Un virus a crypté mes fichiers avec une extension .crypz
Fermé
phanon
Messages postés
5
Date d'inscription
dimanche 12 juin 2016
Statut
Membre
Dernière intervention
13 juin 2016
-
Modifié par Malekal_morte- le 12/06/2016 à 23:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 juin 2016 à 13:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 juin 2016 à 13:26
A voir également:
- Un virus a crypté mes fichiers avec une extension .crypz
- Extension dat - Guide
- Changer extension fichier - Guide
- Wetransfer gratuit fichiers lourd - Guide
- Extension .bin - Guide
- Extension 7z - Guide
8 réponses
didmed
Messages postés
2660
Date d'inscription
dimanche 19 décembre 2004
Statut
Membre
Dernière intervention
19 avril 2024
740
Modifié par didmed le 12/06/2016 à 22:05
Modifié par didmed le 12/06/2016 à 22:05
Salut
Tu es victime d'un ransomware ou rançongiciel en français et là, mauvais temps... généralement, les fichiers image, .mp3, .doc etc.. sont cryptés > Le seul moyen pratiquement d'en sortir, c'est d'avoir fait une sauvegarde de ses fichiers importants sur un disque externe (ce disque n'étant pas relié au PC lorsqu'il a été contaminé...)
Infos ici:
https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels
@+
Si t'as besoin de rien, fais-moi signe !...
Tu es victime d'un ransomware ou rançongiciel en français et là, mauvais temps... généralement, les fichiers image, .mp3, .doc etc.. sont cryptés > Le seul moyen pratiquement d'en sortir, c'est d'avoir fait une sauvegarde de ses fichiers importants sur un disque externe (ce disque n'étant pas relié au PC lorsqu'il a été contaminé...)
Infos ici:
https://www.commentcamarche.net/faq/45808-ransomware-rancongiciels
@+
Si t'as besoin de rien, fais-moi signe !...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié par Malekal_morte- le 12/06/2016 à 22:22
Modifié par Malekal_morte- le 12/06/2016 à 22:22
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
(c'est la variante CryptXXX.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
(c'est la variante CryptXXX.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
phanon
Messages postés
5
Date d'inscription
dimanche 12 juin 2016
Statut
Membre
Dernière intervention
13 juin 2016
Modifié par Malekal_morte- le 12/06/2016 à 23:05
Modifié par Malekal_morte- le 12/06/2016 à 23:05
Merci de votre aide voici les fichiers
addition.txt
https://pjjoint.malekal.com/files.php?id=20160612_x13t14c9r5c8
FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160612_9p5p11m8x11
Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20160612_e5f15p7p13x10
addition.txt
https://pjjoint.malekal.com/files.php?id=20160612_x13t14c9r5c8
FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20160612_9p5p11m8x11
Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20160612_e5f15p7p13x10
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
12 juin 2016 à 23:08
12 juin 2016 à 23:08
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Après cela, c'est remet ton fond d'écran.
Change tes mots de passe, car ils ont été volés.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2B.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2B.lnk -> C:\ProgramData\!98A3C6EFF4F2.bmp ()
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2H.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2H.lnk -> C:\ProgramData\!98A3C6EFF4F2.html ()
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 ____H () C:\Users\Phanon\AppData\Local\BITFBFA.tmp
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 _____ () C:\Users\Phanon\AppData\Local\{EE22448F-0428-431B-B0FC-4D73848C9D5B}
1899-12-30 00:00 - 1899-12-30 00:00 - 4147254 ____T () C:\ProgramData\!98A3C6EFF4F2.bmp
2016-06-12 18:18 - 2016-06-12 18:18 - 0000568 ____T () C:\ProgramData\!98A3C6EFF4F2.cfg
1601-06-30 01:18 - 1601-06-30 01:18 - 0036204 _____ () C:\ProgramData\!98A3C6EFF4F2.html
2015-01-26 20:59 - 2015-01-26 20:59 - 0740775 _____ () C:\ProgramData\AndyDrivers.zip
2015-09-13 19:27 - 2015-09-13 19:27 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe <==== ATTENTION
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Après cela, c'est remet ton fond d'écran.
Change tes mots de passe, car ils ont été volés.
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Notamment contre les Web exploits.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
phanon
Messages postés
5
Date d'inscription
dimanche 12 juin 2016
Statut
Membre
Dernière intervention
13 juin 2016
12 juin 2016 à 23:30
12 juin 2016 à 23:30
Merci
pour les fichier crypté y a t'il une solution
Voici le fichier fixlog
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:12-06-2016 01
Exécuté par Phanon (2016-06-12 23:25:54) Run:1
Exécuté depuis C:\Users\Phanon\Desktop
Profils chargés: Phanon & UpdatusUser (Profils disponibles: Phanon & UpdatusUser)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2B.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2B.lnk -> C:\ProgramData\!98A3C6EFF4F2.bmp ()
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2H.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2H.lnk -> C:\ProgramData\!98A3C6EFF4F2.html ()
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 ____H () C:\Users\Phanon\AppData\Local\BITFBFA.tmp
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 _____ () C:\Users\Phanon\AppData\Local\{EE22448F-0428-431B-B0FC-4D73848C9D5B}
1899-12-30 00:00 - 1899-12-30 00:00 - 4147254 ____T () C:\ProgramData\!98A3C6EFF4F2.bmp
2016-06-12 18:18 - 2016-06-12 18:18 - 0000568 ____T () C:\ProgramData\!98A3C6EFF4F2.cfg
1601-06-30 01:18 - 1601-06-30 01:18 - 0036204 _____ () C:\ProgramData\!98A3C6EFF4F2.html
2015-01-26 20:59 - 2015-01-26 20:59 - 0740775 _____ () C:\ProgramData\AndyDrivers.zip
2015-09-13 19:27 - 2015-09-13 19:27 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2B.lnk => déplacé(es) avec succès
C:\ProgramData\!98A3C6EFF4F2.bmp => déplacé(es) avec succès
C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2H.lnk => déplacé(es) avec succès
ShortcutTarget: !98A3C6EFF4F2H.lnk -> C:\ProgramData\!98A3C6EFF4F2.html () => non trouvé(e).
C:\Users\Phanon\AppData\Local\BITFBFA.tmp => déplacé(es) avec succès
C:\Users\Phanon\AppData\Local\{EE22448F-0428-431B-B0FC-4D73848C9D5B} => déplacé(es) avec succès
"C:\ProgramData\!98A3C6EFF4F2.bmp" => non trouvé(e).
C:\ProgramData\!98A3C6EFF4F2.cfg => déplacé(es) avec succès
C:\ProgramData\!98A3C6EFF4F2.html => déplacé(es) avec succès
C:\ProgramData\AndyDrivers.zip => déplacé(es) avec succès
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\RVLKL\RVLKL" => clé supprimé(es) avec succès
Le système a dû redémarrer.
pour les fichier crypté y a t'il une solution
Voici le fichier fixlog
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:12-06-2016 01
Exécuté par Phanon (2016-06-12 23:25:54) Run:1
Exécuté depuis C:\Users\Phanon\Desktop
Profils chargés: Phanon & UpdatusUser (Profils disponibles: Phanon & UpdatusUser)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2B.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2B.lnk -> C:\ProgramData\!98A3C6EFF4F2.bmp ()
Startup: C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2H.lnk [1899-12-30]
ShortcutTarget: !98A3C6EFF4F2H.lnk -> C:\ProgramData\!98A3C6EFF4F2.html ()
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 ____H () C:\Users\Phanon\AppData\Local\BITFBFA.tmp
2016-06-08 08:21 - 2016-06-08 08:21 - 0000000 _____ () C:\Users\Phanon\AppData\Local\{EE22448F-0428-431B-B0FC-4D73848C9D5B}
1899-12-30 00:00 - 1899-12-30 00:00 - 4147254 ____T () C:\ProgramData\!98A3C6EFF4F2.bmp
2016-06-12 18:18 - 2016-06-12 18:18 - 0000568 ____T () C:\ProgramData\!98A3C6EFF4F2.cfg
1601-06-30 01:18 - 1601-06-30 01:18 - 0036204 _____ () C:\ProgramData\!98A3C6EFF4F2.html
2015-01-26 20:59 - 2015-01-26 20:59 - 0740775 _____ () C:\ProgramData\AndyDrivers.zip
2015-09-13 19:27 - 2015-09-13 19:27 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe <==== ATTENTION
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2B.lnk => déplacé(es) avec succès
C:\ProgramData\!98A3C6EFF4F2.bmp => déplacé(es) avec succès
C:\Users\Phanon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!98A3C6EFF4F2H.lnk => déplacé(es) avec succès
ShortcutTarget: !98A3C6EFF4F2H.lnk -> C:\ProgramData\!98A3C6EFF4F2.html () => non trouvé(e).
C:\Users\Phanon\AppData\Local\BITFBFA.tmp => déplacé(es) avec succès
C:\Users\Phanon\AppData\Local\{EE22448F-0428-431B-B0FC-4D73848C9D5B} => déplacé(es) avec succès
"C:\ProgramData\!98A3C6EFF4F2.bmp" => non trouvé(e).
C:\ProgramData\!98A3C6EFF4F2.cfg => déplacé(es) avec succès
C:\ProgramData\!98A3C6EFF4F2.html => déplacé(es) avec succès
C:\ProgramData\AndyDrivers.zip => déplacé(es) avec succès
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD5B04A5-6E43-4FBF-BCFF-BE7DEFBEA754}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\RVLKL\RVLKL" => clé supprimé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 23:26:06
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
13 juin 2016 à 10:00
13 juin 2016 à 10:00
Ca doit être bon.
Pour la sécurisation de ton ordinateur, voir mon message précédent.
Pense aussi à changer tes mots de passe.
Ton PC doit être vulnérable aux Web Exploits.
Pour la sécurisation de ton ordinateur, voir mon message précédent.
Pense aussi à changer tes mots de passe.
Ton PC doit être vulnérable aux Web Exploits.
phanon
Messages postés
5
Date d'inscription
dimanche 12 juin 2016
Statut
Membre
Dernière intervention
13 juin 2016
13 juin 2016 à 13:13
13 juin 2016 à 13:13
Bonjour
Avec tes tuto j'ai commencer a sécuriser mon PC, mais vu mon niveau ce n'est pas toujours facile.
Y a t'il des signe qui m'avertirai que ce ransomware ne soit pas complètement désinstaller.
J'avais 70% de mon pc en sauvegarde, peut on trouver comment ont été crypté les fichiers car du cout j'ai des exemple de fichiers crypté et non crypté, est ce que certains logiciels pourrai trouver le methode de decryptage.
Merci
Avec tes tuto j'ai commencer a sécuriser mon PC, mais vu mon niveau ce n'est pas toujours facile.
Y a t'il des signe qui m'avertirai que ce ransomware ne soit pas complètement désinstaller.
J'avais 70% de mon pc en sauvegarde, peut on trouver comment ont été crypté les fichiers car du cout j'ai des exemple de fichiers crypté et non crypté, est ce que certains logiciels pourrai trouver le methode de decryptage.
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
13 juin 2016 à 13:22
13 juin 2016 à 13:22
C'est surement de l'AES avec une clef publique en RSA.
C'est classique.
C'est classique.
phanon
Messages postés
5
Date d'inscription
dimanche 12 juin 2016
Statut
Membre
Dernière intervention
13 juin 2016
13 juin 2016 à 13:26
13 juin 2016 à 13:26
Pour les mots de passe tu parle de tous les mots de passe ou seulement celui de Windows
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
13 juin 2016 à 13:26
13 juin 2016 à 13:26
Tous.
