Probleme Fichier crypter en .sage

Nostra1er -  
 Nostra1er -
Bonsoir, j'ai un gros soucis. je viens de rendre compte que tous fichiers dans wamp et dans certains de mes dossiers sont crypter avec l'extension .sage

Je suis à la recherche de solution. apparemment c'est un problème de virus. Mais je ne sais pas comment pourrais-je récupérer les fichiers cryptés.

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
    Tu peux tout de même tenter les version précédentes avec Shadow Explorer

    Il faut d'abord vérifier qu'aucune menace ne soit encore active.
    Par précaution, pense aussi à changer tous tes mots de passe.

    1°) FRST
    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Nostra1er
     
    OK je le fais et je reviens. Merci pour la justesse ...
    0
  3. Nostra1er
     
    Voici les trois liens:

    http://pjjoint.malekal.com/files.php?id=FRST_20170412_d814p10p12j11

    http://pjjoint.malekal.com/files.php?id=20170412_j6b15t7146

    http://pjjoint.malekal.com/files.php?id=20170412_b12z8v15v9o13
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok,

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\RunOnce: [{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}] => C:\ProgramData\Package Cache\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}\vs_professional.exe [1125320 2017-03-31] (Microsoft Corporation) <===== ATTENTION
    S2 TolbarUpdater; C:\Users\pc\AppData\Local\Temp\ToolbarUpdater.exe [X] <==== ATTENTION
    2017-04-12 10:51 - 2017-04-12 12:10 - 00000468 _____ C:\Windows\Tasks\ParetoLogic Registration3.job
    2017-04-12 10:51 - 2017-04-12 10:51 - 00003106 _____ C:\Windows\System32\Tasks\ParetoLogic Registration3
    2017-04-12 10:50 - 2017-04-12 13:47 - 00000494 _____ C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job
    2017-04-12 10:50 - 2017-04-12 12:10 - 00000442 _____ C:\Windows\Tasks\ParetoLogic Update Version3.job
    2017-04-12 10:50 - 2017-04-12 10:50 - 00003226 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3
    2017-04-12 10:50 - 2017-04-12 10:50 - 00002894 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task
    2017-04-12 10:50 - 2017-04-12 10:50 - 00001263 _____ C:\Users\pc\Desktop\Data Recovery Pro.lnk
    2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic
    2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\ProgramData\ParetoLogic
    2017-04-12 10:49 - 2017-04-12 10:49 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
    2017-04-12 09:18 - 2017-04-12 09:19 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\pc\Downloads\SpyHunter-Installer(1).exe
    2017-04-12 09:05 - 2017-04-12 09:05 - 00000853 _____ C:\Users\pc\Downloads\Ftp grh@ouagadousoft.ml.xml
    2017-04-12 02:46 - 2017-04-12 02:46 - 00000000 _____ C:\Recovery.txt
    Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe � C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
    Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: {55323245-2B98-4333-A908-2350B00CB941} - System32\Tasks\TywaPNx9 => C:\Users\pc\AppData\Roaming\N8vmnqL4.exe <==== ATTENTION
    C:\Users\pc\AppData\Roaming\N8vmnqL4.exe
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Nostra1er
     
    voici le contenu du fichier texte:

    Fix result of Farbar Recovery Scan Tool (x64) Version: 15-03-2017
    Ran by pc (12-04-2017 15:42:01) Run:1
    Running from C:\Users\pc\Desktop
    Loaded Profiles: pc (Available Profiles: pc)
    Boot Mode: Normal
    ==============================================

    fixlist content:
    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\RunOnce: [{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}] => C:\ProgramData\Package Cache\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}\vs_professional.exe [1125320 2017-03-31] (Microsoft Corporation) <===== ATTENTION
    S2 TolbarUpdater; C:\Users\pc\AppData\Local\Temp\ToolbarUpdater.exe [X] <==== ATTENTION
    2017-04-12 10:51 - 2017-04-12 12:10 - 00000468 _____ C:\Windows\Tasks\ParetoLogic Registration3.job
    2017-04-12 10:51 - 2017-04-12 10:51 - 00003106 _____ C:\Windows\System32\Tasks\ParetoLogic Registration3
    2017-04-12 10:50 - 2017-04-12 13:47 - 00000494 _____ C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job
    2017-04-12 10:50 - 2017-04-12 12:10 - 00000442 _____ C:\Windows\Tasks\ParetoLogic Update Version3.job
    2017-04-12 10:50 - 2017-04-12 10:50 - 00003226 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3
    2017-04-12 10:50 - 2017-04-12 10:50 - 00002894 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task
    2017-04-12 10:50 - 2017-04-12 10:50 - 00001263 _____ C:\Users\pc\Desktop\Data Recovery Pro.lnk
    2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic
    2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\ProgramData\ParetoLogic
    2017-04-12 10:49 - 2017-04-12 10:49 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
    2017-04-12 09:18 - 2017-04-12 09:19 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\pc\Downloads\SpyHunter-Installer(1).exe
    2017-04-12 09:05 - 2017-04-12 09:05 - 00000853 _____ C:\Users\pc\Downloads\Ftp ***@***
    2017-04-12 02:46 - 2017-04-12 02:46 - 00000000 _____ C:\Recovery.txt
    Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe ? C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
    Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
    Task: {55323245-2B98-4333-A908-2350B00CB941} - System32\Tasks\TywaPNx9 => C:\Users\pc\AppData\Roaming\N8vmnqL4.exe <==== ATTENTION
    C:\Users\pc\AppData\Roaming\N8vmnqL4.exe
    EmptyTemp:
    RemoveProxy:
    Reboot:

    Restore point was successfully created.
    Processes closed successfully.
    HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f} => value not found.
    HKLM\System\CurrentControlSet\Services\TolbarUpdater => key removed successfully
    TolbarUpdater => service removed successfully
    C:\Windows\Tasks\ParetoLogic Registration3.job => moved successfully
    C:\Windows\System32\Tasks\ParetoLogic Registration3 => moved successfully
    C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => moved successfully
    C:\Windows\Tasks\ParetoLogic Update Version3.job => moved successfully
    C:\Windows\System32\Tasks\ParetoLogic Update Version3 => moved successfully
    C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task => moved successfully
    C:\Users\pc\Desktop\Data Recovery Pro.lnk => moved successfully
    C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic => moved successfully
    C:\ProgramData\ParetoLogic => moved successfully
    C:\Program Files (x86)\ParetoLogic => moved successfully
    C:\Users\pc\Downloads\SpyHunter-Installer(1).exe => moved successfully
    C:\Users\pc\Downloads\Ftp ***@*** => moved successfully
    C:\Recovery.txt => moved successfully
    C:\Windows\Tasks\ParetoLogic Registration3.job => not found.
    C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => not found.
    C:\Windows\Tasks\ParetoLogic Update Version3.job => not found.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{55323245-2B98-4333-A908-2350B00CB941} => key removed successfully
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55323245-2B98-4333-A908-2350B00CB941} => key removed successfully
    C:\Windows\System32\Tasks\TywaPNx9 => moved successfully
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TywaPNx9 => key removed successfully
    "C:\Users\pc\AppData\Roaming\N8vmnqL4.exe" => not found.

    ========= RemoveProxy: =========

    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => key removed successfully
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
    HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
    HKU\S-1-5-21-332453820-1651027593-3741773952-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
    HKU\S-1-5-21-332453820-1651027593-3741773952-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully

    ========= End of RemoveProxy: =========

    =========== EmptyTemp: ==========

    BITS transfer queue => 8388608 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 25627275 B
    Java, Flash, Steam htmlcache => 1137 B
    Windows/system/drivers => 13783640 B
    Edge => 0 B
    Chrome => 228767222 B
    Firefox => 375087607 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 128 B
    systemprofile32 => 128 B
    LocalService => 0 B
    NetworkService => 5743056 B
    pc => 305387999 B

    RecycleBin => 802131710 B
    EmptyTemp: => 1.6 GB temporary data Removed.

    ================================

    The system needed a reboot.

    End of Fixlog 15:46:59

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok tu peux faire l'étape 2.
      0