bloqué tous mes fichiers (photos, données, vidéos...), j'utilise windows 10, j'ai fait deux recup système sans succès et j'ai lancé malwarebytes....Merci par avance à ceux qui pourraient m'aider.
Continue sur ton sujet : https://forums.commentcamarche.net/forum/affich-34050429-infection-virus-thor#p34050436
s'il te plait.
s'il te plait.
Titre changé pour extension .aesir
J'ai supprimé le malware avec malwarebytes. Si je comprends bien, il n'existe aucun moyen de récupérer les fichiers encryptés ? J'ai essayé Shadow Explorer, il n'y a aucune sauvegarde pour le disque affecté (aucun dossier).
Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
Si Shadow Explorer échoue, non.
Désolé...
Faut faire des sauvegardes des documents, voir mon message "global" => https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
Désolé...
Faut faire des sauvegardes des documents, voir mon message "global" => https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
Modif avec l'extension .zzzzz
Veuillez appuyer sur une touche pour continuer la désinfection...
Veuillez appuyer sur une touche pour continuer la désinfection...
Bien le Bonjour à tous !
Il se trouve que je suis dans le même cas depuis vendredi dernier.
Tous mes fichiers sont cryptés avec l'extension .osiris
Alors j'ai suivi les quelques instructions demandées, notamment les trucs avec FRST (Addition, FRST et Short Cut).
Si vous voulez y jeter un eil, dites moi où je peux vous les envoyer en toute discrétion svp (PC pro)
Au préalable, j'ai installé Shadow explorer mais la page reste blanche de chez blanche, je n'ai même pas l'arborescence des dossiers... j'ai peut être fait une mauvaise manip, je ne sais pas.
J'y comprend pas grand chose à tous ça, je suis carrément novice, alors si vous pouviez m'aider à m'en sortir, ce serait vraiment sympa.
Merci de me dire s'il faut d'autres infos, je suis dispo n'hésitez pas.
Merci beaucoup d'avance pour votre aide.
Greg
Il se trouve que je suis dans le même cas depuis vendredi dernier.
Tous mes fichiers sont cryptés avec l'extension .osiris
Alors j'ai suivi les quelques instructions demandées, notamment les trucs avec FRST (Addition, FRST et Short Cut).
Si vous voulez y jeter un eil, dites moi où je peux vous les envoyer en toute discrétion svp (PC pro)
Au préalable, j'ai installé Shadow explorer mais la page reste blanche de chez blanche, je n'ai même pas l'arborescence des dossiers... j'ai peut être fait une mauvaise manip, je ne sais pas.
J'y comprend pas grand chose à tous ça, je suis carrément novice, alors si vous pouviez m'aider à m'en sortir, ce serait vraiment sympa.
Merci de me dire s'il faut d'autres infos, je suis dispo n'hésitez pas.
Merci beaucoup d'avance pour votre aide.
Greg
MENDJAM
Je voulais encore profiter de ton savoir-faire pour m'éclairer sur un truc qui s'affiche sur mon écran à chaque démarrage. Une fenêtre qui me dit qu'il ne peut pas ouvrir ceci ou cela parce qu'il manque "rtl.120.bpl" et une autre qq secondes plus tard "rtl.150.bpl"...
J'ai essayé de télécharger des trucs soi-disant correcteurs, mais qui sont payants...!
Voilà ce que je voulais savoir comme solution pour ouvrir sur un fichier pour l'ouvrir...
Avec tous mes remerciements.
MENDJAM