Ransomware .cosakos

- - Dernière réponse :  Nadoks - 6 août 2019 à 01:13
Bonjour, Bonsoir

Depuis ce matin je travail sur mon ordinateur pour retirer un ransomware que j'ai malheureusement telechargé, glissé dans un setup.

Le ransomware a crypté toutes mes données personnel et je n'arrive pas à les decrypter (toutes les données sont en .cosakos et certains fichiers on un _readme.txt expliquant ou et comment payer la clef)

J'ai surement réussis a retirer le virus apres plusieurs tuto en utilisant HitmanPro et Malwarebytes en mode sans echec mais rien de sur

Si un personne de qualifié ou ayant de l'experience dans le domaine voudrais bien m'aider ça serrais super

Merci



Configuration: Android / Chrome 75.0.3770.143
Afficher la suite 

5 réponses

Messages postés
169295
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 août 2019
16853
0
Merci
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers

~~

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Bonsoir !

Merci pour votre reponse rapide,
J'essaye de restaurer le systeme de mon pc donc pour l'instant je n'y ais pas acces mais quand il fini je vous envoie les rapports

Encore merci de votre aide
Commenter la réponse de Malekal_morte-
0
Merci
Je n'ais eu que deux fichiers txt

Addition : https://pjjoint.malekal.com/files.php?id=20190803_y12r5m15m6s12

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20190803_e12u9w8w8b14

Encore merci
Commenter la réponse de Nadoks
Messages postés
169295
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 août 2019
16853
0
Merci
Il reste des dossiers liés aux infections.
J'ai l'impression que tu as eu plusieurs dont Mail.Ru ...
Du coup tu as installé plein de trucs inutiles comme CCleaner.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
DiskProtect190000
McAfee (sauf si tu l'as acheté, mais sinon vaut mieux laisser Windows Defender)
Norton Security Scan
WildTangent
Yahoo Search Set


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
2019-08-01 23:17 - 2018-03-29 21:01 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
2019-08-01 23:17 - 2017-07-29 00:30 - 000000000 ____D C:\chabi
2019-08-01 23:17 - 2016-07-30 16:32 - 000000000 ____D C:\101D3200
2019-08-01 23:17 - 2016-01-06 14:53 - 000000000 ____D C:\100D3200
HKU\S-1-5-21-2535953872-2052184415-3651069803-1001\...\Run: [SysHelper] => "C:\Users\RAYAN\AppData\Local\122994ec-059a-45a0-97c8-cc2b7fe668e9\2047677911.exe" --AutoStart
HKU\S-1-5-21-2535953872-2052184415-3651069803-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08032019115102214\...\Run: [SysHelper] => "C:\Users\RAYAN\AppData\Local\122994ec-059a-45a0-97c8-cc2b7fe668e9\2047677911.exe" --AutoStart
2018-12-12 12:07 - 2018-12-08 14:47 - 000000270 ___SH () C:\Users\RAYAN\AppData\Roaming\baavvaf
2018-12-12 12:07 - 2018-12-08 14:47 - 000314570 ___SH () C:\Users\RAYAN\AppData\Roaming\iiegviu
2019-08-01 22:35 - 2019-08-01 22:35 - 000001113 _____ C:\_readme.txt
2019-08-01 22:34 - 2019-08-02 16:07 - 000000000 ____D C:\Users\RAYAN\AppData\Roaming\Z76237403
2019-08-01 22:34 - 2019-08-02 16:06 - 000000000 ____D C:\WINDOWS\System32\Tasks\System
2019-08-01 22:34 - 2019-08-01 22:34 - 000000000 ____D C:\ProgramData\Lamia
2019-08-01 22:30 - 2019-08-01 22:38 - 000000000 ____D C:\Users\RAYAN\AppData\Local\Mail.Ru
2019-08-01 22:30 - 2019-08-01 22:33 - 000000000 ____D C:\ProgramData\Mail.Ru
2019-08-01 22:30 - 2019-08-01 22:30 - 000000000 ____D C:\Users\RAYAN\AppData\Local\47767ef7-58a2-4a23-9acd-f7855e6e1a72
2019-08-01 22:30 - 2019-08-01 22:30 - 000000000 ____D C:\SystemID
2019-08-01 22:29 - 2019-08-02 15:33 - 000000000 ____D C:\Users\RAYAN\AppData\Local\122994ec-059a-45a0-97c8-cc2b7fe668e9
EmptyTemp:
RemoveProxy:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

(Désolé du retard je lance ca tout de suite )
Commenter la réponse de Malekal_morte-
0
Merci
Petit probleme...
L'ordinateur ne veux pas se connecter a internet !
Un probleme de proxy ou de DNS je croit ????
J'y cromprend rien, quand je regle ce probleme je revien vers vous
Malekal_morte-
Messages postés
169295
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 août 2019
16853 -
Tu as pu faire la correction ?

sinon :

Pour tes problèmes réseaux, télécharge MinitoolBox depuis un autre ordinateur et copie le sur une clef USB.

Coche "Select All" puis clique "Go".
Un rapport va être généré, copie le sur ta clef USB.
Depuis un ordinateur où internet fonctionne, envoie le rapport sur https://pjjoint.malekal.com/
Un lien pjjoint qui pointe sur le rapport va t'être donné, donne ce lien ici en réponse dans un message.
> Malekal_morte-
Messages postés
169295
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 août 2019
-
Je m'excuse d'avance pour le temp que je met poir repondre je suis en deplacement en ce moment
Je n'ai pas dutout d'autre ordinateur mais un smartphone suffiras pour cette manipulation je pense
Commenter la réponse de Nadoks
Messages postés
2
Date d'inscription
lundi 5 août 2019
Statut
Membre
Dernière intervention
5 août 2019
0
Merci
Hier, l'appareil a infecté une rançon de virus au nom d'un nom dangereux. Cusacos a travaillé sur son nettoyage et son élimination complète du virus, mais je n'ai pas trouvé la solution pour déchiffrer les fichiers de ce virus, ce qui est impossible pour toutes les images et tous les fichiers et je ne pouvais pas y accéder pour le moment.
Est-ce utile
J'ai expérimenté avec tous les programmes de décryptage actuellement disponibles sur avast et gagne skype mais sans avantage
Malekal_morte-
Messages postés
169295
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 août 2019
16853 -
Salut,

Ce serait bien de créer ton propre sujet pour obtenir de l'aide.
Commenter la réponse de aryaf11