Victime de piratage : fichiers cryptés

Signaler
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020
-
ISO1975
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020
-
Bonjour à tous,
Je suis victime d'un piratage et tous mes fichiers sont cryptés. Je crois que j'ai reussi à supprimer le virus mais je n'arrive à utiliser mes fichiers. J'utilise Windows Defender.

Merci d'avance pour votre aide.

9 réponses

Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 259
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers

~~

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

Salut Malekal_morte,
Je te remercie pour la reponse. je te reviens rapidement.
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

Salut Malekal_morte,
Je n'arrive à t'envoyer les fichiers sur le site. Access denied
Malekal_morte-
Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 259
ok, retente pour voir.
Malekal_morte-
Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 259
Ce sont des rapports OTL et pas FRST.
Enfin il y a Addition.txt mais pas FRST.txt
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

J'ai envoyé 4 fichiers : OTL.txt, Addition.txt, Extra.txt et FRST.txt
c'est ce qui faut ou bien ?
Malekal_morte-
Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 259
il n' y a pas de lien pour FRST.txt
et il n'est pas nécessaire de faire une analyse OTL.
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

je te l'envoie
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

Messages postés
177095
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
6 avril 2020
20 259
Tu as choppé le ransomware à cause d'un crack que tu as téléchagé.
Du coup tu as installé plein d'antivirus qui ne servent à rien






Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
CyberLink
GridinSoft Anti-Malware (sert à rien)
Reimage Repair (arnaque)
SUPERAntiSpyware


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Pense aussi à désactiver la télémétrie. Elles remontent des informations aux serveurs Avast!


~~

Voici la correction FRST à réaliser.
Tu peux t'aider de cette note explicative avec des captures d'écran.

1- Ouvre FRST -
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\grbjwbcr.lnk [2020-03-21]
ShortcutAndArgument: grbjwbcr.lnk -> C:\Windows\System32\cmd.exe => /c start "" "C:\Users\Dell\AppData\Roaming\Microsoft\Windows\grbjwbcr\etsehdjw.exe"
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2020-03-22 19:58 - 2020-03-22 20:50 - 000000000 ____D C:\Program Files (x86)\IObit
2020-03-22 19:58 - 2020-03-22 20:48 - 000000000 ____D C:\Users\Dell\AppData\Roaming\IObit
2020-03-22 19:58 - 2020-03-22 19:59 - 000000000 ____D C:\Users\Dell\AppData\LocalLow\IObit
2020-03-22 19:58 - 2020-03-22 19:59 - 000000000 ____D C:\ProgramData\ProductData
2020-03-22 19:57 - 2020-03-22 20:48 - 000000000 ____D C:\ProgramData\IObit
2020-03-22 19:57 - 2020-03-22 19:57 - 000000000 ____D C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705}
2020-03-22 19:27 - 2020-03-22 19:41 - 000000000 ____D C:\Users\Dell\AppData\Roaming\Phoenix360
2020-03-22 19:21 - 2020-03-23 08:49 - 000000000 ____D C:\ProgramData\Phoenix360
2020-03-22 19:21 - 2020-03-22 19:21 - 000000000 ____D C:\Program Files (x86)\Phoenix360
2020-03-22 18:05 - 2020-03-22 18:06 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2020-03-22 16:42 - 2020-03-23 15:11 - 000000000 ____D C:\Users\Dell\Downloads\EGDownloads
2020-03-22 13:30 - 2020-03-22 16:02 - 000000000 _RSHD C:\ProgramData\Key-Base
2020-03-22 13:30 - 2020-03-22 13:30 - 000000000 ____D C:\ProgramData\{296635F3-CBFF-4467-F811-4CCD8E77847F}
2020-03-21 09:46 - 2020-03-21 09:47 - 000000000 ____D C:\ProgramData\6CWZJTWS83R0PSMM0KY5K7UOH
2020-03-21 09:42 - 2020-03-21 09:42 - 005504824 _____ (ESET) C:\Users\Dell\Downloads\eset_internet_security_live_installer.exe
2020-03-20 23:56 - 2020-03-21 00:15 - 000000000 ____D C:\ProgramData\BA6Z8WOO9FW6FOQ9JG2YRUZA4
2020-03-20 23:28 - 2020-03-20 23:28 - 000000000 ____D C:\ProgramData\GLYSYPTSG03O8S9IQLBUP8X3N
2020-03-20 23:25 - 2020-03-20 23:25 - 000000000 ___HD C:\$SysReset
2020-03-20 23:18 - 2020-03-20 23:18 - 000000000 ____D C:\ProgramData\5PL373ZT5A8882NOKTKNMVL76
2020-03-20 23:08 - 2020-03-20 23:08 - 000000000 ____D C:\ProgramData\WT7AMAJEVP64NNV1EG06Z1LNE
2020-03-20 22:41 - 2020-03-20 22:41 - 000000000 ____D C:\Users\Dell\OneDrive\Documents\TotalAV
2020-03-20 22:37 - 2020-03-20 22:37 - 000000000 ____D C:\ProgramData\6F8CL142O7JJ8IN5L2JFMEFB2
2020-03-20 22:35 - 2020-03-20 22:35 - 000000000 ____D C:\ProgramData\SecuritySuite
2020-03-20 22:32 - 2020-03-20 22:36 - 000000000 ____D C:\ProgramData\TotalAV
2020-03-20 22:27 - 2020-03-20 22:27 - 000000000 ____D C:\ProgramData\A9YVKJ1QYT4TZ141YO3VLD0LS
2020-03-20 22:16 - 2020-03-21 12:46 - 000000000 ____D C:\Program Files (x86)\Google
2020-03-20 22:12 - 2020-03-20 22:13 - 000000000 ____D C:\ProgramData\9DVTPH3M1PV4Q14PHB59JGZW0
2020-03-20 22:02 - 2020-03-20 22:02 - 000000000 ____D C:\ProgramData\ZLOIOQRAETU33CPXO3WHHDVKQ
2020-03-20 21:52 - 2020-03-20 21:52 - 000000000 ____D C:\ProgramData\12BFR32J57OXSIANAI8LVIV6R
2020-03-20 21:34 - 2020-03-20 21:43 - 000000000 ____D C:\ProgramData\AVG
2020-03-20 21:33 - 2020-03-20 21:33 - 000000000 ____D C:\ProgramData\OE0TUWWJIX6RD4LDXP2BYM8UP
2020-03-20 21:23 - 2020-03-20 21:23 - 000000000 ____D C:\Users\Dell\AppData\Local\ElevatedDiagnostics
2020-03-20 21:22 - 2020-03-20 21:22 - 000000000 ____D C:\ProgramData\3F90RAZ2SC610HYLPHHONZJDF
2020-03-20 21:18 - 2020-03-23 07:08 - 000000290 __RSH C:\ProgramData\ntuser.pol
2020-03-20 21:12 - 2020-03-20 21:16 - 000000000 ____D C:\ProgramData\U96BDW12590CTSUKHZM7WGF6D
2020-03-20 21:01 - 2020-03-20 21:04 - 000000000 ____D C:\ProgramData\31ZHI0JLG36410PBHDFKZGHXP
2020-03-20 20:53 - 2020-03-23 11:55 - 000000000 ____D C:\Users\Dell\AppData\Local\CrashDumps
2020-03-20 20:52 - 2020-03-20 20:58 - 000000000 ____D C:\ProgramData\KKL3T2SWVEKNR9K1CPJQHAX69
2020-03-20 20:41 - 2020-03-20 20:41 - 000000000 ____D C:\ProgramData\TJL9XN53X9LK84KAP4GYTF057
2020-03-20 20:30 - 2020-03-20 20:30 - 000000000 ____D C:\ProgramData\WHRSGVQRQWZB7QBTXWCDBMA25
2020-03-20 20:20 - 2020-03-20 20:20 - 000000000 ____D C:\ProgramData\XMQV0PED1GYBZ031C8LJ983BL
2020-03-20 20:10 - 2020-03-20 20:10 - 000000000 ____D C:\ProgramData\DK5BX0P9AKJIRAX1D6CYDW8FJ
2020-03-20 20:00 - 2020-03-20 20:00 - 000000000 ____D C:\ProgramData\BKGAILA9PVX7WIW7PAK06SX5X
2020-03-20 18:43 - 2020-03-20 18:43 - 000000000 ____D C:\Users\Dell\AppData\Roaming\Tencent
2020-03-20 17:01 - 2020-03-20 17:02 - 000000000 ____D C:\ProgramData\NBE9UMG8HO0GI1UWWVRHRYA26
2020-03-20 16:36 - 2020-03-20 23:04 - 000000004 _____ C:\ProgramData\rc.dat
2020-03-20 16:36 - 2020-03-20 16:36 - 000000000 ____D C:\ProgramData\610PH09IDBT9UPTHBWNOFRV1R
2020-03-20 16:35 - 2020-03-20 23:03 - 000000004 _____ C:\ProgramData\lock.dat
2020-03-20 16:35 - 2020-03-20 20:00 - 000000020 _____ C:\ProgramData\irw.atsd
2020-03-20 16:35 - 2020-03-20 16:35 - 000000008 _____ C:\ProgramData\ts.dat
2020-03-20 15:53 - 2020-03-20 15:53 - 000000025 _____ C:\Users\Dell\AppData\Roaming\edwdgr4.exe
2020-03-20 15:52 - 2020-03-20 15:52 - 000000000 ____D C:\ProgramData\Komare
2020-03-20 15:50 - 2020-03-20 15:50 - 000000000 ____D C:\ProgramData\xJ8P2ecdOk
2020-03-20 15:50 - 2020-03-20 15:50 - 000000000 ____D C:\ProgramData\Oded
2020-03-20 15:48 - 2020-03-20 15:50 - 000000000 ____D C:\ProgramData\K0M1VI235VRZWWO3Q2EY7KQCI
2020-03-20 15:48 - 2020-03-20 15:48 - 000000000 ____D C:\Program Files (x86)\InterVpn
2020-03-20 15:44 - 2020-03-20 15:44 - 000001114 _____ C:\Users\Dell\_readme.txt
2020-03-20 15:43 - 2020-03-20 15:38 - 000040960 _____ C:\Users\Dell\AppData\LocalLow\oZYFYZ5B6k
2020-03-20 15:42 - 2020-03-21 11:01 - 000000000 ____D C:\Program Files (x86)\Sir
2020-03-20 15:42 - 2020-03-20 15:43 - 000009143 _____ C:\Users\Dell\AppData\LocalLow\chrome_autofill.txt
2020-03-20 15:42 - 2020-03-20 15:42 - 000000000 ____D C:\Users\Dell\AppData\Roaming\Mozilla
2020-03-20 15:42 - 2020-03-20 15:42 - 000000000 ____D C:\Users\Dell\AppData\Roaming\LizardSystems
2020-03-20 15:42 - 2020-03-20 15:42 - 000000000 ____D C:\ProgramData\Newfol1
2020-03-20 15:41 - 2020-03-20 15:43 - 000020812 _____ C:\Users\Dell\AppData\LocalLow\passwords.txt
2020-03-20 15:41 - 2020-03-20 15:43 - 000000000 ____D C:\Users\Dell\AppData\LocalLow\JN3by345by53432y
2020-03-20 15:41 - 2020-03-20 15:42 - 000000000 ____D C:\ProgramData\3NB9ABUOMEV9Q4AFE4F1MCHML
2020-03-20 15:41 - 2020-03-20 15:41 - 000916735 _____ (SQLite Development Team) C:\Users\Dell\AppData\LocalLow\sqlite3.dll
2020-03-20 15:41 - 2020-03-20 15:41 - 000000000 ____D C:\SystemID
2020-03-20 15:40 - 2020-03-20 15:41 - 000000000 ____D C:\Users\Dell\AppData\LocalLow\cr6im03b56g32r
2020-03-20 15:38 - 2020-03-21 09:46 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2020-03-20 15:38 - 2020-03-21 09:46 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2020-03-20 15:37 - 2020-03-21 11:01 - 000000000 ____D C:\ProgramData\FlexGridService
2020-03-20 15:37 - 2020-03-20 15:41 - 000000000 ____D C:\ProgramData\YDYL3AB13E10HU3FUH2VEN6RO
2020-03-20 15:37 - 2020-03-20 15:37 - 000000000 ____D C:\Users\Dell\AppData\Roaming\Python
2020-03-20 15:36 - 2020-03-21 11:01 - 000000000 ____D C:\Program Files (x86)\ZZZ
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.



2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :


3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°) change tous tes mots de passe puis suis les instructions du premier message pour la récupération des données.
Messages postés
8
Date d'inscription
lundi 23 mars 2020
Statut
Membre
Dernière intervention
24 mars 2020

Merci beaucoup Malekal_morte.
Ca à l'air bien compliqué pour un novice comme moi mais je vais tenter le coup. Je te reviens .