Virus - Locky Ransomware RSA-2048 AES 128Résolu/Fermé

Question

bonjour, mon ordinateur a ete infecte par le virus ransomware AES 128, RSA-2048 Tous mes fichiers sont dorenavant encryptes et inutilisables. Ils sont accompagnes d'une note "Locky recover instructions" comme suit : !!! IMPORTANT INFORMATION !!!! All of your files are encrypted with RSA-2048 and AES-128 ciphers. More information about the RSA and AES can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) https://en.wikipedia.org/wiki/Advanced_Encryption_Standard Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server. To receive your private key follow one of the links: 1. http://6dtxgqam4crv6rr6.tor2web.org/39184DCE455EB0AD 2. http://6dtxgqam4crv6rr6.onion.to/39184DCE455EB0AD 3. http://6dtxgqam4crv6rr6.onion.cab/39184DCE455EB0AD If all of this addresses are not available, follow these steps: 1. Download and install Tor Browser: https://www.torproject.org/download/ 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: 6dtxgqam4crv6rr6.onion/39184DCE455EB0AD 4. Follow the instructions on the site. !!! Your personal identification ID: 39184DCE455EB0AD !!! je n'ai pas de back up et ne compte pas suivre les instructions ci dessous. Auriez-vous la gentillesse de m'aider afin de trouver une possible solution pour retrouver mes donnees? Un grand merci Christophe

Malekal_morte- · Accepted Answer

Pour information, ce ransomware est nouveau du 16 Février où une campagne de mail malicieux "invoice" avec des pièces jointes Word a débuté.
Aussi, tu peux avoir des pièces jointes zip avec du JavaScript. 

Tu trouveras des informations, pour la prévention, sur cette fiche : Fiche du Ransomware Locky (virus Crypter).

et :

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecté Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

Salut

pour désinfecter :

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

frenchbei · Answer

Bonjour,

merci pour ta reponse -)

voila les 3 liens suite au scan FRST

https://pjjoint.malekal.com/files.php?id=20160219_b13h1312s13o7
https://pjjoint.malekal.com/files.php?id=FRST_20160219_r5e10r6w15c6
https://pjjoint.malekal.com/files.php?id=20160219_u8n9j10e14j12

a bientot

Christophe

Malekal_morte- · Answer

Il n'est plus actif. 
Je pense que tu peux supprimer ce fichier  C:\Users\Think\AppData\Roaming\RDUYC.DLL

Tu peux aussi désinstaller SpyHunter et StopZilla qui ne vont te servir à rien.
Tu es tombé sur des "soit disant" sites de désinfections qui ne sont là que pour faire la promotion de ces programmes de désinfection et te les faire acheter.

frenchbei · Answer

merci !

par contre, est-ce qu;il y a / aurait un moyen pour recuperer mes fichiers qui sont maintenant tous encryptes et donc inutilisables?

Christophe

frenchbei · Answer

mauvaise nouvelle...mais merci tout de meme 

donc je suppose le seul moyen est donc d'attendre qu;il y ait une solution eventuelle ou de payer?

Malekal_morte- · Answer

voila.



Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

amyne007 · Answer

Salut Malekal
Ok voila les liens:

https://pjjoint.malekal.com/files.php?id=FRST_20160301_i15v714x14h6
https://pjjoint.malekal.com/files.php?id=20160301_u13c7h6s7w9
https://pjjoint.malekal.com/files.php?id=20160301_p10l12m10n8u6

Merci

lskbaby · Answer

Re Malekal,

Ci joint mes liens 
J'ai utilisé Malware ensuite j'ai fait un Scan Eset

https://pjjoint.malekal.com/files.php?id=FRST_20160301_t5n9j9o9z12
https://pjjoint.malekal.com/files.php?id=20160301_h10y7e910y5
https://pjjoint.malekal.com/files.php?id=20160301_15f5s12k7y15

Merci de l'aide

silversloche · Answer

je my connais dans ce genre d'encryption, elle a été créee pour quelle soit INDÉCHIFFRABLE, donc oui si tu payes tu vas ravoir tes dossiers. Ils ne veulent pas tes dossiers, juste de l argent !

--

leujette · Answer

Bonsoir,
Voici mes liens, peux-tu les examiner ?
https://pjjoint.malekal.com/files.php?id=FRST_20160301_w15v7p13y5z7
https://pjjoint.malekal.com/files.php?id=20160301_g7n11p10y11g10
https://pjjoint.malekal.com/files.php?id=20160301_x5b7u12m138
J'avais un DD externe connecté mais apparemment les fichiers du DD n'ont pas été cryptés, peut-être parce que j'ai coupé tout de suite la connexion internet ? Comment vérifier que le virus ne se trouve pas dans le DD ?
Merci beaucoup,
Danielle

Dyjal · Answer

Voila ce que ça donne : 

https://pjjoint.malekal.com/files.php?id=FRST_20160302_u12d15q5n14h5
https://pjjoint.malekal.com/files.php?id=20160302_x13f5w15g12y9
https://pjjoint.malekal.com/files.php?id=20160302_s13n13x11i13n11

Merci de m'aider

MES · Answer

Bonjour,

Voici mes 3 liens d'avance merci pour votre retour et votre travail.
http://pjjoint.malekal.com/files.php?id=20160302_o6l10y12u6j7
http://pjjoint.malekal.com/files.php?id=FRST_20160302_l15v6y9r7w13
http://pjjoint.malekal.com/files.php?id=20160302_j9m13d9z15q10

Merci par avance de votre retour,

metalbands · Answer

bonjour, voici les 3 liens qui m'ont été fournis, merci d'avance :)

https://pjjoint.malekal.com/files.php?id=20160307_t10q5w10v7m12
https://pjjoint.malekal.com/files.php?id=FRST_20160307_i5g15k10y9i10
https://pjjoint.malekal.com/files.php?id=20160307_y5q13d15s5f11

JonyAds · Answer

Bonjour, 

Voici mes 3 liens merci d'avance pour votre retour et votre travail. 

http://pjjoint.malekal.com/files.php?id=FRST_20160307_m10c8x8s15y7
http://pjjoint.malekal.com/files.php?id=20160307_n6b14f7c5u11
http://pjjoint.malekal.com/files.php?id=20160307_e7k12h6p14t7

Merci de m'aider

JBou6 · Answer

Bonjour, 

Le PC de mon assistant a été infecté par Locky. De manière rapide, grâce aux instructions trouvées sur CCM, j'ai installé Malaware sur son PC. A priori, il a trouvé Dridex et une cinquantaine de virus et autres (sic). Il a tout supprimé sur son poste via Malwarebytes. Puis via Adwcleaner. Ceci étant j'ai pu lire que les ressources réseau étaient également touchées.

Du coup, je me demande si mon propre poste est infecté. De même pour mes serveurs. (1 PC et 1 MAC. Nos postes utilisateurs sont des MAC en boot PC sous SEVEN)

En premier lieu, j'ai fait un rapport ZHPDiag et un rapport AdwCleaner sur mon poste. Puis les 3 rapports FRST.

ADWCleaner :
http://pjjoint.malekal.com/files.php?id=20160308_o10y13n11g12e13

ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20160308_w10h11q10k14g7

FRST :
http://pjjoint.malekal.com/files.php?id=FRST_20160308_t11p6p11l6j9
http://pjjoint.malekal.com/files.php?id=20160308_p8v5w8r7x6
http://pjjoint.malekal.com/files.php?id=20160308_u10c15y14p5c9

Voilà. Je vous ai tous mis.
Merci.

caced · Answer

Bonjour, 

J'ai également le même problème, 
J'ai lancé l'antivirus et nettoyé ainsi que malwarebytes.

Pourriez-vous me donner un coup de main ?

J'ai lancé votre programme, voici les liens :

https://pjjoint.malekal.com/files.php?id=FRST_20160308_h5c12i915r14
https://pjjoint.malekal.com/files.php?id=20160308_o12e7e9z13s6
https://pjjoint.malekal.com/files.php?id=20160308_c14q5y5n10q14

Merci

olokin · Answer

Bonjour, je me permet également de joindre mes trois liens, en vous remerciant par avance.

http://pjjoint.malekal.com/files.php?id=FRST_20160308_d14u5l5m12l5
http://pjjoint.malekal.com/files.php?id=20160308_e105w11f11i10
http://pjjoint.malekal.com/files.php?id=20160308_o11q11m9p8k13

Théo D · Answer

Bonsoir Malekal, 

Je me permet de joindre les 3 liens, car même si Locky ne semble pas se propager plus, j'aimerais être sûr qu'il ne revienne pas à l'ouverture d'un fichier. 

http://pjjoint.malekal.com/files.php?id=FRST_20160308_g5f5y15b6i5
http://pjjoint.malekal.com/files.php?id=20160308_b7o11q8z9l9
http://pjjoint.malekal.com/files.php?id=20160308_v11z5l10d9o6

Et petite question, si par erreur on double clique sur une fichier.locky ou locky_recover_instruction.txt, le ransomware se réactive t'il ? Càd, y a t'il un risque de les garder ou pas ?

Merci beaucoup ! :)
Bonne soirée

duck45 · Answer

Bonjour, je me permet également de joindre mes trois liens, en vous remerciant par avance. 

https://pjjoint.malekal.com/files.php?id=20160408_d13w7b12w10r7
https://pjjoint.malekal.com/files.php?id=FRST_20160408_x12j9f13q13f11
https://pjjoint.malekal.com/files.php?id=20160408_g7f12v11u9t5

worms2016 · Answer

Bonjour,

J'ai voulu lancer un scan avec FRST mais quand je l'ai télécharger ( version 64)

J'ai ceci : AutoIt Error


Line 18555 ( File ""):

Error : This Keyword cannot be used after a "then" keyword.


Merci pour votre aide

Malekal_morte- · Answer

Pour information, il existe un copycat du ransomware Locky.
(Je ne pense pas que la portée de cette variante soit très forte mais sait-on jamais).
Le but étant de se faire passer pour le vrai.
L'extension des documents touchés est aussi modifiée en .locky
la page d'instructions est en HTML sur fond bleu.

Actuellement, les fichiers sont récupérables.

=> Fiche Ransomware AutoLocky
 
Veuillez appuyer sur une touche pour continuer la désinfection...

5927 · Answer

Bonjour,
 J'ai reçu des mail frauduleux qui me bloquent l'ouverture de mes fichiers.
mon ordinateur a été infecte par le virus ransomware AES 128, RSA-2048
Tous mes fichiers sont encryptes et inutilisables.   

J'ai fait les analyses et  vous trouverez ci dessous les liens. 
https://pjjoint.malekal.com/files.php?id=FRST_20160429_u7c5u1114k10
https://pjjoint.malekal.com/files.php?id=20160429_i10p14p915s14
https://pjjoint.malekal.com/files.php?id=20160429_u5y13n15o5h12

je sollicite votre aide et vous en remercie d'avance.

5927

abijol · Answer

bonjour,
j'ai également le même problème pourriez-vous m'aidez s'il vous plait?
merci par avance!

https://pjjoint.malekal.com/files.php?id=FRST_20160506_j8d5l10q615
https://pjjoint.malekal.com/files.php?id=20160506_r15c11r12w7w5
https://pjjoint.malekal.com/files.php?id=20160506_r5z5d14o10q8

Malekal_morte- · Answer

Dû à des demandes incessantes et devenant ingérable.
Je ferme ce topic.

Si vous avez besoin d'aide, veuillez créer votre propre sujet en allant dans la partie Virus du forum et en cliquant sur le bouton Poser une question.
Remplissez les champs et envoyer votre demande.

Virus - Locky Ransomware RSA-2048 AES 128

25 réponses

Discussions similaires

Newsletters