Virus ransomware AES 128, RSA-2048 [Résolu/Fermé]

Signaler
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016
-
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
-
Bonjour,

mon ordinateur a ete infecte par le virus ransomware AES 128, RSA-2048

Tous mes fichiers sont dorenavant encryptes et inutilisables. Ils sont accompagnes d'une note "Locky recover instructions" comme suit :


!!! IMPORTANT INFORMATION !!!!
<ital>
<ital>All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://6dtxgqam4crv6rr6.tor2web.org/39184DCE455EB0AD
2. http://6dtxgqam4crv6rr6.onion.to/39184DCE455EB0AD
3. http://6dtxgqam4crv6rr6.onion.cab/39184DCE455EB0AD

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/39184DCE455EB0AD
4. Follow the instructions on the site.


J'ai fait quelques recherches sur internet, j'ai suivis ceci : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

J'ai mes trois fichiers : Shortcut.txt, Addition.txt et FRST.txt

Voici les rapport, dans l'ordre Shortcut.txt, Addition.txt et FRST.txt

Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5c15f5u8e9

Addition.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5l15u8o8c6

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20161028_l9m9o7l7u7

Mais la je suis perdu apparement il faut un script pour enlever le virus, un fixlist.txt, enfin pas sûr. Est-ce que quelqu'un aurait l’amabilité de bien vouloir m'aider, cela serait très gentil de sa part.

Merci d'avance.

12 réponses

Bonjour,

je vais regarder tes rapports, mais avant toute chose, regarde voir si la restauration système est activée et que tu ais un point de restauration système valide.

Ne restaure pas le pc !!!

télécharge Shadow explorer et passe le pour voir si tu arrives à récupérer tes données !

j'attends ton retours d'informations !


O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60172 internautes nous ont dit merci ce mois-ci

Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Salut,

Rien de malicieux sur tes rapports.
Locky n'est pas résident.

~~

Le changement d'extension de fichiers est dû au chiffrement des fichiers par un ransomwares (un logiciel malveillant).

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecter Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

hmm je vois mais sur le fond d'écran du PC il y a ce message débile, comment faire juste suivre cette méthode ?
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488 >
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Tu changes ton fond d'écran, tout simplement.
Après tu peux supprimer les fichiers instructions, en faisant une recherche Windows sur : _WHAT_is.html

Quant aux fichiers .thor... tu peux les garder, pendant 6 mois... peut-être qu'une solution sera donnée.... laisse les où ils se trouvent.

Lis bien tout ce qui est dans le lien et applique.

fais un clique droit sur ton écran et change ton fond d'écran

regarde ce poste :

https://forums.commentcamarche.net/forum/affich-34040252-virus-ransomware-aes-128-rsa-2048#1


Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

J'ai tout suivie à la lettre. Pour l'instant c'est bon, mais dégoutté des fichiers inaccessible. Enfin bref, par rapport au _WHAT_is.html faut tout supprimer au pas ?

pour "_WHAT_is.html", tu peux les chercher et supprimer manuellement !

il y en a un peu de partout sur le pc !


tu me confirmes que tu n'as pas pu récupérer aucun fichier ?

on a fait de tests et on a quand même pu en récupérer pas mal sauf les vidéos, sous W7, mais pas sous W10 1607 !
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

j'ai supprimé tous les _WHAT_is.html mais pour Recuva je n'ai pas encore fait. Mais je te tiendrais au courant
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Ça roule .. essaye aussi les versions précédentes comme indiqué dans le lien.

--
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Alors, tu en es où ?

je ne parle pas de Recuva, mais de Shadow Explorer !


Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Bonsoir, merci beaucoup pour votre aide. Grâce au logiciel, je suis entrain de récupérer mes fichiers. Maintenant reste plus qu'à le sécurisé de ces scripts malicieux.

Un grand merci !

Je vous tiendrais encore au courant d'ici demain après-midi.
Utilisateur anonyme
Bonjour,

avec quel logiciel?

Shadow explorer ou Recuva ?

ça peut servir à d'autres personnes !
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Super =)

Pour la protection des scripts, tu devrais être protégé contre la plupart des mails Locky.
Vu qu'il sont en majorité avec des scripts.
Il y a aussi avec les documents Word ou Excel, il suffit de ne pas activer la Macro.
Tu seras aussi protégé contre la plupart des infections amovibles.

Reste qu'essaye de prendre le temps de lire le mail avant d'ouvrir les pièces jointes.
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

En tout cas, merci pour votre aide. C'est très gentil.

Merci encore
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488 >
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Pas de soucis, je mets le sujet en résolu =)
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

J'avais essayé avec Recuva mais ça n'avait pas fonctionné mais avec Shadow Explorer cela a fonctionné avec brio.
Merci
merci du retours, ça va servir pour d'autres personnes et qu'on arrête de dire qu'il est impossible de récupérer les données !

il est possible mais il faut des conditions prérequises !
Hello,

Bravo l'électricien du 69, enfin quelqu'un qui met en pratique ses tests et découvertes.
Continuez comme ça mon petit, vous irez loin ! +1
Messages postés
1
Date d'inscription
dimanche 30 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Bonjour, j'espère que vous passez un bon dimanche.
Comme je suis novice en informatique, je voudrais quelques conseils.
J'ai installé Shadow Explorer ! Mais comme c'est écrit en anglais et que je comprends pas, pouvez-vous m'expliquer pour récupérer les fichiers vérolés, ceux terminant par l'extension ".thor". Merci par avance.
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
Salut Lopot,

Regarde là : https://forum.malekal.com/viewtopic.php?t=46739&start=
Tu sélectionnes les fichiers puis clic droit et export.
Place les dans un dossier créé pour les recevoir.
Par exemple sur le bureau.

et lis ce lien pour sécuriser ton ordinateur aussi : https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Juste par rapport a Marmiton il suffit de désactiver le Windows Script Host et de mettre toutes les cases en vertes ? Comme ceci ?

SCREENSHOT : https://prnt.sc/d0urbv
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488
oui c'est bon comme cela.

Marmiton désactive Windows Script mais tu peux aussi ajouter des scripts qui peuvent s'exécuter en cas de besoin (principe de la liste blanche).
Certains ordinateurs ont des scripts par défaut (Lenovo et Sony de mémoire) et certains programmes Intel peuvent en charger par des tâches planifiées.
Tu as des alertes redondantes, il suffit alors de d'ajouter le script dans la liste blanche.

Cela permet de te protéger contre les mails malicieux avec des scripts (ils sont dans des zips) mais aussi les infections amovibles : https://forum.malekal.com/viewtopic.php?t=51355&start=
Ces scripts malicieux par mail ont explosé en Décembre 2015 avec le ransomware TeslaCrypt.
Sachant que les médias amovibles avec des VBS pullulaient déjà avant.

Ensuite Locky, va aussi par des documents Office contenant des macros malicieuses.
Si Office est bien réglé... (Marmiton peut piloter ces paramètres de sécurité Office).
Tu peux faire exécuter manuellement la macro ou carrément les interdire.
En gros, si tu as un doute sur un fichier, ne l'exécute pas.

Locky, c'est le groupe Dridex (Un trojan Banker/Stealer) qui sévit depuis Août 2014 et visant les entreprises.
Ils sont passé à Locky vers Février/Mars 2016 qui cherchent plutôt à viser les entreprises aussi.
=> https://www.malekal.com/trojan-dridex-mail-malicieux-macro-office/

J'attire aussi ton attention sur les sauvegardes externes.
Tu es chanceux d'avoir pu récupérer tes documents avec les versions précédentes, mais ça ne marche pas à tous les coups, loin de là.
Donc fais des sauvegardes externes et tu seras tranquille en cas d'attaque, ou problème matériel.
=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement

Si tu as d'autres questions, n'hésite pas.
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016
>
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020

Sur un autre PC j'ai fait la même procédure mais il 'y a pas les cases vertes. Pourquoi ?
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488 >
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Microsoft Office est installé ?
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016
>
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020

ah peut etre pas, c'est vrai je viens de m'en souvenir. Il suffit juste de désactiver le WSH du coup. Merci
Messages postés
179056
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
21 488 >
Messages postés
10
Date d'inscription
vendredi 28 octobre 2016
Statut
Membre
Dernière intervention
30 octobre 2016

Tout à fait.