Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Message par Malekal_morte » 26 déc. 2015 12:50

Suite aux avancées du projet TeslaCrack et à ce message : teslacrypt-ransomware-fichiers-extensio ... ml#p411134, j'ouvre ce sujet pour permettre à toutes les victimes de pouvoir tenter de récupérer leurs fichiers, sans contre-partie financière.

ATTENTION AUX ARNAQUES : Je profite de ce sujet pour vous avertir de faire attention, aux particuliers ou aux entreprises qui viennent vous démarcher en prétendant pouvoir décrypter vos fichiers en échange d'un paiement, au montant parfois supérieur à la rançon, un comble... bref, à d'éventuelles arnaques visant à soutirer de l'argent ou à vous faire exécuter des utilitaires qui peuvent s'avérer dangereux. Soyez vigilants !

Récupération des fichiers avec extensions .jpg, .micro, .mp3

Il est maintenant possible de récupérer les fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt : Récupérer ses fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt avec TeslaDecoder

Récupération des fichiers avec extensions .crypt (Ransomware RSA 4096)

Il ne s'agit pas du ransomware TeslaCrypt mais d'une autre famille de ransomware.
A notre connaissance, il n'y a pas de façon de récupérer les documents.
La procédure de récupération ci-dessous ne fonctionnera pas.

Plus d'informations : Fiche du Ransomware RSA 4096 .crypt

Récupération des fichiers avec extensions .vvv
Quand la factorisation est possible le projet TeslaCrack (url https://github.com/Googulator/TeslaCrack ) donne de bons résultats et permet de décrypter les fichiers .vvv TeslaCrypt.

La procédure de récupération / décryptage des fichiers aux extensions ".vvv" ( uniquement ! ) est sur cette page: https://www.malekal.com/how_recover-tesl ... nsion-vvv/ suite aux attaques du ransomware TeslaCrypt.

Si vous arrivez ici, soit vous avez mal suivi la procédure et avez des problèmes.
Soit vous avez bien suivi la procédure mais la factorisation de la clef YAFU n'a pas pu être faite.


Factorisation avancée des clefs TeslaCrypt avec Yafu

yafu a deux modes pour tenter de résoudre la factorisation : ECM & NFS

ECM est le premier mode testé.

Image

Si la factorisation est impossible en ECM, Yafu passe en NFS.
Il créé 3/4 fichier nfs.* ton nfs.job qui contient les informations.
Si la machine s'arrête ou autre, on peut résumer (reprendre là où il en était).
Le ecm de départ qui peut parfois prendre quelques heures et la partie nfs qui a déjà été fait.
La commande est : nfs(0xclef) -R

Le mode NFS fait appel à des binaires externes à Yafu,
il faut que les binaires msieve et GGNFS soient présents,
que leurs chemins soient correctement indiqués dans "yafu.ini"

Pour tester, le mieux c'est de les renseigner et de directement lancer un nfs(0xclef)
Si ça progresse, c'est bon sinon si ça met une erreur de chemin, corriger "yafu.ini"

Voici un Yafu tout prêt à mettre dans le dossier c:\msieve et pas ailleurs !!
>> https://www.malekal.com/download/msieve.zip
Normalement, vous n'avez pas besoin d'éditer le fichier "yafu.ini"
Sauf si vous désirez vraiment augmenter le nombre de threads.

Lancez une invide de commanes, passez ces commandes à valider par entrée pour vous positionner dans le dossier C:\msieve où le zip a été décompressé.
cd \msieve
et lancez le yafu correspondant à votre architecture.
Yafu-Win32.exe (si vous êtes en 32-bits)
Yafu-x64.exe (si vous êtes en 64-bits)
L'interface de Yafu se lance alors.

Image

Vous devriez être en mesure de lancer des factorisations en ECM et NFS.


Quelques témoignages de personnes ayant réussi à décrypter leurs fichiers .vvv

Quelques témoignages sur des récupérations de documents .vvv réussies :
=> http://www.commentcamarche.net/forum/af ... on-ordi#24
decrypter_ransomware_teslacrypt_vvv_1.png
Récupération fichiers .vvv réussie
windows-infecte-par-teslacrypt-avec-ext ... ml#p411506
decrypter_ransomware_teslacrypt_vvv_2.png
Récupération fichiers .vvv réussie
ou encore : http://www.commentcamarche.net/forum/af ... ware-vvv#8
TeslaCrypt_decryptage_extension_vvv.png
Récupération fichiers .vvv réussie
et aussi.. :
> Elève infirmière sauvée :p : recuperation-fichiers-vvv-ransomware-te ... ml#p412300
> recuperation-fichiers-vvv-ransomware-te ... ml#p412504
> https://www.malekal.com/how_recover-tesl ... ment-31863
> recuperation-fichiers-vvv-ransomware-te ... ml#p411263
> recuperation-fichiers-vvv-ransomware-te ... ml#p411479
> recuperation-fichiers-vvv-ransomware-te ... ml#p412403
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Rackunk@live.fr
Messages : 1
Inscription : 26 déc. 2015 19:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Rackunk@live.fr » 26 déc. 2015 19:16

Bonjour,

Je vais essayer de tester dés que j'ai un moment,
je suis en pleine saison donc ça peut prendre du temps.

Merci de de pencher sur ce sujet en tout cas !

Rainbowx
Messages : 1
Inscription : 26 déc. 2015 19:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Rainbowx » 26 déc. 2015 20:05

Bonsoir,

J'ai pu tester hier cette méthode, tout a parfaitement fonctionné. j'ai effectué la factorisation à l'aide de Yafu .. j'étais sceptique mais tout mes fichiers sont maintenant décryptés!! Je viens de lancer à l'instant une nouvelle factorisation pour l'ordinateur d'un ami dont le Windows avait été également infecté.

Je vous fait parvenir mes retours des que la factorisation est terminer !

Excusez pour le manque de ponctuations et les quelques fautes j'écris avec un clavier étranger!

Bonne chance a vous ! Life is beautiful !

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 26 déc. 2015 20:14

Merci pour ce tutoriel qui "tombe a point" !
Malheureusement, j'ai une erreur sur le script :(

jpg.vvv doesn't appear to be TeslaCrypted

J'ai essayé avec d'autre fichier, même problème !

J'ai regarder avec hexeditor, j'ai bien DEAD BEEF

Auriez vous une idée ?

merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 26 déc. 2015 20:17

Merci pour les retours.
Rainbowx a écrit :j ai effectuer la factorisation a laide de Yafu , cela ma pris seulement 20 secondes .. j etais sceptique mais tout mes fichiers sont maintenant decrypter!!
Tu n'as pas eu d'erreur avec les .py ?
Chez moi ça n'a pas fonctionné.
lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 26 déc. 2015 20:24

lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg

Même problème :(

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 26 déc. 2015 20:28

News : J'ai trouvé une autre version de TeslaCrack qui ma donné une clef !

Je viens de lancer le .bat

Par contre après ca, on fait quoi exactement ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 26 déc. 2015 20:30

La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 26 déc. 2015 20:42

Malekal_morte a écrit :La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.
Effectivement, j'ai relancé le .bat avec une clef d'un fichier .pdf

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 26 déc. 2015 21:54

Ca va effectivement plus vite avec yafu.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 26 déc. 2015 22:20

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 26 déc. 2015 23:07

Effectivement, je suis aussi passé a Yafu, j'attends le résultat.
Par contre ce que je comprend pas. Quel est l’intérêt de faire le pythonunfactor, et d'obtenir la clef ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 27 déc. 2015 12:02

La première clef, ça doit être la clef public et la seconde, la clef privé.
Tu donnes les deux à teslacrypt pour qu'il déchiffre les fichiers ensuite.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 20:12

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par lps » 27 déc. 2015 16:46

Combien de temps cela ta pris sur Yafu ?

Cela fait plus de 10heures qu'il tourne chez moi

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86160
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte » 27 déc. 2015 17:09

Pour certaines clefs ça peut durer longtemps.
Normalement Yafu affiche le temps restant.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités