*.vesrato ransomware [Résolu]

- - Dernière réponse : Malekal_morte-
Messages postés
170258
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 septembre 2019
- 21 août 2019 à 22:58
Bonsoir,

Je suis victime d'un ransomware qui met l'extension *.vesrato sur tous mes fichiers.
Pouvez-vous m'aider s'il vous plaît ? Il y a des fichiers que je dois ouvrir d'urgence pour mon travail. Windows 10. Merci d'avance pour toute votre aide.
Afficher la suite 

6 réponses

Meilleure réponse
Messages postés
170258
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 septembre 2019
17273
1
Merci
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers

~~

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.



Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 60192 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
170258
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 septembre 2019
17273
1
Merci
Tu as installé un pack de PUP qui a aussi collé un ransomware.
En général, ça vient par des cracks ces trucs....

En plus, ça a collé un miner.



Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Bullzip PDF Printer
CCleaner
CryptoTab Browser
Java


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [CryptoTab Browser] => C:\Program Files (x86)\CryptoTab Browser\Application\browser.exe [1702952 2019-07-25] (CRYPTOCOMPANY OÜ -> The Chromium and CryptoTab Browser Authors)
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [Ditto] => C:\Program Files\Ditto\Ditto.exe [4977664 2018-12-23] () [Fichier non signé]
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [DesktopMining] => "C:\Users\MonPC\AppData\Local\Programs\DesktopMining\DesktopMining.exe" --hidden
HKLM\Software\Microsoft\Active Setup\Installed Components: [{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}] -> C:\Program Files (x86)\CryptoTab Browser\Application\75.0.3770.142\Installer\chrmstp.exe [2019-07-31] (CRYPTOCOMPANY OÜ -> The Chromium and CryptoTab Browser Authors)
Task: {F41DA2D9-6E52-48E7-8B3E-2E67255A50A0} - System32\Tasks\CryptoTabUpdateTaskMachineCore => C:\Program Files (x86)\CryptoCompany\Update\CryptoTabUpdate.exe [185896 2019-03-14] (CRYPTOCOMPANY OÜ -> CRYPTOCOMPANY OU)
Task: {AA064576-52CA-447F-A90A-3F99154B7E01} - System32\Tasks\CryptoTabUpdateTaskMachineUA => C:\Program Files (x86)\CryptoCompany\Update\CryptoTabUpdate.exe [185896 2019-03-14] (CRYPTOCOMPANY OÜ -> CRYPTOCOMPANY OU)
2019-08-19 19:16 - 2019-08-19 19:47 - 000000000 ____D C:\Users\MonPC\AppData\Local\8ca54a27-9235-410f-adae-76707815bc5e
2019-08-19 19:16 - 2019-08-19 19:16 - 000000000 ___DC C:\SystemID
2019-08-19 19:14 - 2019-08-19 19:58 - 000000000 ____D C:\Users\MonPC\AppData\Local\f32ab54d-e692-4cd0-9d34-cb1d8ab41ed2
2019-08-20 13:14 - 2019-03-01 15:29 - 000000000 ____D C:\Program Files (x86)\CryptoCompany
2017-01-25 18:47 - 2017-01-25 18:47 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{4EABF8F7-AA04-4240-900D-354E013951A8}
2017-02-02 16:36 - 2017-02-02 16:36 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{6B8E4815-7C57-476A-A149-7E7EF2562A5C}
2017-10-30 21:18 - 2017-10-30 21:18 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{7EA91FA2-0AB2-4171-B041-5D8A3C547E45}
2017-02-03 22:28 - 2017-02-03 22:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{8EF2C65A-7ECD-42D8-9DD7-BB0EBBA2B5C3}
2016-12-23 01:11 - 2016-12-23 01:11 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{BD18B228-ACE9-4DB9-9D19-2271EA5B5EEE}
2017-01-24 18:21 - 2017-01-24 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{DD185E0A-6DCC-4112-B1D2-B694A66D2276}
2017-01-22 18:21 - 2017-01-22 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E213D687-BAA8-4E04-8437-31B2806AFF72}
2018-01-19 11:19 - 2018-01-19 11:29 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E27D7CE4-2913-4F87-9462-8094831EB058}
2017-01-23 18:21 - 2017-01-23 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E6D9A263-3ED6-427B-AE2F-ABCAA9012B27}
2017-02-02 22:28 - 2017-02-02 22:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{EC26619B-6C57-4139-8931-85BC30EAB11E}
2018-01-19 09:28 - 2018-01-19 09:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{FDB87F56-BBA7-4976-8DB2-77C6C5D3314E}

EmptyTemp:
RemoveProxy:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 60192 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
170258
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 septembre 2019
17273
1
Merci
oui il y avait des composants pour empécher d'installer Malwarebytes et autres.
Par contre, y a des restes de McAfee sur la machine.
Supprime le avec le MPCR, voir ce lien : https://www.malekal.com/supprimer-antivirus-mcafee/

Après ça doit être bon, pour la récupération des fichiers par le ransomware.
Je te renvoie à mon premier message, voir s'il y a un outil.

Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 60192 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
0
Merci
Bonjour
voici le premier lien pour FRST.txt - https://pjjoint.malekal.com/files.php?id=FRST_20190820_s7p14f15q13m5 -
le 2ème pour Addition.txt - https://pjjoint.malekal.com/files.php?id=20190820_c6z15b15y10k14 -
et le dernier pour Shortcut.txt - https://pjjoint.malekal.com/files.php?id=20190820_e13j6g95d9 -

Merci pour votre aide ^_^
Commenter la réponse de Nath
0
Merci
Je ne sais pas si ça a un lien mais avant je n'arrivais jamais à installer malwarebytes et là ça marche !
sinon donc, voilà les nouveaux rapports
FRST.txt https://pjjoint.malekal.com/files.php?id=FRST_20190820_c12m13x5i11y7
Addition.txt https://pjjoint.malekal.com/files.php?id=20190820_l14v8g15q5e14
Shortcut.txt https://pjjoint.malekal.com/files.php?id=20190820_k5y9u11r10o5

Et encore merci
Commenter la réponse de Nath
0
Merci
Merci mille fois @Malekal_morte-
Bonne continuation !
^_^
Malekal_morte-
Messages postés
170258
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 septembre 2019
17273 -
de rien et à toi aussi :)

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.


Attention à ce que tu télécharges.
Commenter la réponse de Nath