Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
darkskysofrenia
newbie expert
newbie expert
Messages : 68
Inscription : 09 janv. 2016 21:25

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par darkskysofrenia » 23 mars 2016 11:50

pour effacer tout les .vvv , normalement Tesladecoder te permets de le faire mais effectivement il est prudent de conserver une copie des .vvv tant qu'on est pas sur a 100% d'avoir bien tout décoder , ainsi que de travailler avec des copies des .vvv originaux d'ailleurs.

pour faire simple , utilises l'explorateur windows, fait une recherche de *.vvv' sur tout ton ordinateur. une fois que la recherche est terminée :
Ctrl+A ( tout selectionner ) puis Shift+Suppr ( tout supprimer sans passer par la case corbeille )


betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 mars 2016 14:34

stéphane le chat a écrit :Bonjour et merci à tous :-)

Mon erreur provenait du fait que j'avais "des grands nombres", mais que je ne les écrivais pas entièrement. C'est bien écrit dans la procédure, mais je ne l'avais pas compris.
Peut être une indication à ajouter dans les "messages d'erreur fréquents"...
Je l'ai ajouté.
Deux questions "pour ma culture personnelle" :
1) Pourquoi y a-t-il une seule clé BC, mais plusieurs clés File, en fonction des fichiers que j'ai utilisés pour TeslaViewer ?
Je ne sais pas pourquoi il n'y a qu'une seule clé BC, mais plusieurs clés FILE, ça c'est parce que le cryptage s'est fait en plusieurs fois (redémarrage de l'ordi alors que le ransomware n'avait pas encore été nettoyé).
2) Dans la procédure, il est indiqué qu'il faut cliquer sur "dec" après avoir cliquer sur "Create work.txt".
A quoi cela sert-il, puisque les clé BC et File sont écrites en décimal dans work.txt et que dans le formulaire, il est demandé d'entrer la "Valeur en décimal issue du fichier work.txt" ?
Probablement pas source d'erreur, mais du coup, j'ai douté de ce que je faisais.
Effectivement on pourrait s'en dispenser. Mais certains collent la valeur decimale directement depuis l'affichage de TeslaViewer, et parfois se trompent quand même :-).
Dernière édition par betacire le 23 mars 2016 21:41, édité 1 fois.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

stéphane le chat
newbie
newbie
Messages : 21
Inscription : 29 mai 2008 19:09

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par stéphane le chat » 23 mars 2016 21:21

betacire

Merci pour tes éclaircissements :-)


darkskysofrenia

Le ctrl+A et Maj + Sup, je l'ai fait pour supprimer les fichiers "how_recover" ...
J'imaginais "plus simple" car lorsque le nombre d’occurrences est trop élevé, Je sature le PC avec un ctrl + A.

Pour info, le décryptage est terminé. Seuls 22 fichiers .xyz ne sont pas décryptés (skipped, normal), mais ils sont sans importance.

Merci encore.

Bonne continuation à tous.

Stéphane

darkskysofrenia
newbie expert
newbie expert
Messages : 68
Inscription : 09 janv. 2016 21:25

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par darkskysofrenia » 24 mars 2016 08:53

tu peut le faire a l'aide d'une commande dos sinon :

par exemple :

Code : Tout sélectionner

del /s /q c:\*.vvv
plus d'infos --> http://ss64.com/nt/del.html

ledka
newbie
newbie
Messages : 5
Inscription : 30 mars 2016 13:35

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par ledka » 30 mars 2016 13:41

Bonjour.*
Je suis vraiment bloqué, quand je lance unfactor.py pour obtenir la clé j'ai le message suivant:

Superfluous factors or incorrect factorization detected!

voici les factors found:


***factors found***

P1 = 2
P1 = 3
P1 = 5
P2 = 31
P2 = 71
P3 = 383
P3 = 463
P4 = 1993
P4 = 3229
P4 = 6163
P10 = 1307804137
P16 = 7414104750246809
P16 = 3478318873333433
P19 = 2255440911236482261
P30 = 364979363676821245181765340523
P45 = 383076884983207875115314498331454524727889931

ans = 1

>>


Merci d'avance


betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 30 mars 2016 14:37

ledka a écrit :Bonjour.*
Je suis vraiment bloqué, quand je lance unfactor.py pour obtenir la clé j'ai le message suivant:

Superfluous factors or incorrect factorization detected!

voici les factors found:


***factors found***

P1 = 2
P1 = 3
P1 = 5
P2 = 31
P2 = 71
P3 = 383
P3 = 463
P4 = 1993
P4 = 3229
P4 = 6163
P10 = 1307804137
P16 = 7414104750246809
P16 = 3478318873333433
P19 = 2255440911236482261
P30 = 364979363676821245181765340523
P45 = 383076884983207875115314498331454524727889931

ans = 1

>>


Merci d'avance
Bonjour,

Avec quelle clé au départ ?

Vous avez regardé ce que ça donne sur http://www.factordb.com ?
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

ledka
newbie
newbie
Messages : 5
Inscription : 30 mars 2016 13:35

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par ledka » 30 mars 2016 15:03

Merci de votre réponse.

avec celle-ci: 5E4DAAB830CFA8D489B3FA78332F0C4C05934C39FD1F368D571AAEA0BF8BE13C5F6199C1429F3A2879CCF66A89ED4E07F2A807DBC0548EDC7E20A7E196F118BA

comment pourrais-je utiliser ce lien svp

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 30 mars 2016 15:17

ledka a écrit :Merci de votre réponse.

avec celle-ci: 5E4DAAB830CFA8D489B3FA78332F0C4C05934C39FD1F368D571AAEA0BF8BE13C5F6199C1429F3A2879CCF66A89ED4E07F2A807DBC0548EDC7E20A7E196F118BA

comment pourrais-je utiliser ce lien svp
Quand vous allez sur http://www.factordb.com, vous avez un champ de saisie avec un bouton "Factorize".
Dans ce champ de saisie, il faut mettre la valeur de la clé recherchée, en décimal, pour voir si elle a déjà été factorisée.
La vôtre est en hexadécimal, mais vous devez retrouver la valeur décimale dans le fichier factor.log de votre dossier yafu. Dans le fichier, c'est la ligne du début où il est écrit "Starting factorization of ..."

J'ai lancé le calcul avec yafu, la valeur décimale de votre clé est :

Code : Tout sélectionner

4939069100070160092164172485804221972485983457514701109679761346980113602694967272185953048301531971848213824404326936021701745350350928726185888814536890
Donc là, on voit dans factordb.com que la clé n'a pas encore été factorisée, puisque son statut est à CF (colonne de gauche).

Dans le cadre du bas "Report factors", vous mettez les facteurs retournés pas yafu et vous voyez si la clé passe en statut FF (Fully Factored), si elle est FF, normalement c'est bon.

Si ça ne marche pas, il faudrait vérifier la clé de départ pour voir s'il n'y a pas une erreur ou nous envoyer un de vos fichiers cryptés.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

ledka
newbie
newbie
Messages : 5
Inscription : 30 mars 2016 13:35

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par ledka » 30 mars 2016 15:26

Bonjour.

le clé n'est pas factorisé toujours CF* je vous envoie un des fichiers cryptés pour traitement.

Merci Bien
Pièces jointes
aDRESSE FOURNIFRET.doc.rar
(35.51 Kio) Téléchargé 19 fois

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 30 mars 2016 15:37

ledka a écrit :Bonjour.

le clé n'est pas factorisé toujours CF* je vous envoie un des fichiers cryptés pour traitement.

Merci Bien
Si, pourtant les facteurs semblaient bons.

Voici votre clé de décryptage :
9845D3517890F9CEA9D958EDAC3F388771A137A41F71D8BFD2D1856D7416CDB2

Le plus simple pour décrypter, c'est d'utiliser TeslaDecoder :

- télécharger TeslaDecoder ici : http://download.bleepingcomputer.com/Bl ... ecoder.zip
- le dézippper puis lancer TeslaDecoder.exe en mode administrateur (clic droit puis "Exécuter en tant qu'administrateur").
- cliquer sur le bouton "Set Key".
- dans le champ "Key (hex)", coller la clé privée :
9845D3517890F9CEA9D958EDAC3F388771A137A41F71D8BFD2D1856D7416CDB2
- dans le champ "Extension", choisir .vvv
- valider en cliquant sur le bouton "Set Key",
- choisir soit "Decrypt Folder" (pour un dossier), soit "Decrypt All" (pour tout).

Bon décryptage,
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

ledka
newbie
newbie
Messages : 5
Inscription : 30 mars 2016 13:35

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par ledka » 30 mars 2016 15:43

Je vous remercie infiniment ça a l'air marché :) :) :) vous m'avez sauver la vie.

SVP comment avez vous récupérer cette clé, car j'ai un autre Pc infecté SVP.


Merci infiniement

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 30 mars 2016 15:47

ledka a écrit :Je vous remercie infiniment ça a l'air marché :) :) :) vous m'avez sauver la vie.

SVP comment avez vous récupérer cette clé, car j'ai un autre Pc infecté SVP.

Merci infiniement
Tout est expliqué ici :
https://goo.gl/X8hK7r

1 - récupération des clés à factoriser avec TeslaViewer (intégré dans l'archive de TeslaDecoder)
2 - factorisation avec yafu
3 - vérification des facteurs avec http://www.factordb.com
4 - récupération de la clé privée avec TeslaRefactor (intégré dans l'archive de TeslaDecoder)
5 - décryptage avec TeslaDecoder.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

tuktuk
Messages : 1
Inscription : 01 avr. 2016 00:05

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par tuktuk » 01 avr. 2016 00:13

Un énorme merci pour votre aide, pour la factorisation dans cette galère. Mes connaissances en informatique sont basiques, et ça a fonctionné, nombreux fichiers décryptés!
Pour ceux qui hésitent, faut se lancer ! Après avoir navigué sur le forum j’ai utilisé pour la désinfection la procédure décrite dans le lien suivant :
https://www.malekal.com/how_recover-tesl ... nsion-vvv/
puis pour l’étape de recherche des clés et du décryptage des fichiers j’ai trouvé plus simple de suivre la procédure suivante qui décrit tout pas à pas : https://goo.gl/X8hK7r; Pour l’étape de factorisation, n'ayant pas réussi à la finaliser de mon coté, je n’ai eu qu’à compléter le formulaire de demande qui est joint (étape 1, point 6) ) puis à consulter l’onglet en bas « réponse au formulaire 1 » pour voir le résultats de la factorisation que des G.O. de l’informatique ont collé dans le document. merci encore!

apus978
Messages : 2
Inscription : 04 avr. 2016 20:10

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par apus978 » 04 avr. 2016 20:25

Bonsoir à tous,

Je suis nouveau sur le site et j'ai remarqué qu'il y a bcp de monde compétent en informatique, pour ma part je suis très novice dans le domaine d'encodage ou autre. Ce qui m'amène sur le site.
J'ai ma clé usb qui à était piraté par un ransonvirus RSA 4096, j'ai tous mes fichier visible sur ma clé, avec tjs la même extension sauf que quand je veux les lire forcément ceux-ci sont crypté. Il y dans chaque dossier et sous dossier ,l'image et le texte suivant +RecovER+Koodc+.txt ou png.

Voici le texte du fichier txt ou png
{}_~_~+
-$.-_+$|~~_||
=|_$.**+-~|
$+|=*.-=|
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-4096.
More information about the RSA algorythm can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://88fga.ketteaero.com/BEB4B9C9C4C2D7
2. http://2bdfb.spinakrosa.at/BEB4B9C9C4C2D7
3. http://uj5nj.onanwhit.com/BEB4B9C9C4C2D7
If all of the addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: k7tlx3ghr3m4n2tu.onion/BEB4B9C9C4C2D7
4. Follow the instructions on the site.
!!! Your personal identification ID: BEB4B9C9C4C2D7 !!!
)(*=~_$~+$==-$*~=$$
__$-=-+*

J'ai un fichier que je peux mettre en pièce jointe si cela peux aider mais je sais pas comment le mettre.

Merci d'avance à tous

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 05 avr. 2016 09:11

apus978 a écrit :j'ai tous mes fichier visible sur ma clé, avec tjs la même extension
Bonjour,

Les fichiers cryptés ont quelle extension ?

La procédure décrite ici ne concerne que TeslaCrypt et encore pas les dernières versions qui ne sont plus décryptables.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;


Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 5 invités