*.vesrato ransomware
Résolu/Fermé
Nath
-
19 août 2019 à 21:19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 août 2019 à 22:58
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 août 2019 à 22:58
A voir également:
- *.vesrato ransomware
- Protection contre les ransomware windows 10 - Guide
- Comment se protéger des ransomware - Guide
- Ransomware - Guide
- Malwarebytes anti-ransomware - Télécharger - Antivirus & Antimalwares
- Wwty ransomware - Forum Virus
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
19 août 2019 à 22:47
19 août 2019 à 22:47
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
~~
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares
L'attitude à suivre :
- Garde les fichiers touchés par le ransomware.
- Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
- Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
~~
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
20 août 2019 à 14:45
20 août 2019 à 14:45
Tu as installé un pack de PUP qui a aussi collé un ransomware.
En général, ça vient par des cracks ces trucs....
En plus, ça a collé un miner.
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Bullzip PDF Printer
CCleaner
CryptoTab Browser
Java
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
En général, ça vient par des cracks ces trucs....
En plus, ça a collé un miner.
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Bullzip PDF Printer
CCleaner
CryptoTab Browser
Java
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [CryptoTab Browser] => C:\Program Files (x86)\CryptoTab Browser\Application\browser.exe [1702952 2019-07-25] (CRYPTOCOMPANY OÜ -> The Chromium and CryptoTab Browser Authors)
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [Ditto] => C:\Program Files\Ditto\Ditto.exe [4977664 2018-12-23] () [Fichier non signé]
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto
HKU\S-1-5-21-2689009599-2250410989-4185619952-1001\...\Run: [DesktopMining] => "C:\Users\MonPC\AppData\Local\Programs\DesktopMining\DesktopMining.exe" --hidden
HKLM\Software\Microsoft\Active Setup\Installed Components: [{7D2B3E1D-D096-4594-9D8F-A6667F12E0AC}] -> C:\Program Files (x86)\CryptoTab Browser\Application\75.0.3770.142\Installer\chrmstp.exe [2019-07-31] (CRYPTOCOMPANY OÜ -> The Chromium and CryptoTab Browser Authors)
Task: {F41DA2D9-6E52-48E7-8B3E-2E67255A50A0} - System32\Tasks\CryptoTabUpdateTaskMachineCore => C:\Program Files (x86)\CryptoCompany\Update\CryptoTabUpdate.exe [185896 2019-03-14] (CRYPTOCOMPANY OÜ -> CRYPTOCOMPANY OU)
Task: {AA064576-52CA-447F-A90A-3F99154B7E01} - System32\Tasks\CryptoTabUpdateTaskMachineUA => C:\Program Files (x86)\CryptoCompany\Update\CryptoTabUpdate.exe [185896 2019-03-14] (CRYPTOCOMPANY OÜ -> CRYPTOCOMPANY OU)
2019-08-19 19:16 - 2019-08-19 19:47 - 000000000 ____D C:\Users\MonPC\AppData\Local\8ca54a27-9235-410f-adae-76707815bc5e
2019-08-19 19:16 - 2019-08-19 19:16 - 000000000 ___DC C:\SystemID
2019-08-19 19:14 - 2019-08-19 19:58 - 000000000 ____D C:\Users\MonPC\AppData\Local\f32ab54d-e692-4cd0-9d34-cb1d8ab41ed2
2019-08-20 13:14 - 2019-03-01 15:29 - 000000000 ____D C:\Program Files (x86)\CryptoCompany
2017-01-25 18:47 - 2017-01-25 18:47 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{4EABF8F7-AA04-4240-900D-354E013951A8}
2017-02-02 16:36 - 2017-02-02 16:36 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{6B8E4815-7C57-476A-A149-7E7EF2562A5C}
2017-10-30 21:18 - 2017-10-30 21:18 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{7EA91FA2-0AB2-4171-B041-5D8A3C547E45}
2017-02-03 22:28 - 2017-02-03 22:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{8EF2C65A-7ECD-42D8-9DD7-BB0EBBA2B5C3}
2016-12-23 01:11 - 2016-12-23 01:11 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{BD18B228-ACE9-4DB9-9D19-2271EA5B5EEE}
2017-01-24 18:21 - 2017-01-24 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{DD185E0A-6DCC-4112-B1D2-B694A66D2276}
2017-01-22 18:21 - 2017-01-22 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E213D687-BAA8-4E04-8437-31B2806AFF72}
2018-01-19 11:19 - 2018-01-19 11:29 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E27D7CE4-2913-4F87-9462-8094831EB058}
2017-01-23 18:21 - 2017-01-23 18:21 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{E6D9A263-3ED6-427B-AE2F-ABCAA9012B27}
2017-02-02 22:28 - 2017-02-02 22:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{EC26619B-6C57-4139-8931-85BC30EAB11E}
2018-01-19 09:28 - 2018-01-19 09:28 - 000000000 ____C () C:\Users\MonPC\AppData\Local\{FDB87F56-BBA7-4976-8DB2-77C6C5D3314E}
EmptyTemp:
RemoveProxy:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (seulement le premier paragraphe).
- Réinitialiser et réparer Internet Explorer
3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
20 août 2019 à 21:48
20 août 2019 à 21:48
oui il y avait des composants pour empécher d'installer Malwarebytes et autres.
Par contre, y a des restes de McAfee sur la machine.
Supprime le avec le MPCR, voir ce lien : https://www.malekal.com/supprimer-antivirus-mcafee/
Après ça doit être bon, pour la récupération des fichiers par le ransomware.
Je te renvoie à mon premier message, voir s'il y a un outil.
Par contre, y a des restes de McAfee sur la machine.
Supprime le avec le MPCR, voir ce lien : https://www.malekal.com/supprimer-antivirus-mcafee/
Après ça doit être bon, pour la récupération des fichiers par le ransomware.
Je te renvoie à mon premier message, voir s'il y a un outil.
Bonjour
voici le premier lien pour FRST.txt - https://pjjoint.malekal.com/files.php?id=FRST_20190820_s7p14f15q13m5 -
le 2ème pour Addition.txt - https://pjjoint.malekal.com/files.php?id=20190820_c6z15b15y10k14 -
et le dernier pour Shortcut.txt - https://pjjoint.malekal.com/files.php?id=20190820_e13j6g95d9 -
Merci pour votre aide ^_^
voici le premier lien pour FRST.txt - https://pjjoint.malekal.com/files.php?id=FRST_20190820_s7p14f15q13m5 -
le 2ème pour Addition.txt - https://pjjoint.malekal.com/files.php?id=20190820_c6z15b15y10k14 -
et le dernier pour Shortcut.txt - https://pjjoint.malekal.com/files.php?id=20190820_e13j6g95d9 -
Merci pour votre aide ^_^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je ne sais pas si ça a un lien mais avant je n'arrivais jamais à installer malwarebytes et là ça marche !
sinon donc, voilà les nouveaux rapports
FRST.txt https://pjjoint.malekal.com/files.php?id=FRST_20190820_c12m13x5i11y7
Addition.txt https://pjjoint.malekal.com/files.php?id=20190820_l14v8g15q5e14
Shortcut.txt https://pjjoint.malekal.com/files.php?id=20190820_k5y9u11r10o5
Et encore merci
sinon donc, voilà les nouveaux rapports
FRST.txt https://pjjoint.malekal.com/files.php?id=FRST_20190820_c12m13x5i11y7
Addition.txt https://pjjoint.malekal.com/files.php?id=20190820_l14v8g15q5e14
Shortcut.txt https://pjjoint.malekal.com/files.php?id=20190820_k5y9u11r10o5
Et encore merci
Merci mille fois @Malekal_morte-
Bonne continuation !
^_^
Bonne continuation !
^_^
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié le 21 août 2019 à 22:58
Modifié le 21 août 2019 à 22:58
de rien et à toi aussi :)
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Attention à ce que tu télécharges.
Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Attention à ce que tu télécharges.
