Virus ransomware AES 128, RSA-2048

Résolu/Fermé
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016 - Modifié par Malekal_morte- le 30/10/2016 à 17:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 oct. 2016 à 19:42
Bonjour,

mon ordinateur a ete infecte par le virus ransomware AES 128, RSA-2048

Tous mes fichiers sont dorenavant encryptes et inutilisables. Ils sont accompagnes d'une note "Locky recover instructions" comme suit :


!!! IMPORTANT INFORMATION !!!!
<ital>
<ital>All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://6dtxgqam4crv6rr6.tor2web.org/39184DCE455EB0AD
2. http://6dtxgqam4crv6rr6.onion.to/39184DCE455EB0AD
3. http://6dtxgqam4crv6rr6.onion.cab/39184DCE455EB0AD

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/39184DCE455EB0AD
4. Follow the instructions on the site.


J'ai fait quelques recherches sur internet, j'ai suivis ceci : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

J'ai mes trois fichiers : Shortcut.txt, Addition.txt et FRST.txt

Voici les rapport, dans l'ordre Shortcut.txt, Addition.txt et FRST.txt

Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5c15f5u8e9

Addition.txt : https://pjjoint.malekal.com/files.php?id=20161028_r5l15u8o8c6

FRST.txt : https://pjjoint.malekal.com/files.php?id=FRST_20161028_l9m9o7l7u7

Mais la je suis perdu apparement il faut un script pour enlever le virus, un fixlist.txt, enfin pas sûr. Est-ce que quelqu'un aurait l’amabilité de bien vouloir m'aider, cela serait très gentil de sa part.

Merci d'avance.

12 réponses

Bonjour,

je vais regarder tes rapports, mais avant toute chose, regarde voir si la restauration système est activée et que tu ais un point de restauration système valide.

Ne restaure pas le pc !!!

télécharge Shadow explorer et passe le pour voir si tu arrives à récupérer tes données !

j'attends ton retours d'informations !


O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
1
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 1/11/2016 à 12:24
Salut,

Rien de malicieux sur tes rapports.
Locky n'est pas résident.

~~

Le changement d'extension de fichiers est dû au chiffrement des fichiers par un ransomwares (un logiciel malveillant).

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecter Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
28 oct. 2016 à 18:52
hmm je vois mais sur le fond d'écran du PC il y a ce message débile, comment faire juste suivre cette méthode ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
Modifié par Malekal_morte- le 28/10/2016 à 18:54
Tu changes ton fond d'écran, tout simplement.
Après tu peux supprimer les fichiers instructions, en faisant une recherche Windows sur : _WHAT_is.html

Quant aux fichiers .thor... tu peux les garder, pendant 6 mois... peut-être qu'une solution sera donnée.... laisse les où ils se trouvent.

Lis bien tout ce qui est dans le lien et applique.
0
Utilisateur anonyme
28 oct. 2016 à 18:54
fais un clique droit sur ton écran et change ton fond d'écran

regarde ce poste :

https://forums.commentcamarche.net/forum/affich-34040252-virus-ransomware-aes-128-rsa-2048#1


0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
28 oct. 2016 à 19:38
J'ai tout suivie à la lettre. Pour l'instant c'est bon, mais dégoutté des fichiers inaccessible. Enfin bref, par rapport au _WHAT_is.html faut tout supprimer au pas ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
28 oct. 2016 à 19:44
pour "_WHAT_is.html", tu peux les chercher et supprimer manuellement !

il y en a un peu de partout sur le pc !


tu me confirmes que tu n'as pas pu récupérer aucun fichier ?

on a fait de tests et on a quand même pu en récupérer pas mal sauf les vidéos, sous W7, mais pas sous W10 1607 !
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
28 oct. 2016 à 19:59
j'ai supprimé tous les _WHAT_is.html mais pour Recuva je n'ai pas encore fait. Mais je te tiendrais au courant
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
28 oct. 2016 à 20:35
Ça roule .. essaye aussi les versions précédentes comme indiqué dans le lien.

--
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
29 oct. 2016 à 18:06
Alors, tu en es où ?
0
Utilisateur anonyme
28 oct. 2016 à 19:59
je ne parle pas de Recuva, mais de Shadow Explorer !


0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 00:14
Bonsoir, merci beaucoup pour votre aide. Grâce au logiciel, je suis entrain de récupérer mes fichiers. Maintenant reste plus qu'à le sécurisé de ces scripts malicieux.

Un grand merci !

Je vous tiendrais encore au courant d'ici demain après-midi.
0
Utilisateur anonyme
30 oct. 2016 à 08:39
Bonjour,

avec quel logiciel?

Shadow explorer ou Recuva ?

ça peut servir à d'autres personnes !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
30 oct. 2016 à 11:03
Super =)

Pour la protection des scripts, tu devrais être protégé contre la plupart des mails Locky.
Vu qu'il sont en majorité avec des scripts.
Il y a aussi avec les documents Word ou Excel, il suffit de ne pas activer la Macro.
Tu seras aussi protégé contre la plupart des infections amovibles.

Reste qu'essaye de prendre le temps de lire le mail avant d'ouvrir les pièces jointes.
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 11:51
En tout cas, merci pour votre aide. C'est très gentil.

Merci encore
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 12:27
Pas de soucis, je mets le sujet en résolu =)
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 11:51
J'avais essayé avec Recuva mais ça n'avait pas fonctionné mais avec Shadow Explorer cela a fonctionné avec brio.
Merci
0
merci du retours, ça va servir pour d'autres personnes et qu'on arrête de dire qu'il est impossible de récupérer les données !

il est possible mais il faut des conditions prérequises !
0
Hello,

Bravo l'électricien du 69, enfin quelqu'un qui met en pratique ses tests et découvertes.
Continuez comme ça mon petit, vous irez loin ! +1
0
Lopot Messages postés 1 Date d'inscription dimanche 30 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 14:31
Bonjour, j'espère que vous passez un bon dimanche.
Comme je suis novice en informatique, je voudrais quelques conseils.
J'ai installé Shadow Explorer ! Mais comme c'est écrit en anglais et que je comprends pas, pouvez-vous m'expliquer pour récupérer les fichiers vérolés, ceux terminant par l'extension ".thor". Merci par avance.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 30/10/2016 à 14:41
Salut Lopot,

Regarde là : https://forum.malekal.com/viewtopic.php?t=46739&start=
Tu sélectionnes les fichiers puis clic droit et export.
Place les dans un dossier créé pour les recevoir.
Par exemple sur le bureau.

et lis ce lien pour sécuriser ton ordinateur aussi : https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 16:30
Juste par rapport a Marmiton il suffit de désactiver le Windows Script Host et de mettre toutes les cases en vertes ? Comme ceci ?

SCREENSHOT : https://prnt.sc/d0urbv
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 30/10/2016 à 18:06
oui c'est bon comme cela.

Marmiton désactive Windows Script mais tu peux aussi ajouter des scripts qui peuvent s'exécuter en cas de besoin (principe de la liste blanche).
Certains ordinateurs ont des scripts par défaut (Lenovo et Sony de mémoire) et certains programmes Intel peuvent en charger par des tâches planifiées.
Tu as des alertes redondantes, il suffit alors de d'ajouter le script dans la liste blanche.

Cela permet de te protéger contre les mails malicieux avec des scripts (ils sont dans des zips) mais aussi les infections amovibles : https://forum.malekal.com/viewtopic.php?t=51355&start=
Ces scripts malicieux par mail ont explosé en Décembre 2015 avec le ransomware TeslaCrypt.
Sachant que les médias amovibles avec des VBS pullulaient déjà avant.

Ensuite Locky, va aussi par des documents Office contenant des macros malicieuses.
Si Office est bien réglé... (Marmiton peut piloter ces paramètres de sécurité Office).
Tu peux faire exécuter manuellement la macro ou carrément les interdire.
En gros, si tu as un doute sur un fichier, ne l'exécute pas.

Locky, c'est le groupe Dridex (Un trojan Banker/Stealer) qui sévit depuis Août 2014 et visant les entreprises.
Ils sont passé à Locky vers Février/Mars 2016 qui cherchent plutôt à viser les entreprises aussi.
=> https://www.malekal.com/trojan-dridex-mail-malicieux-macro-office/

J'attire aussi ton attention sur les sauvegardes externes.
Tu es chanceux d'avoir pu récupérer tes documents avec les versions précédentes, mais ça ne marche pas à tous les coups, loin de là.
Donc fais des sauvegardes externes et tu seras tranquille en cas d'attaque, ou problème matériel.
=> https://www.malekal.com/windows/sauvegarde-windows/
=> https://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement

Si tu as d'autres questions, n'hésite pas.
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
30 oct. 2016 à 19:25
Sur un autre PC j'ai fait la même procédure mais il 'y a pas les cases vertes. Pourquoi ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
30 oct. 2016 à 19:31
Microsoft Office est installé ?
0
Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
30 oct. 2016 à 19:40
ah peut etre pas, c'est vrai je viens de m'en souvenir. Il suffit juste de désactiver le WSH du coup. Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Moi123Moi123 Messages postés 10 Date d'inscription vendredi 28 octobre 2016 Statut Membre Dernière intervention 30 octobre 2016
Modifié par Malekal_morte- le 30/10/2016 à 19:42
Tout à fait.
0