Signaler

Attaque virus ransomware .jaff : chiffrement RSA [Fermé]

Posez votre question Emile2509 1Messages postés mercredi 28 septembre 2016Date d'inscription 28 septembre 2016 Dernière intervention - Dernière réponse le 20 mai 2017 à 19:54 par Malekal_morte-
Bonjour, s'il vous plait ce matin ma machine a subi une attaque ransonware j'essaie de trouver des solutions et sur les forums j'ai donc fais l'analyse voici le resultat mais je ne sais que faire si quelqu'un peut m'aider a liberer la machine

http://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
http://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
http://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9


Utile
+1
plus moins
Vu qu'il y a d'autres demandes on va détailler.

.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz

Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.

Rapide tour d'horizon du ransomware Locky.

Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : http://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.

Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.

La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.

Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.

Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.



- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.

Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.

Du point de vue sécurité :

Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.

Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.

Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.

FAITES DES SAUVEGARDES

et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.

=> http://www.malekal.com/windows/sauvegarde-windows/
=> http://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement



Cette réponse vous a-t-elle aidé ?  
MENMOH95 4Messages postés jeudi 18 mai 2017Date d'inscription 20 mai 2017 Dernière intervention - 18 mai 2017 à 22:40
Bonsoir et même si il se fait tard, je peux encore patienter 5 mn pour remercier Malekal pour ses explications et ses bonnes orientations et je vais voir comment me protéger dès ce WE... Voilà sur ce, bonne soirée et @++++
MENDJAM
Répondre
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 18 mai 2017 à 23:02
merci et de rien :)
Répondre
MENMOH95 4Messages postés jeudi 18 mai 2017Date d'inscription 20 mai 2017 Dernière intervention - 20 mai 2017 à 19:32
Bonsoir Malekal,
Je voulais encore profiter de ton savoir-faire pour m'éclairer sur un truc qui s'affiche sur mon écran à chaque démarrage. Une fenêtre qui me dit qu'il ne peut pas ouvrir ceci ou cela parce qu'il manque "rtl.120.bpl" et une autre qq secondes plus tard "rtl.150.bpl"...
J'ai essayé de télécharger des trucs soi-disant correcteurs, mais qui sont payants...!
Voilà ce que je voulais savoir comme solution pour ouvrir sur un fichier pour l'ouvrir...
Avec tous mes remerciements.
MENDJAM
Répondre
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 20 mai 2017 à 19:54
c'est lié à realtek, probablement ta carte réseau, rien à voir avec des virus.
Répondre
Utile
+1
plus moins
Je change le titre en .shit pour couvrir la nouvelle extension de Locky.

comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
Cette réponse vous a-t-elle aidé ?  
Utile
+1
plus moins
Je change le titre en .thor pour couvrir la nouvelle extension de Locky.
> fichiers chiffrés avec l'extension .thor maintenant.

Cette réponse vous a-t-elle aidé ?  
Utile
+0
plus moins
Salut,

C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.

Pour sécuriser ton ordinateur face à ces menaces :

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 28 sept. 2016 à 21:25
Garde les, dans le cas où une solution est trouvée d'ici quelques mois.
Garde les un an ou deux.

Je n'ai pas compris les deux dernières questions.
Emile2509- 29 sept. 2016 à 10:38
Salut bon actu je suis au stade que je vous ai fait parvennir mais comment je restaure ma machine ? La question etait si je pouvais copier ces fichiers la sur une cle comportant des donnees saines sans aucun risque.
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 29 sept. 2016 à 14:14
Pourquoi veux-tu restaurer ta machine ?
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.

Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
Emile2509- 29 sept. 2016 à 19:51
cool suis rassure mais petit probleme apres avoir tout repris mon souci est que mon pack office ne passe plus alors j'ai desinstallé pour reinstaller mais l'installation ne passe pas .
Serieusement vous m'etes d'une grande utilite
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 29 sept. 2016 à 19:53
C'est dire à l'installation ne passe pas ?
Tu as des messages d'erreur ou des codes ? Faut pas donner plus d'informations.
Utile
+0
plus moins
Bonjour,
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
ThomasRuben 2Messages postés vendredi 23 octobre 2015Date d'inscription 29 septembre 2016 Dernière intervention - 29 sept. 2016 à 16:13
Un ami a été infecté par le virus .odin et enlevé. Quelqu'un sait comment décrypter les fichiers? Toutes les photos et ses fichiers sont verrouillés avec .odin .. Y at-il un remède? Nous voulons sauver au moins les images! :(
Utile
+0
plus moins
Merci pour le infos mais il semble que je n'arrive pas à récupérer les données infectées. J'ai fait une restauration système mais, bien entendu, les photos et documents ne sont toujours pas récupérables...Si quelqu'un a une idée, je suis preneur. Je rappelle que j'ai été infecté par un virus .thor qui m'a bloqué tous mes fichiers (photos, données, vidéos...), j'utilise windows 10, j'ai fait deux recup système sans succès et j'ai lancé malwarebytes....Merci par avance à ceux qui pourraient m'aider.
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 1 nov. 2016 à 11:58
Continue sur ton sujet : http://www.commentcamarche.net/forum/affich-34050429-infection-virus-thor#p34050436
s'il te plait.
Utile
+0
plus moins
Titre changé pour extension .aesir
Camille- 22 nov. 2016 à 10:43
J'ai supprimé le malware avec malwarebytes. Si je comprends bien, il n'existe aucun moyen de récupérer les fichiers encryptés ? J'ai essayé Shadow Explorer, il n'y a aucune sauvegarde pour le disque affecté (aucun dossier).

Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 22 nov. 2016 à 11:02
Si Shadow Explorer échoue, non.

Désolé...

Faut faire des sauvegardes des documents, voir mon message "global" => http://www.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-aesir-chiffrement-rsa#9
Utile
+0
plus moins
Modif avec l'extension .zzzzz

Gregos01 1Messages postés lundi 12 décembre 2016Date d'inscription 12 décembre 2016 Dernière intervention - 12 déc. 2016 à 16:18
Bien le Bonjour à tous !

Il se trouve que je suis dans le même cas depuis vendredi dernier.
Tous mes fichiers sont cryptés avec l'extension .osiris

Alors j'ai suivi les quelques instructions demandées, notamment les trucs avec FRST (Addition, FRST et Short Cut).
Si vous voulez y jeter un eil, dites moi où je peux vous les envoyer en toute discrétion svp (PC pro)

Au préalable, j'ai installé Shadow explorer mais la page reste blanche de chez blanche, je n'ai même pas l'arborescence des dossiers... j'ai peut être fait une mauvaise manip, je ne sais pas.

J'y comprend pas grand chose à tous ça, je suis carrément novice, alors si vous pouviez m'aider à m'en sortir, ce serait vraiment sympa.

Merci de me dire s'il faut d'autres infos, je suis dispo n'hésitez pas.

Merci beaucoup d'avance pour votre aide.
Greg
Répondre
Malekal_morte- 141807Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 novembre 2017 Dernière intervention - 12 déc. 2016 à 16:25
Si la page de Shadow Explorer reste blanche
c'est malheureusement mort pour récupérer tes fichiers.
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !