Comment retrouver les données après ransomware (.vvv) [Résolu/Fermé]

Signaler
Messages postés
5
Date d'inscription
mardi 22 décembre 2015
Statut
Membre
Dernière intervention
31 décembre 2015
-
Messages postés
6
Date d'inscription
vendredi 12 avril 2013
Statut
Membre
Dernière intervention
8 janvier 2016
-
Bonjour,


J'ai été infecté par un virus type how_recover+dek et how_recover+bnc
Par la suite, il ya une demande de rançon
Pouvez vous m'aider?

9 réponses

Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
adwares aussi,

Désinstalle :
DriverPack Solution Updater (HKU\S-1-5-21-715025565-2572441617-
Guard.Mail.ru (HKLM\...\Guard.Mail.ru) (Version: - Mail.ru) <==== ATTENTION
et le programme en russe.

Norton n'est plus à jour donc pas efficace.
Désinstalle le aussi.


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :


HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [MailRuUpdater] => C:\Users\FULBERT\AppData\Local\Mail.Ru\MailRuUpdater.exe [5888728 2015-11-27] (Mail.Ru)
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [santa_svc] => C:\Users\FULBERT\AppData\Roaming\hwnxvacroic.exe
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.html [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.txt [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.html [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.txt [2015-12-18] ()
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [DrvUpdater] => C:\Users\FULBERT\AppData\Roaming\DRPSu\DrvUpdater.exe [192856 2012-05-09] ()
C:\Users\FULBERT\AppData\Local\Mail.Ru
C:\Users\FULBERT\AppData\Roaming\DRPSu


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :

~~


installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 81316 internautes nous ont dit merci ce mois-ci

Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.
Il s'agit de la variante TeslaCrypt - extension .vvv

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
5
Date d'inscription
mardi 22 décembre 2015
Statut
Membre
Dernière intervention
31 décembre 2015

Messages postés
5
Date d'inscription
mardi 22 décembre 2015
Statut
Membre
Dernière intervention
31 décembre 2015

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:20-12-2015
Exécuté par FULBERT (2015-12-22 10:50:07) Run:1
Exécuté depuis C:\Users\FULBERT\Desktop
Profils chargés: FULBERT (Profils disponibles: FULBERT)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [MailRuUpdater] => C:\Users\FULBERT\AppData\Local\Mail.Ru\MailRuUpdater.exe [5888728 2015-11-27] (Mail.Ru)
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [santa_svc] => C:\Users\FULBERT\AppData\Roaming\hwnxvacroic.exe
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.html [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.txt [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.html [2015-12-18] ()
Startup: C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.txt [2015-12-18] ()
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\...\Run: [DrvUpdater] => C:\Users\FULBERT\AppData\Roaming\DRPSu\DrvUpdater.exe [192856 2012-05-09] ()
C:\Users\FULBERT\AppData\Local\Mail.Ru
C:\Users\FULBERT\AppData\Roaming\DRPSu


HKU\S-1-5-21-715025565-2572441617-1242552585-1000\Software\Microsoft\Windows\CurrentVersion\Run\\MailRuUpdater => valeur supprimé(es) avec succès
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\Software\Microsoft\Windows\CurrentVersion\Run\\santa_svc => valeur non trouvé(e).
C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.html => déplacé(es) avec succès
C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ald.txt => déplacé(es) avec succès
C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.html => déplacé(es) avec succès
C:\Users\FULBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bnc.txt => déplacé(es) avec succès
HKU\S-1-5-21-715025565-2572441617-1242552585-1000\Software\Microsoft\Windows\CurrentVersion\Run\\DrvUpdater => valeur non trouvé(e).
C:\Users\FULBERT\AppData\Local\Mail.Ru => déplacé(es) avec succès
C:\Users\FULBERT\AppData\Roaming\DRPSu => déplacé(es) avec succès

Fin de Fixlog 10:50:08

Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
Fais le reste, réinitialise les navigateurs WEB et installe Avast!.

et c'est terminé,


Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Messages postés
5
Date d'inscription
mardi 22 décembre 2015
Statut
Membre
Dernière intervention
31 décembre 2015

Bonjour,

J'ai tout fait mais aucun fichier ne peut s'ouvrir, comment faire pour decrypter les fichiers?
Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
Messages postés
6
Date d'inscription
vendredi 12 avril 2013
Statut
Membre
Dernière intervention
8 janvier 2016

la procédure fonctionne ...
Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317 >
Messages postés
6
Date d'inscription
vendredi 12 avril 2013
Statut
Membre
Dernière intervention
8 janvier 2016

Tu as pu récupérer tes documents ?
>
Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020

c'est écrit ci dessous
Messages postés
6
Date d'inscription
vendredi 12 avril 2013
Statut
Membre
Dernière intervention
8 janvier 2016

Décryptage des fichiers .vvv Réussi.
Bonjour,

Je suis informaticien de métier , j'ai testé la méthode de décryptage de malekal.com.
Je peux vous confirmer que le tuto de malekal fonctionne à 100% j'ai decrypter 14giga de document pdf xls doc jpg et j'en passe.

Sur 16 giga de doc j 'ai réussi sur 14giga.

par contre le tuto n'est pas très clair au niveau des commandes
à taper il a fallu que je me prenne un peu la tête.

Il est sure que sans connaissance informatique il vous sera difficile de le faire seul mais je pense rédiger un tuto ce weekend plus clair que celui de malekal.com bien que je le trouve extraordinaire vraiment chapeau à lui d'avoir publier la méthode
Je vous assure que la méthode de malekal.com est simplement un succès.

Je tien à le féliciter est le remercier pour ses connaissances qu'il à partagé , du coup j’espère avoir le temps de posté une procédure avant ce dimanche ,afin que les personnes qui on ce cryptage .vvv


Pour info j'ai les preuves du décryptage .vvv pour les septiques.
Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
Super !


Sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Messages postés
2
Date d'inscription
lundi 28 décembre 2015
Statut
Membre
Dernière intervention
4 janvier 2016

Bonjour kamelito
As-tu eu le temps de rédiger un tuto ?
Merci par avance pour ton aide.

Oui, apparemment vous proposez une procédure plus simple ... Merci !
Messages postés
5
Date d'inscription
mardi 22 décembre 2015
Statut
Membre
Dernière intervention
31 décembre 2015

Bonjour,
Je serais ravi que vous nous apportiez plus de détails car je suis bloqué
Merci
Messages postés
177204
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
9 avril 2020
20 317
bloqué où ?
Messages postés
6
Date d'inscription
vendredi 12 avril 2013
Statut
Membre
Dernière intervention
8 janvier 2016