Sujet Précédent Sujet Suivant

HELP_SOS.hta extension .sage

Résolu/Fermé
Skadi - 7 mai 2017 à 14:36
 Skadi - 5 juin 2017 à 12:21
Bonjour,

j'ai été infectée (bêtement, comme il se doit...) par ce ransomware.
Malgré un antivirus (Antivir), pare-feu et MBAM 3...
Je n'ai pas eu de message sur mon fond d'écran, et je me suis abstenue de cliquer sur quoi que ce soit d'autre que mes propres fichiers depuis l'infection.
J'ai juste un message d'erreur : fichier corrompu/illisible.
(NB : j'ai été infectée en tentant d'installer une police .ttf...! Si ca peut permettre à d'autres d'être un peu plus méfiants que moi...)

J'ai réussi à restaurer sur un point antérieur (après avoir renommé windowsapps, mes 2 tentatives de restauration précédentes n'ayant pas abouties.) et j'ai tenté de récupérer mes versions précédentes de documents avec Shadow Explorer (merci Malekal !).
Malheureusement, si cela permet de restaurer l'extension d'origine, les fichiers sont toujours corrompus.
La restauration a fait disparaitre pratiquement tous les fichiers .hta de C:, sauf dans le dossier Onedrive, que SpyHunter s'est chargé de nettoyer.

J'ai lancé MBAM 3 à 3 reprises, avant qu'il détecte enfin la menace (Ransom.Sage) dans les appdata et mette en quarantaine.
(Par contre, il identifie SpyHunter qu'on m'a transmis pour "dépannage" d'urgence, comme PUP ??? O_o )
MBAM a aussi identifié un PUP Optional FusionCore et je ne sais s'il y a un rapport avec le ransomware ?
Antivir, lui, n'a rien détecté du tout...

J'ai bien compris en utilisant ID Ransomware qu'il n'y avait pas de solution pour l'instant et qu'il fallait que je fasse un back up de mes fichiers, en attendant.

Comble de malchance, mes deux disques durs externes de sauvegarde et stockage étaient tous les deux branchés à ce moment là. Donc ils ont été tous les deux infectés...
Et autant la restauration du système a effacé (éliminé ?) les !HELP_SOS.hta qui pullulaient sur le C:, autant ils sont toujours présents sur la partition D et sur les deux DD externes.

Questions :

- est ce que la mise en quarantaine effectuée par MBAM permet de considérer que le ransomware est bien éliminé de mon PC ? Malgré la persistance des !HELP_SOS.hta dans tous les coins des DD externes ?
(Ou autrement dit : est ce qu'il n'y a pas une belle porte ouverte dans mon ordinateur, qui me semble par ailleurs être une vraie passoire, vu que je n'ai pas eu la moindre alerte en téléchargeant et tentant d'installer cette police ?)

- Est qu'il faut/suffit que j’élimine des DD externes ces !HELP_SOS.hta à la main ? Parce que SpyHunter détecte sur le C: mais non sur les DD externes (à priori, il ne scanne que C: et je n'ai pas trouvé d'option pour choisir d'autres lecteurs à analyser)

Je vais devoir faire un back up de mes documents mais ce serait crétin de contaminer en cercle vicieux, si contamination persiste...

- Curieux : Sur C:, j'avais un WindowsOld, suite à une réinstallation il y a 2 mois, aucun des fichiers n'est infecté. Je ne sais pas si ca a le moindre intérêt technique, mais ca m'interpelle...

- J'ai bien compris que j'avais fait une belle boulette... Et j'ai cru comprendre qu'un utilitaire comme "Marmiton" pourrait m'éviter ce genre de couenneries, à l'avenir... Mais est ce suffisant ? Avec un antivirus/pare-feu + MBAM 3, je pensais être plutôt à l'abri.
Et comment protéger les DD externes ? Est ce qu'il est utile d'installer un USB immunizer comme propose Bitdefender ?

Par avance, merci pour les réponses et l'aide !
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 mai 2017 à 14:40
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

~~

Pour tes questions :
1/ Faut confirmer avec FRST.
2/ SpyHunter sert à rien, Malwarebytes suffit. SpyHunter est refourgué par des sites de desinfection bidons => https://forum.malekal.com/viewtopic.php?t=12847&start=
0
Réponse 2 / 6
Skadi
7 mai 2017 à 16:34
Les voici :
http://pjjoint.malekal.com/files.php?id=FRST_20170507_s5p12x6r11u6
http://pjjoint.malekal.com/files.php?id=20170507_t5k8b13l14w8
http://pjjoint.malekal.com/files.php?id=20170507_i9l15h14y14h6

Concernant SpyHunter, je ne me faisais pas beaucoup d'illusions... et encore moins quand MBAM a fini par identifier la menace. :D
Mais bon... j'ai essayé.

J'ai fait un test avec Shadow Explorer sur quelques fichiers et comme ils sont illisibles, je suppose qu'ils sont toujours cryptés.
Donc oui, je vais stocker en attendant qu'une solution soit trouvée.

Mais comment expliquer que les documents qui étaient dans WindowsOld n'aient pas été contaminés ?
Ca m'arrange bien, puisque je n'ai perdu que les documents de ces 3 derniers mois. ;-) Mais ca me laisse perplexe.
(NB : je n'y connais pas grand chose même si, en général, j'arrive à me débrouiller tout seule. :D)
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 mai 2017 à 22:16
Tu peux aussi désinstaller SUPERAntiSpyware
Pas utile.

Pour les docs de Windows.old, il y a peut-être une exception sur les dossiers Windows, à voir.

Bref, pour le moment, pas de solution pour récupérer tes documents.
Suis cette page : https://forum.malekal.com/viewtopic.php?t=57145
Je mettrai à jour, si une solution est trouvée.
Garde tes documents quelques temps.
0
Réponse 4 / 6
Skadi
7 mai 2017 à 22:56
Merci beaucoup !!!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 mai 2017 à 23:53
de rien :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768
3 juin 2017 à 15:12
Hello.

Petit message pour suivre ce fil, mon pc ayant subit le même ransomware...

Si j'arrive à décrypter un fichier, je n'hésiterais pas à le faire savoir.


++
0
Réponse 6 / 6
Skadi
5 juin 2017 à 12:21
Hello,

J'avais réussi à récupérer quelques fichiers en restaurant à une date antérieure et en utilisant Shadow Explorer.
Des fichiers .docx et .jpg.
Par contre, impossible de restaurer les .pdf.

Donc, pas d'autre espoir que d'attendre que des décrypteurs de génie trouvent la solution pour récupérer certain documents.

@+
0

Discussions similaires

Problème d'extension d'application sur ps4
souma94800 -
Vadaa -

74 réponses
Sage paie i7 v9.01
Nanok225 -
TERENCE -

2 réponses