Ransomware / Helphelphelp

Résolu/Fermé
Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018 - 5 févr. 2017 à 03:45
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 févr. 2017 à 09:08
Bonjour, Mon pc vient d'être infecté par un ransomware.
Les dossiers se trouvant sur mon bureau et tous leurs sous-dossiers comprennent une appli _HELP_HELP_HELP ainsi qu'une image me disant quoi faire pour recuperer mes documents cryptes. Tous les docs de ces dossiers sont dorenavant en .842d.
J'ai un peu cherché sur le net mais je ne pense pas pouvoir le supprimer et peut-etre recuperer mes fichiers sans être guidée.
J'ai fait le scan FRST comme je l'ai vu demandé sur d'autres postes.

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170205_z14l15d10o13p9
Addition : https://pjjoint.malekal.com/files.php?id=20170205_z15n9n10l8w8
Shortcut : https://pjjoint.malekal.com/files.php?id=20170205_h14o11x15w13y15

Merci d'avance pour votre aide








A voir également:

2 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 févr. 2017 à 11:32
Salut,

Pas de malware actif.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer

0
Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018 2
5 févr. 2017 à 17:42
Merci pour ta réponse.
Donc j'efface tous les fichiers help_help_help dans mes dossiers et c'est tout, le virus n'est plus actif?
Oui j'avais compris en fouillant sur le net que récupérer mes données serait difficile voir impossible :(
Je vais tenter shadow et si pas je stockerais sur une clé usb.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 févr. 2017 à 19:34
oui tu peux :)
0
Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018 2 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
5 févr. 2017 à 21:47
ok super , je suis bien contente qu'il ne soit plus actif. Par contre sait-on voir de quel ransomware il s'agit (loki, tesla,etc.)?
Shadow ne fonctionne pas :( je vais tout stocké.
Après ta prochaine réponse , je marquerai le sujet comme résolu. Encore merci :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018
5 févr. 2017 à 23:00
quelle était l'extension des documents ?

Tu peux donner le contenu des instructions de paiements ?
0
Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018 2
6 févr. 2017 à 02:10
les document sont en .842d.

Instructions : telecharger Tor browser , et ouvrir "ma page personnelle" (comme j'ai tout effacé je n'ai plus l'URL mis c'etait qqchose du genre http://fkfje5c85*****.onion/VFN5-GH7*-****-****--****) pour recevoir la clé et le programme de décryptage.
C'etait ce qui etait inscrit sur le fichier image , l'appli je n'ai pas cliqué dessus.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Autumn1608 Messages postés 88 Date d'inscription jeudi 5 avril 2007 Statut Membre Dernière intervention 4 décembre 2018
6 févr. 2017 à 09:08
Je pense qu'il s'agit de du ransomware Cerber.
0