A L'AIDE ! Virus Ransomware : supression et décryptage

Fermé
masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023 - Modifié le 18 sept. 2023 à 09:37
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 - 18 sept. 2023 à 23:06

Bonjour à tous,

Aujourd'hui, je rencontre un problème massif. J'ai été infecté par un Ransomware, et j'ai beaucoup de fichiers très précieux sur mon PC.

C'est entièrement de ma faute, je n'ai pas assez d'argent pour télécharger tous les plugins dont j'ai besoin pour composer de la musique.

Résultat : toute ma vie est en jeu.

Je suis prêt à payer le prix fort pour la personne qui arrivera à tout remettre dans l'ordre (suppression du virus + décryptage des fichiers).

J'ai conscience que c'est une tâche très fastidieuse mais je veux essayer toutes les possibilités.

Merci à tous pour votre aide.


Voici les rapports Addition et FRST juste ici :

FRST:

https://security-x.fr/up/file.php?h=R6b1f12ebbbc2957ba679e8a5bfead73c

Addition :

https://security-x.fr/up/file.php?h=R7e04e8cfd76bee1c07a16943625b321c


Windows / Chrome 116.0.0.0

5 réponses

bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285
Modifié le 18 sept. 2023 à 09:55

Bonjour @masterkey69 StatutMembre.

Tu peux essayer de récupérer tes fichiers avec ShadowExplorer.

Si tu n'as pas réussi à les récupérer avec ShadowExplorer sache qu'actuellement il est impossible de les décrypter, met-les de côté en attendant une "éventuelle solution", mais à mon avis il ne fait pas trop y compter vu que les clés de cryptage sont désormais quasiment toutes online, le décryptage des fichiers est donc la plupart du temps impossible.

Pour information les liens des rapports FRST mènent nulle part passe par https://pjjoint.malekal.com/

En général les crypto-ransomwares ne sont pas rémanents mais par prudence fait un scan de ton pc avec KVRT voir ce TUTORIEL.

Le scan par un antivirus supprimera d'éventuelles infections mais ne décryptera pas tes fichiers car il ne faut pas confondre désinfection et décryptage.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

stop-djvu-alka-ransomware


malwarehunterteam.com

nomoreransom.org

malekal.com/98

malekal.com/ransomware.


4
masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023
18 sept. 2023 à 18:37

Merci à tous.

J'aimerais tout de même savoir d'où vient le virus si vous pouvez m'éclairer :))

FRST :

https://pjjoint.malekal.com/files.php?id=20230918_n10b15c12w5q15

Addition :

https://pjjoint.malekal.com/files.php?id=20230918_10z14c11s6g13

Bonne soirée! 

0
MisteryBean Messages postés 8782 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 18 novembre 2024 1 235 > masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023
18 sept. 2023 à 20:20

Salut,

Tu as encore bien pourri ton PC .

L'attaque a pourri ton fichier Hosts pour t'empêcher l'utilisation d'AV et a mis une restriction sur Windows Defender .

On va nettoyer :

--> Désinstalles ou mets à jour VLC

--> Copie ce qui se trouve ici https://textup.fr/730655Np de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

0
masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023 > MisteryBean Messages postés 8782 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 18 novembre 2024
Modifié le 18 sept. 2023 à 23:08

Salut,

Je sais bien.. et je te remercie à nouveau.

Fichier FixLog :

https://pjjoint.malekal.com/files.php?id=20230918_n15g7k15g11n8 

Cepedant, les fichiers resteront cryptés par le Ransomware, et donc certainenement irrécupérables, n'est-ce pas ?
 

En somme, je pense opter pour la réinitialisation complète du système.

Mais avant cela, dois-je quand même faire une sauvegarde des fichiers cryptés sur un SDD externe ? (au cas où les solutions de décryptages autour de ce STOP/Djvu évoluent)

Merci pour ton aide et tes conseils.

Merci a @bazfile StatutModérateur, Contributeur sécurité pour la réactivité !

 

0
bazfile Messages postés 56444 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 novembre 2024 19 285 > masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023
Modifié le 18 sept. 2023 à 23:13

@masterkey69 StatutMembre 

Merci à

bazfile pour la réactivité !

Ne pas oublier MysteryBean qui a été plus rapide que moi et à fait la correction FRST. ;)

Pour FRST:

Le fixlog est OK.

Cependant, les fichiers resteront cryptés par le Ransomware, et donc certainement irrécupérables, n'est-ce pas ?
 

Oui.

Mais avant cela, dois-je quand même faire une sauvegarde des fichiers cryptés sur un SDD externe ? (au cas où les solutions de décryptages autour de ce STOP/Djvu évoluent)

Je doute que tu les récupères un jour, mais les mettre de côté ne coute rien et on ne sait jamais un miracle peut arriver. 

0
MPMP10 Messages postés 41820 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 21 novembre 2024 16 119
18 sept. 2023 à 10:03

Bonjour,

Malheureusement, dans la plupart des cas, il n'est pas possible de récupérer les fichiers chiffrés par un ransomware, car les fichiers sont cryptés par une clé unique que seul le hacker connait.

Voir ici :

https://forums.commentcamarche.net/forum/affich-37558643-cryptage

Et ici aussi :

https://support.kaspersky.com/fr/common/disinfection/8547

Si l'utilitaire RannohDecryptor n'a pas aidé à déchiffrer les fichiers, téléchargez et lancez l'utilitaire XoristDecryptor ou RectorDecryptor.


5

@ masterkey69 « Résultat : toute ma vie est en jeu. »
 
Pour payer mes études, j’ai été Assistant d’Éducation, j’ai eu à accompagner des lycéens à Bruxelles la Commission Européenne.
 
Des élèves ont voulu retirer de l’argent dans une banque, comme ils étaient mineurs, j’étais avec, quand la banque a été braquée à peine 10 à 15 minutes, des revolvers sur la tête, des types qui hurlaient : « couchez-vous » ; « au sol j’ai dit ».
 
Je me suis mis devant les élèves et j’ai été frappés, l’un des types me posant un revolver sur la tête et me disant : « tu veux jouer au héros !»
 
Cela devrait vous aider à relativiser !
  

=========================================


 
 Ransomware : de quoi s'agit-il et comment s'en débarrasser ?
 
https://www.futura-sciences.com/tech/questions-reponses/cybersecurite-ransomware-agit-il-debarrasser-17340/
 

Rançongiciel ou ransomware, que faire ?

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/rancongiciels-ransomwares

 
 

1
flo88 Messages postés 26927 Date d'inscription dimanche 15 mai 2005 Statut Contributeur Dernière intervention 21 novembre 2024 Ambassadeur 4 629
18 sept. 2023 à 11:01

Bjr

En complément de tous ce qui a été dit par mes collègues:

Un moyen efficace de se prémunir de ce genre d'aventure est d'avoir un jeux mensuel de sauvegardes complet, image disque du système comprenant les données sur un disque externe.

C'est très simple à faire et gratuit avec de nombreux logiciels comme AOMEI backupper ou EaseUS todo backup (et d'autre moins connus).

La restauration va très vite si le pc est assez récent, et on retrouve tout à la date ou la sauvegarde a été faite.


1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
masterkey69 Messages postés 18 Date d'inscription jeudi 29 août 2019 Statut Membre Dernière intervention 18 septembre 2023
18 sept. 2023 à 16:06

Merci à tous pour vos réponses.

Finalement, est-ce une si mauvaise idée de payer la rançon ?

Évidemment, les chances de se faire réattaquer sont alors décuplées mais si ce sont les fichiers qui m'importent le plus..

Je vois que des articles mentionnant de ne jamais payer quelconque rançon, mais j'aimerais en savoir davantage, est-ce que les pirates n'ont pas intérêt à me "rendre" ces fichiers pour ensuite pouvoir me réattaquer ?

0
flo88 Messages postés 26927 Date d'inscription dimanche 15 mai 2005 Statut Contributeur Dernière intervention 21 novembre 2024 4 629
Modifié le 18 sept. 2023 à 16:36

Les "vrais"  ransonwareman s'attaque à des entreprises,  souvent en ayant au préalable connaissances des assurances cyber de la dite entreprise,  et demandant la plupart du temps le montant de la police d'assurance en cas d'attaque au ransonware...

ce qui conduit souvent les entreprises à payer pour gagner du temps, car même si les postes informatiques sont tous sauvegarder, les restauration se font un à un , hors réseau par sécurité,  et c'est très long ....cela peu potentiellement concerné des milliers de postes et prendre plusieurs semaine, ce que certaines entreprises ne peuvent se permettre. 

Dans ton cas, je suppose que tu es un particulier,  c'est exceptionnel qu'ils s'attaque à un particulier,  derrière cet hack se cache sans doute un kéké qui a trouvé un ranson sur le net et qui n'a même pas le code pour le déverrouiller,  donc à mon avis même si tu payes, tu ne reverra peut-être jamais tes données..

2
brucine Messages postés 17801 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 21 novembre 2024 2 599 > flo88 Messages postés 26927 Date d'inscription dimanche 15 mai 2005 Statut Contributeur Dernière intervention 21 novembre 2024
18 sept. 2023 à 17:11

Bonjour,

Dans le cas qui nous intéresse, il ne s'agit probablement même pas d'une attaque ciblée ou aléatoire, mais d'un exécutable intégré à un crack.

Et le résultat est le même, cela rend illusoire qu'il y ait quelqu'un derrière.

0