Fichiers infectés et chiffrés par TeslaCrypt 2.x
Fermé
Utilisateur anonyme
-
18 août 2017 à 12:16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 août 2017 à 12:12
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 août 2017 à 12:12
A voir également:
- Fichiers infectés et chiffrés par TeslaCrypt 2.x
- Wetransfer gratuit fichiers lourd - Guide
- 2 comptes whatsapp - Guide
- Direct x runtime - Télécharger - Pilotes & Matériel
- Fusionner 2 fichiers excel - Guide
- Renommer plusieurs fichiers - Guide
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
18 août 2017 à 12:31
18 août 2017 à 12:31
Salut,
TeslaCrypt n'existe plus depuis un moment.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
TeslaCrypt n'existe plus depuis un moment.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
20 août 2017 à 21:17
20 août 2017 à 21:17
Désinstalle
CyberLink
Opera_helper
WinZip
ok si c'est fin 2015 alors c'est bien lui.
Depuis, l'auteur a publié la clé, donc y a pas mal d'outil qui permet de récuéprer les fichiers TeslaCrypt : https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
ou TeslaCrypt V2 Ransom https://www.nomoreransom.org/en/decryption-tools.html
et aussi :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
CyberLink
Opera_helper
WinZip
ok si c'est fin 2015 alors c'est bien lui.
Depuis, l'auteur a publié la clé, donc y a pas mal d'outil qui permet de récuéprer les fichiers TeslaCrypt : https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
ou TeslaCrypt V2 Ransom https://www.nomoreransom.org/en/decryption-tools.html
et aussi :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Lenovo Settings Dependency Package] => wscript.exe "C:\Program Files\Lenovo\SettingsDependency\cpyMachineInformation_xml.vbs"
C:\Program Files\Lenovo\SettingsDependency
Task: {CA64693F-860F-441E-AFB2-94328E7938A1} - System32\Tasks\Opera_helper => C:\Users\habib\AppData\Roaming\opera_helper\Opera_helper.exe [2016-10-15] () <==== ATTENTION
2017-08-13 12:16 - 2012-07-26 09:12 - 000000000 ___HD C:\Program Files\WindowsApps
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
J'ai désinstallé:
CyberLink
Opera_helper
WinZip
Ces programmes là ont été infecté?
J'ai essayé de télécharger l'outil depuis
https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
mais le téléchargement est indisponible, alors j'ai essayé avec un outil TeslaDecoder dont je dispose déja en appliquant les étapes du tutorial sans résultat.
Après, j'ai visité
https://www.nomoreransom.org/en/decryption-tools.html
mais il apparait que pour cet outil et concernant mon cas TeslaCrypt V2 Ransom, il faut que je contacte l'équipe de support technique, j'attends votre confirmation à ce propos.
L e voici le rapport demandé:
https://pjjoint.malekal.com/files.php?id=20170821_o6v10t8k11u15
CyberLink
Opera_helper
WinZip
Ces programmes là ont été infecté?
J'ai essayé de télécharger l'outil depuis
https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
mais le téléchargement est indisponible, alors j'ai essayé avec un outil TeslaDecoder dont je dispose déja en appliquant les étapes du tutorial sans résultat.
Après, j'ai visité
https://www.nomoreransom.org/en/decryption-tools.html
mais il apparait que pour cet outil et concernant mon cas TeslaCrypt V2 Ransom, il faut que je contacte l'équipe de support technique, j'attends votre confirmation à ce propos.
L e voici le rapport demandé:
https://pjjoint.malekal.com/files.php?id=20170821_o6v10t8k11u15
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
Utilisateur anonyme
21 août 2017 à 12:12
21 août 2017 à 12:12
TeslaCrypt V2 vise l'extension .abc, c'est dit dans le PDF.
20 août 2017 à 21:11
Merci de me répondre aussi vite.
Je tiens à préciser que l’infection est survenue en fin 2015 si je ne me trompes pas, et j’ai tenté de récupérer les fichiers auparavant mais sans résultat.
Je me souviens très bien de l’image qui s’affichait sur mon navigateur après l’attaque et elle correspondait à merveille avec celle que vous avez associé au ransomware TeslaCrypt dans l’article ransomware / rançongiciel chiffreur de fichiers et pour la façon d’infection c’était à travers le réseau TOR.
J’ai, depuis, gardé mes fichiers avec l’espoir de pouvoir les déchiffrer au futur.
J’ai changé tous mes mots de passe, mais j’ai toujours douté de l’absence de « traces » de ce malware puisque j’ai utilisé des logiciels gratuits donc pas en entier.
Mon ordi est sous win 8, donc probablement la voie « Shadow Explorer » est à éliminer, pour les DecryptTools, j’ai essayé avec quelques-uns et j’ai eu presque l’impression de résolution avec TeslaDecoder car il est conçu pour TeslaCrypt 2.x mais le problème est que mes fichiers ont l’extension abc dont le « key » n’est pas prédéfini, donc je me suis dit que peut être qqn peut me le trouver.
Les voici les rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20170820_o6e8f5t12g14
https://pjjoint.malekal.com/files.php?id=20170820_y6h7f9s8s10
https://pjjoint.malekal.com/files.php?id=20170820_j10b12v6r13w9