Your files are locked !!

Résolu
benkhelil45 Messages postés 11 Statut Membre -  
benkhelil45 Messages postés 11 Statut Membre -
Bonjour,
aider moi s'ils vous plait je suis bloquer depuis ce matin je ne peut plus ouvrir mes fichier word exel photo etc

un fichier text s'affiche sur le bureau avec le titre "Your files are locked !!"

et voila le texte qui contiens

"Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.

To decrypt files you need to obtain the private key.

If your time is up, or you or your antivirus deleted CryptoLocker from your computer,
and you do not see CryptoLocker window - the latest copy of the key remains our support.

To obtain the private key for this computer, you need pay 0.4 Bitcoin (~422 USD)

---------------------------------------------------------------------------------------------------

Your Bitcoin address:

15LvcKeSxpfGFssugexhBhN5LhYkiH65LN

You must send 0.4 Bitcoin to the specified address and report it to e-mail customer support.

In the letter title you must specify your Bitcoin address to which the payment was made.

Support e-mail: buruk01@india.com buruk02@india.com

Please do not contact customer support with the request to get the key for free.
Such messages will be marked as spam and decryption in the future will be impossible.

Thank you for understanding.

---------------------------------------------------------------------------------------------------

The most convenient tool for buying Bitcoins in our opinion is the site:

https://localbitcoins.com/

There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.

Instructions for purchasing Bitcoins on account localbitcoins.com read here:

https://localbitcoins.com/guides/how-to-buy-bitcoins

Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:

https://www.youtube.com/watch?v=JA6TXjhqomI

Please check other ways to buy bitcoins:

https://www.google.com/search?q=how+to+buy+bitcoins

https://www.youtube.com/results?search_query=how+to+buy+bitcoins

Also you can use to buy Bitcoins these sites:

https://www.bitstamp.net/ - Big BTC exchanger
https://www.coinbase.com/ - Other big BTC exchanger
https://btcdirect.eu/ - Best for Europe
https://coincafe.com/ - Recommended for fast, many payment methods
https://bittylicious.com/ - Good service for Europe and World
https://www.247exchange.com/ - Other exchanger

---------------------------------------------------------------------------------------------------

Please do not try to decrypt the files by third-party decryptors, an error that allowed
to decrypt files for free, it has been found and corrected as early as one of the earliest versions.
Decrypt the files for free at the moment is impossible. Do not waste your time!

Attention!

After 168 hours, we reserve the right to increase the amount of the payment at its discretion.


qu'es que je peux faire aider moi

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
    Tu peux tout de même tenter les version précédentes avec Shadow Explorer

    Il faut d'abord vérifier qu'aucune menace ne soit encore active.
    Par précaution, pense aussi à changer tous tes mots de passe.

    1°) FRST
    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ton ordinateur est bourré de trojan.

    Trojan Kovter
    Sathurbot..

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    reg: reg delete "HKCU\software\qxac\uqzxffk"
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\\software\\qxac\\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion\rhxkidwj.dll <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides)
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] ()
    C:\ProgramData\Microsoft\Performance\TheftProtection
    2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
    2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group
    2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk
    2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak
    2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp
    2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF}
    2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
    2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin
    2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
    2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f
    2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg
    2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics
    2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion
    2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

    3°)
    Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    4°)
    Refais un scan FRST et donne les nouveaux rapports via pjjoint

    0
  3. benkhelil45 Messages postés 11 Statut Membre
     
    bonjour

    voila le texte apparu

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
    Exécuté par TARGET 03 (31-03-2017 11:57:27) Run:4
    Exécuté depuis C:\Users\TARGET 03\Desktop
    Profils chargés: TARGET 03 (Profils disponibles: defaultuser0 & TARGET 03)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:
    CreateRestorePoint:
    CloseProcesses:
    reg: reg delete "HKCU\software\qxac\uqzxffk"
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\\software\\qxac\\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion\rhxkidwj.dll <===== ATTENTION
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides)
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] ()
    C:\ProgramData\Microsoft\Performance\TheftProtection
    2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
    2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group
    2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt
    2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk
    2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak
    2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp
    2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF}
    2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
    2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin
    2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
    2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f
    2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg
    2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics
    2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion
    2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:

    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.

    ========= reg delete "HKCU\software\qxac\uqzxffk" =========

    merci pour votre aide
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok fais le reste et colle le rapport Malwarebytes stp.
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    L'ordinateur est toujours infecté.
    Il est sur un réseau d'entreprise ?

    Le rapport Malwarebytes n'est pas bon.
    Tu as bien fait une analyse et tout mis en quarantaine ?

    Tu peux envoyer C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe sur http://upload.malekal.com pour voir.
    0
  6. benkhelil45 Messages postés 11 Statut Membre
     
    Re

    non je suis pas sur un réseau d'entreprise au vrais sens du mot c' un réseau wifi pour le partage de connexion

    pour l'analyse avec Malwarebytes j'ai mis tous menaces identifier a peut prés 26 menace
    j'ai relancer encore l'analyse une deuxième fois j'ai trouvé un autre menace
    voila le rapport
    alwarebytes
    www.malwarebytes.com

    -Détails du journal-
    Date de l'analyse: 31/03/2017
    Heure de l'analyse: 20:47
    Fichier journal: t.txt
    Administrateur: Oui

    -Informations du logiciel-
    Version: 3.0.6.1469
    Version de composants: 1.0.96
    Version de pack de mise à jour: 1.0.1639
    Licence: Essai

    -Informations système-
    Système d'exploitation: Windows 10
    Processeur: x64
    Système de fichiers: NTFS
    Utilisateur: DESKTOP-TGANTFP\TARGET 03

    -Résumé de l'analyse-
    Type d'analyse: Analyse des menaces
    Résultat: Terminé
    Objets analysés: 505038
    Temps écoulé: 14 min, 57 s

    -Options d'analyse-
    Mémoire: Activé
    Démarrage: Activé
    Système de fichiers: Activé
    Archives: Activé
    Rootkits: Désactivé
    Heuristique: Activé
    PUP: Activé
    PUM: Activé

    -Détails de l'analyse-
    Processus: 0
    (Aucun élément malveillant détecté)

    Module: 0
    (Aucun élément malveillant détecté)

    Clé du registre: 0
    (Aucun élément malveillant détecté)

    Valeur du registre: 0
    (Aucun élément malveillant détecté)

    Données du registre: 0
    (Aucun élément malveillant détecté)

    Flux de données: 0
    (Aucun élément malveillant détecté)

    Dossier: 0
    (Aucun élément malveillant détecté)

    Fichier: 1
    Trojan.Fileless.MTGen, C:\USERS\TARGET 03\APPDATA\LOCAL\6BAE7F1F\0E83C706.BAT, En quarantaine, [452], [339956],1.0.1639

    Secteur physique: 0
    (Aucun élément malveillant détecté)

    (end)

    pour le fichier que vous demander de l'envoyer sur le lien http://upload.malekal.com/ , je ne peux pas puisque la taille max et 8M
    et le fichier demander 54M
    qu'est-ce que je peux faire maintenant ??

    merci encore
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      zip le pour voir avant.
      0
  7. benkhelil45 Messages postés 11 Statut Membre
     
    salut

    même après que je zipper le fichier je ne peux pas l'envoyer sur le site

    19 mega

    une autre solution
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok, tant pis,

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
    C:\Users\TARGET 03\AppData\Roaming\Microsoft
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
    C:\Users\TARGET 03\AppData\Roaming\network
    2017-03-28 10:55 - 2017-03-31 12:24 - 00000904 ____H C:\ProgramData\@system.temp
    2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
    2017-03-24 17:03 - 2017-03-31 12:25 - 00000640 ____H C:\ProgramData\int.bin
    2017-03-24 17:03 - 2017-03-31 12:24 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok : C:\FRST\Quarantine\C\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe a variant of Win64/Fleercivet.AE trojan

    Refais un scan FRST pour voir s'il reste des éléments malicieux.
    Redonne les rapports via pjjoint.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ca semble mieux.
    Change tous tes mots de passe.

    Refais des scans Malwarebytes et NOD32, ces prochains jours en les mettant à jour.

    Pour tes documents chiffrés, voir: https://forum.malekal.com/viewtopic.php?t=57145
    Tente les outils Trend-Micro ou Kaspersky.

    Veuillez appuyer sur une touche pour continuer la désinfection...
    0
  11. benkhelil45 Messages postés 11 Statut Membre
     
    MERCI infiniment je suis reconnaissance
    0