A L'AIDE ! Virus Ransomware : supression et décryptage
Fermé
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 18 sept. 2023 à 23:06
- A L'AIDE ! Virus Ransomware : supression et décryptage
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone - Forum iPhone
5 réponses
Modifié le 18 sept. 2023 à 09:55
Bonjour @masterkey69 StatutMembre.
Tu peux essayer de récupérer tes fichiers avec ShadowExplorer.
Si tu n'as pas réussi à les récupérer avec ShadowExplorer sache qu'actuellement il est impossible de les décrypter, met-les de côté en attendant une "éventuelle solution", mais à mon avis il ne fait pas trop y compter vu que les clés de cryptage sont désormais quasiment toutes online, le décryptage des fichiers est donc la plupart du temps impossible.
Pour information les liens des rapports FRST mènent nulle part passe par https://pjjoint.malekal.com/
En général les crypto-ransomwares ne sont pas rémanents mais par prudence fait un scan de ton pc avec KVRT voir ce TUTORIEL.
Le scan par un antivirus supprimera d'éventuelles infections mais ne décryptera pas tes fichiers car il ne faut pas confondre désinfection et décryptage.
Quelques liens utiles:
L'outil de décryptage d'Emisoft et son mode d'emploi
stop-djvu-alka-ransomware
malwarehunterteam.com
nomoreransom.org
malekal.com/98
18 sept. 2023 à 10:03
Bonjour,
Malheureusement, dans la plupart des cas, il n'est pas possible de récupérer les fichiers chiffrés par un ransomware, car les fichiers sont cryptés par une clé unique que seul le hacker connait.
Voir ici :
https://forums.commentcamarche.net/forum/affich-37558643-cryptage
Et ici aussi :
https://support.kaspersky.com/fr/common/disinfection/8547
Si l'utilitaire RannohDecryptor n'a pas aidé à déchiffrer les fichiers, téléchargez et lancez l'utilitaire XoristDecryptor ou RectorDecryptor.
@ masterkey69 « Résultat : toute ma vie est en jeu. »
Pour payer mes études, j’ai été Assistant d’Éducation, j’ai eu à accompagner des lycéens à Bruxelles la Commission Européenne.
Des élèves ont voulu retirer de l’argent dans une banque, comme ils étaient mineurs, j’étais avec, quand la banque a été braquée à peine 10 à 15 minutes, des revolvers sur la tête, des types qui hurlaient : « couchez-vous » ; « au sol j’ai dit ».
Je me suis mis devant les élèves et j’ai été frappés, l’un des types me posant un revolver sur la tête et me disant : « tu veux jouer au héros !»
Cela devrait vous aider à relativiser !
=========================================
Ransomware : de quoi s'agit-il et comment s'en débarrasser ?
https://www.futura-sciences.com/tech/questions-reponses/cybersecurite-ransomware-agit-il-debarrasser-17340/
Rançongiciel ou ransomware, que faire ?
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares
18 sept. 2023 à 11:01
Bjr
En complément de tous ce qui a été dit par mes collègues:
Un moyen efficace de se prémunir de ce genre d'aventure est d'avoir un jeux mensuel de sauvegardes complet, image disque du système comprenant les données sur un disque externe.
C'est très simple à faire et gratuit avec de nombreux logiciels comme AOMEI backupper ou EaseUS todo backup (et d'autre moins connus).
La restauration va très vite si le pc est assez récent, et on retrouve tout à la date ou la sauvegarde a été faite.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
18 sept. 2023 à 16:06
Merci à tous pour vos réponses.
Finalement, est-ce une si mauvaise idée de payer la rançon ?
Évidemment, les chances de se faire réattaquer sont alors décuplées mais si ce sont les fichiers qui m'importent le plus..
Je vois que des articles mentionnant de ne jamais payer quelconque rançon, mais j'aimerais en savoir davantage, est-ce que les pirates n'ont pas intérêt à me "rendre" ces fichiers pour ensuite pouvoir me réattaquer ?
Modifié le 18 sept. 2023 à 16:36
Les "vrais" ransonwareman s'attaque à des entreprises, souvent en ayant au préalable connaissances des assurances cyber de la dite entreprise, et demandant la plupart du temps le montant de la police d'assurance en cas d'attaque au ransonware...
ce qui conduit souvent les entreprises à payer pour gagner du temps, car même si les postes informatiques sont tous sauvegarder, les restauration se font un à un , hors réseau par sécurité, et c'est très long ....cela peu potentiellement concerné des milliers de postes et prendre plusieurs semaine, ce que certaines entreprises ne peuvent se permettre.
Dans ton cas, je suppose que tu es un particulier, c'est exceptionnel qu'ils s'attaque à un particulier, derrière cet hack se cache sans doute un kéké qui a trouvé un ranson sur le net et qui n'a même pas le code pour le déverrouiller, donc à mon avis même si tu payes, tu ne reverra peut-être jamais tes données..
18 sept. 2023 à 17:11
Bonjour,
Dans le cas qui nous intéresse, il ne s'agit probablement même pas d'une attaque ciblée ou aléatoire, mais d'un exécutable intégré à un crack.
Et le résultat est le même, cela rend illusoire qu'il y ait quelqu'un derrière.
18 sept. 2023 à 18:37
Merci à tous.
J'aimerais tout de même savoir d'où vient le virus si vous pouvez m'éclairer :))
FRST :
https://pjjoint.malekal.com/files.php?id=20230918_n10b15c12w5q15
Addition :
https://pjjoint.malekal.com/files.php?id=20230918_10z14c11s6g13
Bonne soirée!
18 sept. 2023 à 20:20
Salut,
Tu as encore bien pourri ton PC .
L'attaque a pourri ton fichier Hosts pour t'empêcher l'utilisation d'AV et a mis une restriction sur Windows Defender .
On va nettoyer :
--> Désinstalles ou mets à jour VLC
--> Copie ce qui se trouve ici https://textup.fr/730655Np de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner
--> Le PC va redémarrer
--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports
Modifié le 18 sept. 2023 à 23:08
Salut,
Je sais bien.. et je te remercie à nouveau.
Fichier FixLog :
https://pjjoint.malekal.com/files.php?id=20230918_n15g7k15g11n8
Cepedant, les fichiers resteront cryptés par le Ransomware, et donc certainenement irrécupérables, n'est-ce pas ?
En somme, je pense opter pour la réinitialisation complète du système.
Mais avant cela, dois-je quand même faire une sauvegarde des fichiers cryptés sur un SDD externe ? (au cas où les solutions de décryptages autour de ce STOP/Djvu évoluent)
Merci pour ton aide et tes conseils.
Merci a @bazfile StatutModérateur, Contributeur sécurité pour la réactivité !
Modifié le 18 sept. 2023 à 23:13
@masterkey69 StatutMembre
Ne pas oublier MysteryBean qui a été plus rapide que moi et à fait la correction FRST. ;)
Pour FRST:
Le fixlog est OK.
Oui.
Je doute que tu les récupères un jour, mais les mettre de côté ne coute rien et on ne sait jamais un miracle peut arriver.