Ver informatique : impossible à effacer (MERRY I LOVE YOU)

[Fermé]
Signaler
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017
-
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017
-
Bonjour,

j'ai un virus qui s'est propagé dans tout l'ordinateur. Il modifie les extensions de type images, mp3, film, documents, en rajoutant .MERRY à la fin. Du coup j'ai lancé mon antivirus, supprimé les trojans, mais c'est toujours là.
Je n'arrive pas à savoir si je dois tout supprimer un par un, et surtout comment récupérer mes fichiers.

Merci d'avance pour l'aide ^^

11 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Salut,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3612256940-3223375586-1718127309-1002\...\Run: [Adobe2] => C:\Users\Wendy\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2016-12-23 15:21 - 2017-01-24 21:03 - 0000033 _____ () C:\Users\Wendy\AppData\Roaming\AdobeWLCMCache.dat.MERRY
2017-01-24 21:03 - 2017-01-24 21:03 - 0091845 _____ () C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 0091845 _____ () C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:47 - 2017-01-24 22:47 - 00091845 _____ C:\Users\wendy_w7sbii2\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Downloads\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:36 - 2017-01-24 22:36 - 00091845 _____ C:\Users\wendy_w7sbii2\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:32 - 2017-01-24 21:32 - 00091845 _____ C:\Users\Wendy\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:03 - 2017-01-24 21:03 - 00091845 _____ C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 00091845 _____ C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:32 - 2017-01-24 20:32 - 00091845 _____ C:\Users\Wendy\MERRY_I_LOVE_YOU_BRUCE.HTA
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

Je l'ai fais et ça a redémarré mon pc, mais je n'ai pas de fichier texte qui est apparut.
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
bon,
si tu as bien désactiver windows script hosting sur Marmiton, ton Windows devrait avoir la paix, faut nettoyer les cles USB maintenant

Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

Mes clés usb ne sont pas touchés.
Et par contre y a t-il une solution pour récupérer les fichiers corrompus ?
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017
>
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Bien par exemple ça fait ça, mais c'est tous mes fichiers qui sont touchés, je vais pas tout capturer.
https://pjjoint.malekal.com/files.php?id=20170125_y513m6w10o10
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

humm, si tu retires l'extension .merry ça donne quoi ?

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

Nty_

Il te demande des sous ?.. Est-ce que tu as MERRY_I_LOVE_YOU_BRUCE.HTA dans tes répertoires infectés comme moi ?
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017
>
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

Non il demande rien oui j'avais j'ai réussi que tout retirer
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

@NTY_ envoie le zip de la quarantaine de FRST comme indiqué dans mon message précédent.
Que j'ai un fichier .HTA
ou un zip en un et envoie le sur http://upload.malekal.com

et vous pouvez indiquer de quel site de font, il s'agit ?
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

moi pareil depuis 23h30 hier..
impossible de le supprimer malgré tous les tutos en anglais qui disent d'utiliser SpyHunter. Moi j'ai une erreur lors de la suppression des 6 derniers trojans que SpyHunter detetecte..
J'ai essayé en mode manuel aussi, j'ai rien dans les regedit ni dans les clés..
on dirait que j'ai pas encore activé le processus pour payer ce Ransomware..
Tous les fichiers sont pourtant en .merry mais personne ne me demande de payer..
Je viens de faire un scan avc la derniere version de spybot, il trouve rien non plus.. c'est la mort !! j'ai une entreprise si je retrouve pas mes fichier je ferme boutique !!
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019
>
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

c'est résolu.. maintenant y'a plus qu'à attendre la maj de mrcr
Merci pour ton aide Malekal..

@Nty_ Bon courage pour la récup de tes fichiers, espérons qu'ils trouvent un antidote rapidement.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

de rien :)
Du coup le tool de Emsisoft fonctionne encore ?
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019
>
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

mrcr ? non pour ma part il fonctionne pas, ça me met un message comme Stefano P ici
https://support.emsisoft.com/topic/26728-ransomeware-merry_i_love_you_bruce-by-kris/

J'ai remarqué que ce ransomeware n'a pas attaqué les fichiers qui portent des points.
Genre L.E.J - titre.mp3 il a pas été crypté..
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

Surement que le ransomware a été mis à jour pour contourner la méthode de décryptage :/
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017
>
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

Du coup j'ai réinitialisé mon pc j'avais besoin rapidement de mon ordinateur donc pas pu récupérer mes données mais j'avais quelques sauvegarde sur mon Disque dur externe donc pas forcément grave.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Les antivirus sont à la rue =)

https://www.virustotal.com/gui/file/0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a

SHA256: 0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
Nom du fichier : MERRY_I_LOVE_YOU_BRUCE.HTA
Ratio de détection : 2 / 54

Antivirus Résultat Mise à jour
ESET-NOD32 Win32/Filecoder.Xmas 20170126
Rising Ransom.FileCryptor!8.1A7-yjCfolDrNcM (cloud) 20170126
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

J'ai vu ça hier, bien utile d'avoir un anti virus..
J'ai un copain qui m'a dit hier depuis que je paye mon AV, j'en ai plus.. (plutôt il en jamais autant eu qui se bloquent depuis qu'il paye lol)
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

Tu aurais le site source où tu l'as choppé ?
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019
>
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

www.forest-distribution.com j'ai prévenu le patron
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Le concepteur du ransomware n'est pas content...

Emsisoft Website Hit by DDoS Attack as Company Releases Ransomware Decrypter.

Chez moi https://www.emsisoft.com/ransomware-decryption-tools/mrcr ne fonctionne pas ou rame à mort.

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089
Tentez cet outil pour récupérer vos documents : https://www.emsisoft.com/ransomware-decryption-tools/mrcr

Tentez aussi : les version précédentes avec Shadow Explorer

Veuillez appuyer sur une touche pour continuer la désinfection...
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

tu es une pointure ;)
J'ai vu que c'était décryptable par le site que tu propose sur malekal où il faut uploader 2 fichiers.
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019

@Nty_ et Malekal
le decrypter a été mis à jour hier soir, il décrypte pour l'instant tous les .doc
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

Bonjour,
je vas essayer alors, parce que ça s'est carrément infiltré dans ma dropbox -_- !
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 089 >
Messages postés
14
Date d'inscription
mercredi 25 janvier 2017
Statut
Membre
Dernière intervention
12 février 2017

@djasa : merci pour l'info.

@Nty_ : oui c'est le prob des synchros, ça synchro les changements et donc le chiffrement.
Messages postés
39
Date d'inscription
lundi 1 mars 2010
Statut
Membre
Dernière intervention
22 mars 2019
>
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

C'est bon à l'instant je viens de récupérer tous mes fichiers !!!!

En faite j'avais mis un .doc.merry et un .doc original mais ça me donnait une clé..
ça marchait que sur les .doc
Quand là j'ai mis un docx.merry et un docx original dans le MCMR et là ça m'a donné une autre clé !!
Je test, je vois que ya pas d'erreur sur le docx, et que le pdf pareil est revenu, j'essaye avec d'autres extensions et là miracle tout est revenu !!!
IMPECCABLE, tous les fichiers sont là !! Mp3, pdf, mp4, etc...