Sujet Précédent Sujet Suivant

Pc infecté et fichiers cryptés - job crypter

Fermé
cirdec21 Messages postés 206 Date d'inscription lundi 24 septembre 2007 Statut Membre Dernière intervention 29 mai 2023 - Modifié par cirdec21 le 21/04/2016 à 19:54
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 25 juin 2016 à 19:13
Bonjour,

Le pc d'un ami vient d'être infecté par un virus qui a crypté tous les fichiers.

Description du virus :
https://forum.malekal.com/viewtopic.php?t=54381&start=

Mes questions :
Comment savoir si le virus a bien été supprimé ?
Comment faire pour décrypter les fichiers ?

Merci d'avance pour votre aide.


A voir également:

8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
21 avril 2016 à 19:56
Salut,

Fais ceci :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 8
kyon0043 Messages postés 605 Date d'inscription samedi 16 janvier 2016 Statut Membre Dernière intervention 14 septembre 2016 322
21 avril 2016 à 19:59
Salut,

Question résolue : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv

Pour récupérer tes fichiers, c'est malheureusement impossible.
0
Réponse 3 / 8
cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
21 avril 2016 à 21:54
je n'arrive pas à envoyer les rapports sur le site http://pjjoint.malekal.com/
Dès je clique sur le bouton envoyer, j'arrive sur une page "page inaccessible"


--
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
21 avril 2016 à 21:56
Envoie les en PJ à spamhere-@wanadoo.fr
0
cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
21 avril 2016 à 22:18
je viens de vous les envoyer par mail
0
Réponse 4 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
21 avril 2016 à 23:01
voila les rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20160421_t89b9m12o6
https://pjjoint.malekal.com/files.php?id=20160421_f12o10i13z15q10
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 22/04/2016 à 09:02
il n'y a pas d'antivirus sur ce PC ...
Voici les trois étapes à suivre.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System) 
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] () 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System) 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe 
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem  
C:\Program Files\RCP
 Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

3/

Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
cirdec21 Messages postés 206 Date d'inscription lundi 24 septembre 2007 Statut Membre Dernière intervention 29 mai 2023 1
21 avril 2016 à 23:46
Oui il n'y avait pas d'antivirus sur le PC. j'ai installé avast juste après t'avoir envoyé les rapports.

OK pour le reste, je m'en charge demain matin. merci

--
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > cirdec21 Messages postés 206 Date d'inscription lundi 24 septembre 2007 Statut Membre Dernière intervention 29 mai 2023
22 avril 2016 à 08:23
Pas de soucis =)
0
Réponse 6 / 8
cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
Modifié par cirdec2000 le 22/04/2016 à 09:49
J'ai fait les différentes modifications :

étape 1
après avoir cliquez sur le bouton "corriger/fix", une fenêtre s'est ouverte pour me demander de redémarrer le pc mais par contre je n'ai pas eu de fichier texte qui s'est ouvert.
Par contre j'ai un nouveau fichier sur le bureau qui s'appelle fixlog.txt, j'imagine que ça doit être ça 

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:18-04-2016
Exécuté par Bob (2016-04-22 09:19:10) Run:1
Exécuté depuis C:\Documents and Settings\Bob\Bureau
Profils chargés: Bob (Profils disponibles: Bob)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System) 
 Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] () 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System) 
 HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\Locker.exe 
 C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe 
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem  
C:\Program Files\RCP
 Reboot:
 
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe => déplacé(es) avec succès
C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css => déplacé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Sidebar(32.3) => valeur supprimé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\application => valeur supprimé(es) avec succès
"C:\Documents and Settings\Bob\Application Data\Locker.exe" => non trouvé(e).
C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe => déplacé(es) avec succès
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\RDReminder => valeur supprimé(es) avec succès
"C:\Program Files\RCP" => non trouvé(e).


Le système a dû redémarrer.

==== Fin de Fixlog 09:19:21 ====


étape 2
j'ai bien mis le fichier zip sur http://upload.malekal.com
J'ai eu ce message "L'upload a r�ussi !" mais par contre je n'ai pas eu de lien vers le fichier déposé. C'est normal ?

étape 3
ok


ps
au démarrage du pc, j'ai 4 éléments qui se lance
1 : fatal error = failed to get proc address for getLocicalProcessorInformation (KERNEL32.dll)
2 : un fichier texte qui s'ouvre (bluetooth Manager.lnk)
3 : un autre fichier texte qui s'ouvre (windows desktop search.lnk)
4 : erreur = solution Menu Ex n'est pas correctement installé. Réinstallez-le puis réessayez

--
0
Réponse 7 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
22 avril 2016 à 09:48
ouaip le malware est plutôt bien détecté, comme d'habitude.

Change tous les mots de passe sensibles.

Name: Startup32.3.exe.xBAD
Detection ratio: 24 / 56
Analysis date: 2016-04-22 07:32:33 UTC ( 2 minutes ago )

Antivirus Result Update
AVware Trojan.Win32.Generic.pak!cobra 20160422
Ad-Aware Trojan.GenericKD.3169253 20160422
Arcabit Trojan.Generic.D305BE5 20160422
Avast Win32:Malware-gen 20160422
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
BitDefender Trojan.GenericKD.3169253 20160422
DrWeb Trojan.Siggen6.58585 20160422
ESET-NOD32 MSIL/Agent.ACU 20160422
Emsisoft Trojan.GenericKD.3169253 (B) 20160422
F-Secure Trojan.GenericKD.3169253 20160422
GData Trojan.GenericKD.3169253 20160422
Ikarus Trojan.MSIL.Spy 20160422
Kaspersky Trojan.Win32.Reconyc.fkan 20160422
Malwarebytes Trojan.Reconyc 20160422
McAfee RDN/Generic.bfg 20160422
McAfee-GW-Edition Artemis!Trojan 20160422
eScan Trojan.GenericKD.3169253 20160422
Panda Generic Suspicious 20160421
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160422
Sophos Troj/MSIL-GQC 20160422
Symantec Infostealer.Limitail 20160422
VIPRE Trojan.Win32.Generic.pak!cobra 20160422
Zillya Trojan.GenericCRTD.Win32.4 20160422
0
cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
Modifié par cirdec2000 le 22/04/2016 à 10:35
je viens de changer le mot de passe pour accéder au mail. Je ne vois rien d'autre de plus.

PS : est ce que tu crois que ça va être faisable de décrypter les fichiers ? Si c'est non, dans ce cas, autant formater le pc !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
Modifié par Malekal_morte- le 22/04/2016 à 10:37
Je pense que des éditeurs d'antivirus comme Dr.WEB ou Kaspersky peuvent récupérer les données. L'auteur de ce ransomware n'étant pas très doué.
Par contre, comme tu n'es pas client chez eux, ils te feront surement payer, faut voir les prix.

Ca vient par des emails pourris, faut sensibiliser les internautes.

Bloquer les scripts aussi, ça limitera la casse :

Comment se protéger des scripts malicieux sur Windows
0
cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
Modifié par cirdec2000 le 22/04/2016 à 10:47
oui c'est en cliquant dans un lien qui se trouvait dans un mail que le pc a été infecté !
Niveau prix, tu penses que ça va chiffrer à combien à peu près ?
Est ce que tu sais si les mails présents dans outlook ont été crypté aussi ? Si je pouvais au moins récupérer les mails, ça serait déjà ça ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > cirdec2000 Messages postés 24 Date d'inscription samedi 8 novembre 2008 Statut Membre Dernière intervention 22 avril 2020
22 avril 2016 à 10:53
Aucune idée pour les prix.
A toi de voir pour les mails.

as-tu encore le lien du mail ? je suis preneur =)
0
cirdec21 Messages postés 206 Date d'inscription lundi 24 septembre 2007 Statut Membre Dernière intervention 29 mai 2023 1
Modifié par cirdec21 le 22/04/2016 à 11:10
Oui voici le lien du mail

ATTENTION, LE LIEN QUI SUIT EST CONTAMINE, NE CLIQUEZ PAS DESSUS 
https://

weber2.net/order-confirm/

12548SCD1254SD21C45FT541V4V2BGB14214


Dit moi quand tu l'auras copié pour que je supprime ce message ;)
0
Réponse 8 / 8
Tho.laplante Messages postés 2 Date d'inscription samedi 25 juin 2016 Statut Membre Dernière intervention 25 juin 2016
25 juin 2016 à 11:03
Bonjour,

J'ai aussi un soucis avec ces .locked j'ai pas voulu payer pensant trouvé une solution, me voilà bloqué depuis 2 mois.

Je vais vous faire part de mes rapports mais je veux que vous sachiez que j'utilise actuellement un pc " saint " sur lequel j'ai relié mon ancien disque via un boitier externe.
Je ne suis pas sûr que FRST soit allé le scanner.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160625_w15v14v12s14q11
Addition : https://pjjoint.malekal.com/files.php?id=20160625_m9r13q6x9x11
Shortcut : https://pjjoint.malekal.com/files.php?id=20160625_q14x8z15i5s9

Si vous pourriez m'en dire plus..

Merci d'avance.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
25 juin 2016 à 11:07
Salut,

Le malware n'est plus actif.
Tu peux supprimer ce dossier je pense : C:\Users\Remi\AppData\Local\Microsoft Help
0
Tho.laplante Messages postés 2 Date d'inscription samedi 25 juin 2016 Statut Membre Dernière intervention 25 juin 2016
25 juin 2016 à 11:11
Merci de la réponse très rapide !
Je n'ai pas précisé mais le disque qui est infecté ( G: ) est connecté en usb sur mon pc portable et j'ai placé le fichier FRST comme demandé sur le desktop du pc portable,
Les fichiers présent sur le disque infecté sont toujours cryptés eux.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > Tho.laplante Messages postés 2 Date d'inscription samedi 25 juin 2016 Statut Membre Dernière intervention 25 juin 2016
25 juin 2016 à 19:13
Ben oui et ils resteront chiffrés.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
0