Signaler

Attaque virus ransomware .zzzzz : chiffrement RSA

Posez votre question Emile2509 1Messages postés mercredi 28 septembre 2016Date d'inscription 28 septembre 2016 Dernière intervention - Dernière réponse le 2 déc. 2016 à 10:19
Bonjour, s'il vous plait ce matin ma machine a subi une attaque ransonware j'essaie de trouver des solutions et sur les forums j'ai donc fais l'analyse voici le resultat mais je ne sais que faire si quelqu'un peut m'aider a liberer la machine

http://pjjoint.malekal.com/files.php?id=20160928_l10l5p10y5o11
http://pjjoint.malekal.com/files.php?id=FRST_20160928_i1311t14l12l6
http://pjjoint.malekal.com/files.php?id=20160928_c15j12y13i15b9
Afficher la suite 
Utile
+1
moins plus
Je change le titre en .shit pour couvrir la nouvelle extension de Locky.

comme il y a une bonne explication qui couvre tout (désinfection, récupérations de fichiers et sécuriser son ordinateur).
Ajouter un commentaire
Utile
+1
moins plus
Je change le titre en .thor pour couvrir la nouvelle extension de Locky.
> fichiers chiffrés avec l'extension .thor maintenant.

Ajouter un commentaire
Utile
+0
moins plus
Salut,

C'est la variante Locky Odin.
Il n'est pas résident.
C'est mort pour tes données.

Pour sécuriser ton ordinateur face à ces menaces :

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Malekal_morte- 121204Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 28 sept. 2016 à 21:25
Garde les, dans le cas où une solution est trouvée d'ici quelques mois.
Garde les un an ou deux.

Je n'ai pas compris les deux dernières questions.
Répondre
Emile2509- 29 sept. 2016 à 10:38
Salut bon actu je suis au stade que je vous ai fait parvennir mais comment je restaure ma machine ? La question etait si je pouvais copier ces fichiers la sur une cle comportant des donnees saines sans aucun risque.
Au fait actu je cherche a restaurer la machine et reinstaller les pack office. aussi je dispose d'un antivirus bitdefender sur la machine je voulais savoir si son cloud sauvegardait automatiquement les donnees des machines
Répondre
Malekal_morte- 121204Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 29 sept. 2016 à 14:14
Pourquoi veux-tu restaurer ta machine ?
Elle n'est pas infectée, Locky n'est pas résident.
Le ransomware se lance, chiffre les documents, charge les instructions de paiement un peu partout, modifie le fond d'écran et se ferme.
Plus rien après.

Pour le cloud, c'est possible que ça aide mais si la synchronisation met les fichiers chiffrés à jour, tu peux tout perdre, faut voir s'il y a des filtrages ou choses comme cela.
Faudrait que je test tiens.
Répondre
Emile2509- 29 sept. 2016 à 19:51
cool suis rassure mais petit probleme apres avoir tout repris mon souci est que mon pack office ne passe plus alors j'ai desinstallé pour reinstaller mais l'installation ne passe pas .
Serieusement vous m'etes d'une grande utilite
Répondre
Malekal_morte- 121204Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 29 sept. 2016 à 19:53
C'est dire à l'installation ne passe pas ?
Tu as des messages d'erreur ou des codes ? Faut pas donner plus d'informations.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Bonjour,
j'ai déja eu un virus de ce type;
je m'en suis débarassé avec le logiciel roguekiller (gratuit et eficace)
ThomasRuben 2Messages postés vendredi 23 octobre 2015Date d'inscription 29 septembre 2016 Dernière intervention - 29 sept. 2016 à 16:13
Un ami a été infecté par le virus .odin et enlevé. Quelqu'un sait comment décrypter les fichiers? Toutes les photos et ses fichiers sont verrouillés avec .odin .. Y at-il un remède? Nous voulons sauver au moins les images! :(
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Vu qu'il y a d'autres demandes on va détailler.

.odin, c'est Locky Ransomware, dit le "virus ransomware AES 128, RSA-2048".
Précédemment les extensions étaient .zepto et encore avant .locky
Maintenant devenu fichier .zzzz

Pour rappel, un ransomware ou rançongiciel est un programme malveillant qui chiffre les documents. Le but est de rendre les fichiers et documents illisibles afin de vous demander de payer une rançon pour récupérer la version originelle : Les ransomwares/rançongiciels et Les crypto-ransomwares.

Rapide tour d'horizon du ransomware Locky.

Les détails des campagnes du ransomware Locky (mode de distribution, les variantes etc) sont disponibles sur cette page : http://www.malekal.com/locky-ransomware/.
Comme dit plus haut, il n'est pas résident.
Vous avez un mail malicieux ou via un Web Exploit... il se lance, chiffre les documents et se ferment.
Aucun nettoyage n'est nécessaire.
Juste que les fichiers contenant les fichiers d'instructions sont disséminés.
Votre fond d'écran est modifié, vous pouvez le remettre manuellement.

Si vous souhaitez, tout de même vérifier votre ordinateur, effectuer un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite.

La récupération des documents.
En théorie, elle est impossible puisque le but est de vous forcer à payer.

Vous pouvez, tester les versions précédentes de fichiers.
Privilégiez la récupération Shadow Explorer que par l'onglet versions précédentes.

Normalement, y en a plus car avant de chiffrer les documents, Locky les désactivent.
Si vous avez de la chance, contrairement à CryptoWall, si la désactive foire, Locky va tout de même chiffrer les documents.
Donc les versions précédentes peuvent être présentes.



- Si la fenêtre Shadow Explorer est vide, c'est qu'aucun cliché instantanné n'est disponible. La restauration du système est désactivée.
- Si le dossier sont vides, aucune version précédentes n'est disponibles
(En haut à gauche, vous avez la liste des clichés instantanées avec les date, vérifiez les tous)
- S'il ne reste qu’un seul cliché avec les fichiers chiffrés .thor etc - c'est mort.

Si vous n’êtes pas capables de récupérer vos fichiers ,c'est dommage.
Maintenant prenez 5min pour lire le paragraphe qui suit, ça vous évitera de futurs infections de Windows.

Du point de vue sécurité :

Si vous avez été infecté, c'est que l'ordinateur est mal sécurisé et que vous avez aussi aucune connaissance sur la manière dont les infections se propagent.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers
Voir aussi ce dossier : Les ransomwares.

Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Soit vous ouvrez n'importe quel mail ou vous étiez fatigué et boom.
Soit votre ordinateur est vulnérable aux WEB Exploits.
La méthode privilégiée par Locky reste les mails.

Ces derniers utilisent des scripts, il est assez facile de s'en protéger : Comment se protéger des scripts malicieux sur Windows.

FAITES DES SAUVEGARDES

et surtout faites des sauvegardes, de préférences des sauvegardes externes.
Cela permet de restaurer les documents en cas de pertes ou attaques.

=> http://www.malekal.com/windows/sauvegarde-windows/
=> http://www.commentcamarche.net/faq/29104-sauvegarder-ses-donnees-gratuitement



Ajouter un commentaire
Utile
+0
moins plus
Merci pour le infos mais il semble que je n'arrive pas à récupérer les données infectées. J'ai fait une restauration système mais, bien entendu, les photos et documents ne sont toujours pas récupérables...Si quelqu'un a une idée, je suis preneur. Je rappelle que j'ai été infecté par un virus .thor qui m'a bloqué tous mes fichiers (photos, données, vidéos...), j'utilise windows 10, j'ai fait deux recup système sans succès et j'ai lancé malwarebytes....Merci par avance à ceux qui pourraient m'aider.
Malekal_morte- 121204Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 1 nov. 2016 à 11:58
Continue sur ton sujet : http://www.commentcamarche.net/forum/affich-34050429-infection-virus-thor#p34050436
s'il te plait.
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Titre changé pour extension .aesir
Camille- 22 nov. 2016 à 10:43
J'ai supprimé le malware avec malwarebytes. Si je comprends bien, il n'existe aucun moyen de récupérer les fichiers encryptés ? J'ai essayé Shadow Explorer, il n'y a aucune sauvegarde pour le disque affecté (aucun dossier).

Devrais-je supprimer tout les fichiers .aesir ou les laisser en attendant une potentielle solution ?
Répondre
Malekal_morte- 121204Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 7 décembre 2016 Dernière intervention - 22 nov. 2016 à 11:02
Si Shadow Explorer échoue, non.

Désolé...

Faut faire des sauvegardes des documents, voir mon message "global" => http://www.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-aesir-chiffrement-rsa#9
Répondre
Ajouter un commentaire
Utile
+0
moins plus
Modif avec l'extension .zzzzz

Ajouter un commentaire

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !