Fichiers cryptés .crypted et .jse

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Fichiers cryptés .crypted et .jse

Message par florian1988 » 12 mai 2017 11:13

Bonjour, je suis technicien de maintenance informatique et j'ai un client pro qui a subis une attaque sur le serveur qui gère la comptabilité.
Le pc a été infecté par plusieurs trojans : gootkit, Win32/Skeeyah.A!bit et un autre dont j'ai oublié le nom.

Le problème c'est que la plupart des fichiers courants ont été crypté sauf les archives.
Ayant déjà été en contact avec un ransomware, j'ai trouvé étrange de ne pas trouver une seule demande de rançon.
Sur tous mes scans RogueKiller, Malwarebytes Anti-Malware (MBAM) etc. je n'ai trouvé aucune trace de ransomware / rançongiciel chiffreur de fichiers.

J'ai trouvé des fichiers cryptés en février avec l'extension en .jse et d'autres en mai avec l'extension .crypted.
D'après mes recherches il s'agirait du ransomware nemucod. J'ai voulu utilisé l'outil pour décrypter mes fichiers ayant des fichiers sain et crypté identique. Le problème c'est que ces fichiers ont quelques octets d'écart donc ça ne passe pas.

Donc je viens vers vous pour savoir si vous avez une idée.
Mon client avait un disque de sauvegarde sur le pc infecté qui s'est retrouvé complètement crypté.
(J'ai réinstallé le pc proprement et rebasculer les sauvegardes (.rar) qui n'était pas crypté pour débloquer mon client sur la comptabilité)

Merci d'avance.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Fichiers cryptés .crypted et .jse

Message par Malekal_morte » 12 mai 2017 11:22

Bonjour,

La fiche ransomware nemucod donne toutes les informations.
Cela va généralement par mail, au format zip contenant un JavaScript.
Désactiver Windows Script Host ou utiliser Marmiton permet de limiter ces infections : Comment se protéger des scripts malicieux sur Windows

Pour la récupération des fichiers, il y a des outils sur la page : Tous les decrypter et DecryptTools pour les ransomwares.
Il y a un outil pour Nemucod, mais il ne fonctionne pas pour les dernières versions, il me semble.

Si tu veux vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 12 mai 2017 11:37

Merci pour la réponse, le pc en question a été réinstallé donc pour la vérification de l'ordinateur c'est inutile. D'après vous est ce normal de ne pas avoir de trace de fichier qui demande une rançon? pour les outils je les ai essayé mais le problème est qu il faut des fichiers de taille identique. Or la le les fichiers ont quelques octets d'écart donc ça ne passe pas. Vous connaissez une adresse ou je peux soumettre des fichiers cryptés et sain pour voir si il y a possibilité de decrypter?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Fichiers cryptés .crypted et .jse

Message par Malekal_morte » 12 mai 2017 12:17

Dans les autres cas aussi, pas de trace de fichier de note ou instructions de paiements.
Le ransomware se plante peut-être avant.

Pour le reste, tout est dit sur : Tous les decrypter et DecryptTools pour les ransomwares.
Dr.Web a une page où on peut soumettre des fichiers : https://support.drweb.fr/new/free_unlocker/for_decode/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 12 mai 2017 12:39

J'ai soumis les fichiers sur dr.web. Est ça peut être aussi le php ransomware mais le lien du decrypteur ne marche pas et je ne le trouve pas ailleur. Merci pour les informations.


florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 12 mai 2017 14:11

The other threat that Check Point spotted is called the PHP ransomware although it is more of a script than a ransomware. It does encrypt victims` files but it does not display any ransom notes, it does not ask for a ransom any other way and it does not try to communicate via a C&C server at all.

PHP looks for files which specific extensions and alters the access permissions for writing, reading and executing them. Then, it encrypts the first 2048 bytes of every file (or the whole file if it is smaller than 2048 bytes) and appends the “.crypted” extension. For decryption data targeted bu the PHP “ransomware,” all victims need to do is run the decryptor.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 12 mai 2017 14:12

Ce serait bien le PHP ransomware qui est en cause. Il me manque plus qu'a attendre que le lien refonctionne pour le déchiffreur.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 15 mai 2017 10:50

Bonjour, je n'arrive pas à mettre la main sur le PHP ransomware decryptor. J'ai essayé de contacter checkpoint, la première personne que j'ai eue m'a expliqué qu'on m'enverrait le déchiffreur par mail. Mais depuis je n'ai rien reçu et je réessaye de contacter checkpoint mais on m'envoie balader... Si une âme charitable à ça sous la main et peut me le faire parvenir par mail ça me dépannerait bien merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Fichiers cryptés .crypted et .jse

Message par Malekal_morte » 15 mai 2017 10:57

Quand je vois ça :
J'ai trouvé des fichiers cryptés en février avec l'extension en .jse et d'autres en mai avec l'extension .crypted.
Je me dis que tu as en choppé deux...
Le premier c'est celui que j'ai donné, l'autre peut-être PHP Ransomware.
Bref, t'es mal parti avec les outils pour déchiffrer les données, sachant qu'en plus, pour le premier, il ne fonctionne plus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 15 mai 2017 11:12

A la limite les .jse ne sont pas important. Les données que je veux récupérer sont en .crypted. Je vais attendre en espérant trouver le bon outil pour déchiffrer. Merci en tout cas, bonne journée.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Fichiers cryptés .crypted et .jse

Message par Malekal_morte » 15 mai 2017 11:15

essaye celui là : https://decrypter.emsisoft.com/nemucod
fais glisser tes fichiers sur l'exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 15 mai 2017 13:42

Je l'ai essayé et ça ne fonctionne pas. J'ai essayé aussi le ransomware file decryptor de chez trend micro en sélectionnant nemucod. Il me demande un fichier sain et un fichier crypté identique mais ça me met 'your selected files do no match. Select a different file and try again'. J'ai essayé des pdf et des docs ça ne passe pas non plus.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Fichiers cryptés .crypted et .jse

Message par Malekal_morte » 15 mai 2017 14:08

Ok comme les cas précédents, les outils ne fonctionnent plus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

florian1988
newbie
newbie
Messages : 13
Inscription : 12 mai 2017 10:51

Re: Fichiers cryptés .crypted et .jse

Message par florian1988 » 16 mai 2017 09:43

Bonjour, j'ai du nouveau par rapport au PHP ransomware decryptor. J'ai reçu un mail hier d'un analyste de la menace de checkpoint. Il m'a fais parvenir le déchiffreur par mail avec des informations pour le modifier étant donné qu'il ne pouvait pas l'envoyer directement sur mon adresse gmail. Je l'ai modifié il ne me manque plus qu'a avoir le mot de passe pour ouvrir le .zip. Je vous tiens au courant si jamais cela fonctionne.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 21 invités