rancongiciel avec mot de passe donnéRésolu/Fermé

Question

Bonjour, à tous.
Quelqu'un m'a envoyé une demande de rançon en m'envoyant mes identifiants et mot de passe pour prouver sa bonne foi.  J'ai fait un frst, si quelqu'un pouvait me le décrypter ce serait sympa.
https://pjjoint.malekal.com/files.php?id=FRST_20180713_f5c6z8q6i14
https://pjjoint.malekal.com/files.php?id=20180713_l10f12p5d7v10
https://pjjoint.malekal.com/files.php?id=20180713_u12x13k12o15x6

De plus j'ai bitdefender Threat Scanner qui s'est allumé pendant l'opération, est ce normal?

Win 7/Avast version payant avec cleanup/spybot search and destroy



Configuration: Windows / Firefox 61.0

Malekal_morte- · Accepted Answer

Salut,

Rien d'anormal sur les rapports à part bcp de logiciels inutiles dont des logiciels de nettoyage.

Ca dit quoi le message de ransomware ?
Tu peux donner une capture d'écran ou le contenu ?

Tous ces programmes sont assez inutiles :
Avast Cleanup Premium
Avast Driver Updater
Avast Secure Browser
CCleaner
Glary Utilities (inutile - doublon avec CCleaner et Avast Cleanup Premium)
MyWinLocker
Spybot - Search & Destroy  (inefficace)
SpyroDriver

commis1 · Answer

Voilç, j'ai mis XXXX pour changer mes ident et mots de passe. Pour info je n'ai pas de web cam.

omeniga Gilmour <fkcarlinamackseynjh@outlook.com>
À :XXXXXXXXXXXXX
12 juil. à 20:29
I am aware, XXXXXXXXXXXXXX, is your pass word. you may not know me and you are most likely thinking why you're getting this e mail, right?

Let me tell you, I installed a malware on the adult vids (porn) and do you know what, you visited this website to have fun (you know what I mean). While you were busy watching videos, your browser started out functioning as a Rdp (Remote desktop) that has a key logger which gave me access to your display and cam. Immediately after that, my software program collected your complete contacts from your messenger, facebook, as well as email.

What did I do?
I've made a double-screen video. 1st part displays the video you were viewing (you've got a nice taste lmao), and 2nd part displays the recording of your cam.

What should you do?
Well, in my opinion, $1200 is a reasonable price for our little secret. You'll make the payment via Bitcoin (if you do not know this, search "how to buy bitcoin" in google).

BTC ADDRESS: 1JC99fcQMVR4iHdmf3GbHLGHMkPpyFjBu7
(It is case sensitive, so copy and paste it)

Important:
You have one day to make the payment. (I've a special pixel within this email, and at this moment I know that you've read this email message). If I don't get the BitCoins, I definitely will send out your video to all of your contacts including relatives, colleagues, and so on. nonetheless, if I do get paid, I'll erase the video immediately. If you need proof, reply with "yes!" and I will certainly send your video to your 6 contacts. It's a non-negotiable one time offer, so please do not waste my time and yours by responding to this message.

Je compte sur votre expertise, je sais que vous êtes les meilleurs.
Mais pensez à profiter du soleil.
Merci à vous.

Malekal_morte- · Answer

ok je vois.
Du coup ce n'est pas un ransomware, du moins un crypto-ransomware, que tu as (voir là pour savoir ce que c'est : https://www.malekal.com/ransomwares/
Apparemment, le pirate a eu accès à ton ordinateur par du RDP (comprendre le contrôle à distance de Windows / Terminal serveur).
Ce dernier doit être accessible par internet et surement car tu as un compte Windows avec un mot de passe fiable (voir : https://www.malekal.com/piratage-serveur-windows-terminal-server/

Il dit avoir installé ensuite un keylogger pour voler tes mots de passe, faire des captures d'écran et une vidéo de toi pour l'envoyer à tes amis.
C'est de l’extorsion et chantage.
Comme il a récupéré un de tes mots de passe ça peut être vrai.

Deux solutions :
- soit tu payes mais la somme est assez importante. Je te déconseille, il va pouvoir continuer à te faire du chantage en augmentant les prix.
- soit il bluffe ou il va pas perdre son temps à envoyer la vidéo à tes amis pour passer à une autre victime.
Ca ne sert à rien de payer après puisque les torts ont été faits.

Sinon sur ton FRST, les rapports sont corrects, aucun keylogger ou malware à priori.

C'est quel mot de passe qu'il a envoyé ?
Comme tu as un une édition Home Premium Service, j'ai un doute sur le fait qu'il a pu accéder à l'ordinateur par terminal server. Regarde là : https://support.microsoft.com/fr-fr/help/814590/
Tu as des mots de passe forts sur les utilisateurs Windows ?
Il est à jour Windows ?

Par contre, il y a un user anglais administrateur, je pense qu'il a pu le créer mais tu exécutes FRST depuis ce dernier.....
C'est toi qui l'a créé ?
user (S-1-5-21-1124536054-2139972445-430870530-1000 - Administrator - Enabled) => C:\Users\user

Je pense que ce serait pas mal de porter plainte à la police avec la copie du message.

commis1 · Answer

Wouha trop rapide les réponses même pas le temps d'aller faire les courses.. Pour le user, je crois qu'il est d'origine sur la bécane, je n'ai pas du le changer. Concernant les mot de passe j'en ai un avast et  général et un windows avec chacun au moins 1 caractère spécial, un chiffre et 5 lettres. Là il m'a donné le général qui est aussi avast (que je viens de changer). C'est le même mot de passe pour tout mes jeux. Pour la vidéo, à part envoyer une vidéo de ce que je regardais, qui doit forcément être de bonne qualité, tout ce que je risque c'est peut être de choquer quelques puritains. J'ai plus qu'à changer les mdp sur tout mes jeux. Pour déposer une plainte il y a un service spéciale à contacter?

commis1 · Answer

Merci encore.

Pelleon · Answer

Bonjour,

Pour information, je viens de recevoir un mail équivalent avec de légères variantes.

I'm going to cut to the chase. I know that XXXXX is your pass word. Moreover, I know your secret and I have proof of this. You don't know me personally and nobody employed me to look into you. 

It's just your hard luck that I came across your bad deeds. The truth is, I actually placed a malware on the adult videos (sexually graphic) and you visited this website to experience fun (you know what I mean). While you were watching video clips, your web browser started functioning as a Rdp (Remote desktop) that has a keylogger which provided me with access to your display and also web cam. After that, my software program obtained your complete contacts from your fb, as well as mailbox. 

After that I gave in much more time than I should have exploring into your life and generated a double-screen video. 1st part shows the recording you had been watching and next part displays the capture of your web camera (its you doing dirty things). 

Honestly, I want to forget exactly about you and let you move on with your daily life. And I am going to give you two options that may accomplish that. Those two choices are with the idea to ignore this letter, or simply pay me $1900. Let us examine these 2 options in more details. 

Option One is to ignore this e mail. Let's see what is going to happen if you pick this path. I will certainly send your video to your entire contacts including family members, colleagues, and many others. It doesn't help you avoid the humiliation your self will ought to face when relatives and buddies discover your sordid videos from me. 

Option 2 is to make the payment of $1900. We’ll call it my “confidentiality charges”. Now let me tell you what happens if you choose this path. Your secret remains your secret. I'll erase the video immediately. You continue on with your daily life that none of this ever happened. 

Now you may be thinking, “I'm going to report to the cops”. Let me tell you, I have taken steps to ensure that this email can't be tracked back to me plus it won't steer clear of the evidence from destroying your health. I'm not seeking to dig a hole in your pocket. I am just looking to get compensated for time I put into investigating you. Let's assume you have decided to make all of this go away and pay me my confidentiality fee. You'll make the payment via Bitcoin (if you don't know how, search "how to buy bitcoins" on google search) 

Amount to be sent: $1900 
Receiving Bitcoin Address: 1PjUiw2oesScKsba9uwVanMPzpzr3Fn1DX 
(It's case sensitive, so copy and paste it carefully) 

Tell nobody what you would use the bitcoin for or they possibly will not sell it to you. The procedure to get bitcoins may take a few days so do not put it off.
I've a special pixel in this mail, and right now I know that you have read through this e-mail. You have two days to make the payment. If I do not receive the Bitcoin, I will definately send out your video to all of your contacts including close relatives, colleagues, and so on. You better come up with an excuse for friends and family before they find out. Having said that, if I do get paid, I'll destroy the video immediately. It's a non-negotiable offer, so do not ruin my personal time and yours. Your time is running out.

commis1 · Answer

Pour l'instant pas de nouvelles. :)

commis1 · Answer

Juste pour savoir, on utilise tous firefox, ou ça vient d'ailleurs?

commis1 · Answer

Je voulais dire yahoo.

commis1 · Answer

Pour l'instant rien, même les montants bancaires dont je n'étais pas sûr sont clean.

Max · Answer

Pour info, j'ai reçu le même Email hier, et pour répondre a commis1, le mot de passe reçu correspond a celui que j'avais sur Yahoo lorsque la messagerie avait été piratée...

commis1 · Answer

Je pense que c'est pareil pour tout le monde. La célèbre faille yahoo.

Malekal_morte- · Answer

Les mails sont maintenant passés en français : "Ceci concerne la question de votre sécurité".
Ne tenez pas compte du contenu et supprimez le mail.

commis1 · Answer

J'ai reçu une notification "You've been pwned!", breach kayo.moe, septembre 2018, donc après ma demande de rançon. Pour info je ne connait pas le site kaio.moe, à première vue c'est un moteur de recherche, peut être que je n'aurais pas du aller voir.... Si c'est un piège je suis tombé dedans.
Bonne journée.

ccc.net.anon · Answer

Bonjour à tous !

Pour ceux qui ont reçu un unique mail, vous avez de la chance, j'en suis à plusieurs par jour, et ce depuis bientôt 3 semaines.

Ce qui commence à me les briser, c'est que cet abruti commence à chercher tous mes comptes mails, comme si j'étais vraiment une cible, pas un cas au hasard.

Pour ce qui est de la source, même si il a aussi prétendu avoir mes contacts LinkedIn ce n'est pas le cas car le mot de passe de mon compte linkedIn est bien plus solide que les mots de passe bidons que j'utilise sur certains forums.
Par contre, il a utilisé des adresses email spécifiques (j'utilise une adresse email différente et spécifique pour de très nombreux sites) dont celle que j'avais sur le site Frandroids (et le mot de passe qu'il m'envoie correspond) et cdfolie.com (celui-là, j'avais même pas noté le mot de passe, mais c'est bien le mot de passe court que j'utilise sur les sites de e-commerce sur lesquels je ne pense pas retourner ou en attendant d'en mettre un plus solide au cas ou le site envoie le mode de passe en clair dans un mail ...)

Pour ce qui est de la source des mots de passe :
https://medium.com/4iqdelvedeep/1-4-billion-clear-text-credentials-discovered-in-a-single-database-3131d0a1ae14

Ça fait peur ...

Bref ... est-ce que déposer une plainte aux autorités a du sens, je ne sais pas.
Mais n'ayez crainte, les vidéos en double-écran de vos activités nocturnes n'existent pas (j'ai même pas de Webcam sur mon PC) et ne payez surtout pas, cela risquerait de déclencher une escalade de montants vertigineuse ...

YoIxelles · Answer

J'ai reçu la même chose à 4 reprises depuis le 9 septembre, avec des sommes différentes.. Pour le moment je n'ai rien eu de suspect, j'ai quand même changé l'ensemble de mes mots de passe et fais des scans avec différents logiciels anti malwares, rien sur le mac...

Bref c'est assez inquietant quand même après c'était mon mot de passe de LinkedIn et de Yahoo et de beaucoup de mes sites, il y a quelques mois en arrière j'avais le même mot de passe pour quasiment tous mes sites... Depuis je n'ai quasi aucun mot de passe en communs mais bon ça fait toujours peur ce genre de mail...

Eilujeiluj · Answer

Bonjour,

Même type de mail mais envoyé depuis l’adresse hackée. Et une menace de 48h.
Mot de passe inconnu pour moi et non utilisée ailleurs .
Adresse peu utilisée mais rappatriée sur un autre compte plus utile. Après tous mes réseaux utilisent encore un autre compte mail. Par contre j’ai utilisé un pc qui était mal protégé. Je ne l’allume plus mais j’imagine que cela n’a pas grande importance. Risque faible? je dois changer tout mes mots de passe? Je dois porter plainte de toute façon ?

josiane01 · Answer

Bonjour
je suis également Piraté par un Hacker...qui a mes adresses mail, et un contrôle a distance,qui me "rançonne" et qui me menace...
J'ai scanné le PC avec mon antivirus et tous les logiciels mis en notre disposition sur un internet..RAS 
Qui peut m'aider Cordialement

Rancongiciel avec mot de passe donné

18 réponses

Discussions similaires

Newsletters