virus ransomware AES 128, RSA-2048 Résolu/Fermé

Question

Bonjour, mon ordinateur a ete infecte par le virus ransomware AES 128, RSA-2048 Tous mes fichiers sont dorenavant encryptes et inutilisables. Ils sont accompagnes d'une note "Locky recover instructions" comme suit : !!! IMPORTANT INFORMATION !!!! All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server. To receive your private key follow one of the links: 1. http://6dtxgqam4crv6rr6.tor2web.org/39184DCE455EB0AD 2. http://6dtxgqam4crv6rr6.onion.to/39184DCE455EB0AD 3. http://6dtxgqam4crv6rr6.onion.cab/39184DCE455EB0AD If all of this addresses are not available, follow these steps: 1. Download and install Tor Browser: https://www.torproject.org/download/ 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: 6dtxgqam4crv6rr6.onion/39184DCE455EB0AD 4. Follow the instructions on the site. J'ai fait quelques recherches sur internet, j'ai suivis ceci : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/ J'ai mes trois fichiers : Shortcut.txt, Addition.txt et FRST.txt Voici les rapport, dans l'ordre Shortcut.txt, Addition.txt et FRST.txt Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5c15f5u8e9 Addition.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5l15u8o8c6 FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20161028_l9m9o7l7u7 Mais la je suis perdu apparement il faut un script pour enlever le virus, un fixlist.txt, enfin pas sûr. Est-ce que quelqu'un aurait l’amabilité de bien vouloir m'aider, cela serait très gentil de sa part. Merci d'avance. Configuration: Windows 7 / Chrome 54.0.2840.71

Utilisateur anonyme · Answer

Bonjour,

je vais regarder tes rapports, mais avant toute chose, regarde voir si la restauration système est activée et que tu ais un point de restauration système valide. 

Ne restaure pas le pc !!!

télécharge Shadow explorer et passe le pour voir si tu arrives à récupérer tes données ! 

j'attends ton retours d'informations !
 
 
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Malekal_morte- · Answer

Salut,

Rien de malicieux sur tes rapports.
Locky n'est pas résident.

~~

Le changement d'extension de fichiers est dû au chiffrement des fichiers par un ransomwares (un logiciel malveillant).

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecter Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Utilisateur anonyme · Answer

fais un clique droit sur ton écran et change ton fond d'écran

regarde ce poste :

https://forums.commentcamarche.net/forum/affich-34040252-virus-ransomware-aes-128-rsa-2048#1

Moi123Moi123 · Answer

J'ai tout suivie à la lettre. Pour l'instant c'est bon, mais dégoutté des fichiers  inaccessible. Enfin bref, par rapport au  _WHAT_is.html faut tout supprimer au pas ?

Utilisateur anonyme · Answer

pour "_WHAT_is.html",  tu peux les chercher et supprimer manuellement ! 

il y en a un peu de partout sur le pc ! 


tu me confirmes que tu n'as pas pu récupérer aucun fichier ? 

on a fait de tests et on a quand même pu en récupérer pas mal sauf les vidéos, sous W7, mais pas sous W10 1607 !

Moi123Moi123 · Answer

j'ai supprimé tous les _WHAT_is.html mais pour Recuva je n'ai pas encore fait. Mais je te tiendrais au courant

Utilisateur anonyme · Answer

je ne parle pas de Recuva, mais de Shadow Explorer !

Moi123Moi123 · Answer

Bonsoir, merci beaucoup pour votre aide. Grâce au logiciel, je suis entrain de récupérer mes fichiers. Maintenant reste plus qu'à le sécurisé de ces scripts malicieux. 

Un grand merci !

Je vous tiendrais encore au courant d'ici demain après-midi.

Malekal_morte- · Answer

Super =)

Pour la protection des scripts, tu devrais être protégé contre la plupart des mails Locky.
Vu qu'il sont en majorité avec des scripts.
Il y a aussi avec les documents Word ou Excel, il suffit de ne pas activer la Macro.
Tu seras aussi protégé contre la plupart des infections amovibles.

Reste qu'essaye de prendre le temps de lire le mail avant d'ouvrir les pièces jointes.

Moi123Moi123 · Answer

J'avais essayé avec Recuva mais ça n'avait pas fonctionné mais avec Shadow Explorer cela a fonctionné avec brio.
Merci

Lopot · Answer

Bonjour, j'espère que vous passez un bon dimanche.
Comme je suis novice en informatique, je voudrais quelques conseils.
J'ai installé Shadow Explorer ! Mais comme c'est écrit en anglais et que je comprends pas, pouvez-vous m'expliquer pour récupérer les fichiers vérolés, ceux terminant par l'extension ".thor". Merci par avance.

Moi123Moi123 · Answer

Juste par rapport a Marmiton il suffit de désactiver le Windows Script Host et de mettre toutes les cases en vertes ? Comme ceci ? 

SCREENSHOT : https://prnt.sc/d0urbv

Virus ransomware AES 128, RSA-2048

12 réponses

Discussions similaires