Attaque virus ransomware .jaff : chiffrement RSA

Fermé
Emile2509 Messages postés 1 Date d'inscription mercredi 28 septembre 2016 Statut Membre Dernière intervention 28 septembre 2016 - Modifié le 18 mai 2017 à 23:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 mai 2017 à 19:54
Bonjour, s'il vous plait ce matin ma machine a subi une attaque ransonware j'essaie de trouver des solutions et sur les forums j'ai donc fais l'analyse voici le resultat mais je ne sais que faire si quelqu'un peut m'aider a liberer la machine

https://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
https://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
https://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9


A voir également:

8 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 2/12/2016 à 10:19
Vu qu'il y a d'autres demandes on va détailler.

.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz

Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.

Rapide tour d'horizon du ransomware Locky.

Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : https://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.

Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.

La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.

Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.

Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.



- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.

Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.

Du point de vue sécurité :

Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.

Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.

Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.

FAITES DES SAUVEGARDES

et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.

=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement



Veuillez appuyer sur une touche pour continuer la désinfection...
1
MENMOH95 Messages postés 4 Date d'inscription jeudi 18 mai 2017 Statut Membre Dernière intervention 20 mai 2017
18 mai 2017 à 22:40
Bonsoir et même si il se fait tard, je peux encore patienter 5 mn pour remercier Malekal pour ses explications et ses bonnes orientations et je vais voir comment me protéger dès ce WE... Voilà sur ce, bonne soirée et @++++
MENDJAM
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > MENMOH95 Messages postés 4 Date d'inscription jeudi 18 mai 2017 Statut Membre Dernière intervention 20 mai 2017
18 mai 2017 à 23:02
merci et de rien :)
0
MENMOH95 Messages postés 4 Date d'inscription jeudi 18 mai 2017 Statut Membre Dernière intervention 20 mai 2017
20 mai 2017 à 19:32
Bonsoir Malekal,
Je voulais encore profiter de ton savoir-faire pour m'éclairer sur un truc qui s'affiche sur mon écran à chaque démarrage. Une fenêtre qui me dit qu'il ne peut pas ouvrir ceci ou cela parce qu'il manque "rtl.120.bpl" et une autre qq secondes plus tard "rtl.150.bpl"...
J'ai essayé de télécharger des trucs soi-disant correcteurs, mais qui sont payants...!
Voilà ce que je voulais savoir comme solution pour ouvrir sur un fichier pour l'ouvrir...
Avec tous mes remerciements.
MENDJAM
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > MENMOH95 Messages postés 4 Date d'inscription jeudi 18 mai 2017 Statut Membre Dernière intervention 20 mai 2017
20 mai 2017 à 19:54
c'est lié à realtek, probablement ta carte réseau, rien à voir avec des virus.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
25 oct. 2016 à 09:39
Je change le titre en .shit pour couvrir la nouvelle extension de Locky.

comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
25 oct. 2016 à 16:40
Je change le titre en .thor pour couvrir la nouvelle extension de Locky.
> fichiers chiffrés avec l'extension .thor maintenant.

1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
28 sept. 2016 à 19:35
Salut,

C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.

Pour sécuriser ton ordinateur face à ces menaces :

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
0
Merci pour l'aiode mais concernant les fichiers chifres , dois je les supprimer ou les enregistres ? si jerer dois les enregistrer puis je le faire sur une clé saine ? ou j'ai deja quelques donnees?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Emile2509
Modifié par Malekal_morte- le 28/09/2016 à 21:25
Garde les, dans le cas où une solution est trouvée d'ici quelques mois.
Garde les un an ou deux.

Je n'ai pas compris les deux dernières questions.
0
Emile2509 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
29 sept. 2016 à 10:38
Salut bon actu je suis au stade que je vous ai fait parvennir mais comment je restaure ma machine ? La question etait si je pouvais copier ces fichiers la sur une cle comportant des donnees saines sans aucun risque.
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Emile2509
29 sept. 2016 à 14:14
Pourquoi veux-tu restaurer ta machine ?
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.

Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
0
Emile2509 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
29 sept. 2016 à 19:51
cool suis rassure mais petit probleme apres avoir tout repris mon souci est que mon pack office ne passe plus alors j'ai desinstallé pour reinstaller mais l'installation ne passe pas .
Serieusement vous m'etes d'une grande utilite
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
w3eqhha Messages postés 173 Date d'inscription dimanche 30 juillet 2006 Statut Membre Dernière intervention 29 septembre 2016 9
29 sept. 2016 à 14:45
Bonjour,
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
0
ThomasRuben Messages postés 1 Date d'inscription vendredi 23 octobre 2015 Statut Membre Dernière intervention 29 septembre 2016
29 sept. 2016 à 16:13
Un ami a été infecté par le virus .odin et enlevé. Quelqu'un sait comment décrypter les fichiers? Toutes les photos et ses fichiers sont verrouillés avec .odin .. Y at-il un remède? Nous voulons sauver au moins les images! :(
0
mmpb Messages postés 26 Date d'inscription vendredi 21 juin 2013 Statut Membre Dernière intervention 2 novembre 2016
1 nov. 2016 à 11:57
Merci pour le infos mais il semble que je n'arrive pas à récupérer les données infectées. J'ai fait une restauration système mais, bien entendu, les photos et documents ne sont toujours pas récupérables...Si quelqu'un a une idée, je suis preneur. Je rappelle que j'ai été infecté par un virus .thor qui m'a bloqué tous mes fichiers (photos, données, vidéos...), j'utilise windows 10, j'ai fait deux recup système sans succès et j'ai lancé malwarebytes....Merci par avance à ceux qui pourraient m'aider.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
1 nov. 2016 à 11:58
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
21 nov. 2016 à 13:47
Titre changé pour extension .aesir
0
J'ai supprimé le malware avec malwarebytes. Si je comprends bien, il n'existe aucun moyen de récupérer les fichiers encryptés ? J'ai essayé Shadow Explorer, il n'y a aucune sauvegarde pour le disque affecté (aucun dossier).

Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Camille
22 nov. 2016 à 11:02
Si Shadow Explorer échoue, non.

Désolé...

Faut faire des sauvegardes des documents, voir mon message "global" => https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 3/12/2016 à 12:26
Modif avec l'extension .zzzzz

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Gregos01 Messages postés 1 Date d'inscription lundi 12 décembre 2016 Statut Membre Dernière intervention 12 décembre 2016
12 déc. 2016 à 16:18
Bien le Bonjour à tous !

Il se trouve que je suis dans le même cas depuis vendredi dernier.
Tous mes fichiers sont cryptés avec l'extension .osiris

Alors j'ai suivi les quelques instructions demandées, notamment les trucs avec FRST (Addition, FRST et Short Cut).
Si vous voulez y jeter un eil, dites moi où je peux vous les envoyer en toute discrétion svp (PC pro)

Au préalable, j'ai installé Shadow explorer mais la page reste blanche de chez blanche, je n'ai même pas l'arborescence des dossiers... j'ai peut être fait une mauvaise manip, je ne sais pas.

J'y comprend pas grand chose à tous ça, je suis carrément novice, alors si vous pouviez m'aider à m'en sortir, ce serait vraiment sympa.

Merci de me dire s'il faut d'autres infos, je suis dispo n'hésitez pas.

Merci beaucoup d'avance pour votre aide.
Greg
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Gregos01 Messages postés 1 Date d'inscription lundi 12 décembre 2016 Statut Membre Dernière intervention 12 décembre 2016
12 déc. 2016 à 16:25
Si la page de Shadow Explorer reste blanche
c'est malheureusement mort pour récupérer tes fichiers.
0