Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
fran123
Messages : 2
Inscription : 28 févr. 2016 21:04

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par fran123 » 28 févr. 2016 21:09

bonjour

merci pour l'aide deja

je n'arrive pas a recup sur le site les bon numéro quand je les met dans tesla refactor il me dit clé trop longue 256bit.

si vous pourriez me donner un coup de main je vous en serais très reconnaissant.

merci

voici mon lien

http://factordb.com/index.php?query=927 ... 4852198090

et le fichier work

= PrivateKeyBC =
================

SharedSecret1*PrivateKeyBC
hex 01C5252BBEF2045F184A441C2C292B349A7A3D0756C0ADDDD63F2C34635D469AF318383B0446BD72BF0450D6A651C62020F6334F19BF721BABB9D68BFC8B32CA
dec 92707577351966791787753519712405264566298473266620942327898660406864980165385253004306115225144950616108617677443038102946240205353134387293944852198090



PrivateKeyBC =
PublicKeyBC = 045C321BD932A0876CD898A09DFB2FDEFF6783497AC2EF595207C13291BE81CBA2C9197E2B523FA171F03CF031C03CCCAE535BB6E222657C4BAB5B61D6EAAD7243




==================
= PrivateKeyFile =
==================

SharedSecret2*PrivateKeyFile
hex 5398171E970FC5733C7D5F0BFAE53F16DE5F9643BE7EFDD5EBDBCF1A3457CC8218CC64C4EFEB1CABB513CFDD440F30864A9F139B72528D211480929A397DD850
dec 4378178414411105643888386880530301031901847370091196663297801346122838281037737711472592837386764354317702695554466368782103713461429167030196408063744080



PrivateKeyFile =
PublicKeyFile = 0477C7FE540B9677799B9FE36AC047B2681EBF1A3FFFB8F47D73C3DB750C1C78D76426B133170004C4FAF0388F08E29C7A88679B52FAE069A1E496A87D6B0352CF

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 28 févr. 2016 22:12

fran123 a écrit :bonjour

merci pour l'aide deja

je n'arrive pas a recup sur le site les bon numéro quand je les met dans tesla refactor il me dit clé trop longue 256bit.

si vous pourriez me donner un coup de main je vous en serais très reconnaissant.

merci

voici mon lien

http://factordb.com/index.php?query=927 ... 4852198090

et le fichier work

= PrivateKeyBC =
================

SharedSecret1*PrivateKeyBC
hex 01C5252BBEF2045F184A441C2C292B349A7A3D0756C0ADDDD63F2C34635D469AF318383B0446BD72BF0450D6A651C62020F6334F19BF721BABB9D68BFC8B32CA
dec 92707577351966791787753519712405264566298473266620942327898660406864980165385253004306115225144950616108617677443038102946240205353134387293944852198090



PrivateKeyBC =
PublicKeyBC = 045C321BD932A0876CD898A09DFB2FDEFF6783497AC2EF595207C13291BE81CBA2C9197E2B523FA171F03CF031C03CCCAE535BB6E222657C4BAB5B61D6EAAD7243

==================
= PrivateKeyFile =
==================

SharedSecret2*PrivateKeyFile
hex 5398171E970FC5733C7D5F0BFAE53F16DE5F9643BE7EFDD5EBDBCF1A3457CC8218CC64C4EFEB1CABB513CFDD440F30864A9F139B72528D211480929A397DD850
dec 4378178414411105643888386880530301031901847370091196663297801346122838281037737711472592837386764354317702695554466368782103713461429167030196408063744080



PrivateKeyFile =
PublicKeyFile = 0477C7FE540B9677799B9FE36AC047B2681EBF1A3FFFB8F47D73C3DB750C1C78D76426B133170004C4FAF0388F08E29C7A88679B52FAE069A1E496A87D6B0352CF
Dans le cadre du haut de TeslaRefactor, il faut mettre :

Code : Tout sélectionner

2 · 5 · 7 · 13 · 4909 · 68103953431<11> · 1320383679015101<16> · 299571856824072463<18> · 15175362131764846498556575549<29> · 50765452550766922459251590908129357998078676245961334430704257662029747263<74>
Dans PublicKey, mettre la PublicKeyFile donc :

Code : Tout sélectionner

0477C7FE540B9677799B9FE36AC047B2681EBF1A3FFFB8F47D73C3DB750C1C78D76426B133170004C4FAF0388F08E29C7A88679B52FAE069A1E496A87D6B0352CF
Et on obtient la clé de décryptage :

Code : Tout sélectionner

735B1F8E5883568C5DCCDE185E238B8042B344D0A7C4876B5A556B7A0D6EF2D2
Bon décryptage,
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

fran123
Messages : 2
Inscription : 28 févr. 2016 21:04

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par fran123 » 28 févr. 2016 22:13

merci a vous j' ai réussie je mettais la mauvais clé

merci vous êtes genial

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 28 févr. 2016 22:24

@fran123

Parfait :-)
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

davidl
Messages : 2
Inscription : 03 mars 2016 13:16

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par davidl » 03 mars 2016 13:59

Bonjour,

je suis en cours de test de la solution automatisé pour desencryptés mes fichiers. j'arrive a lancer le programme il passe les 4 premiere phase
Capture2.JPG
puis je suis bloqué dans la fenetre de commande j'ai un message: "TypeError:coercing to unicode: need string or buffer, List Found "
Capture1.JPG
si quelqu'un peut m'aider... Mercip Bcp

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 03 mars 2016 14:32

davidl a écrit :Bonjour,

je suis en cours de test de la solution automatisé pour desencryptés mes fichiers. j'arrive a lancer le programme il passe les 4 premiere phase
Capture2.JPG
puis je suis bloqué dans la fenetre de commande j'ai un message: "TypeError:coercing to unicode: need string or buffer, List Found "
Capture1.JPG
si quelqu'un peut m'aider... Mercip Bcp
Je ne sais pas ce qu'il en est du message d'erreur, mais si vous avez passé l'étape 4, la factorisation doit être achevée.
Donc il suffirait d'utiliser TeslaDecoder, tel qu'indiqué dans l'onglet "Instructions" ici : https://goo.gl/X8hK7r
(si la factorisation est faite, les étapes 1 et 3 sont suffisantes)

Autre option, déposez un de vos fichiers cryptés ici.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

23mj23
Messages : 1
Inscription : 06 mars 2016 15:33

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par 23mj23 » 06 mars 2016 15:38

Bonjour;

Pas de nouveau pour les fichiers MICRO.?

Merci

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 07 mars 2016 19:50

23mj23 a écrit :Bonjour;

Pas de nouveau pour les fichiers MICRO.?

Merci
Non, rien de neuf.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

denton008
Messages : 3
Inscription : 15 mars 2016 10:51

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par denton008 » 15 mars 2016 11:00

bonjour, je suis ce topic depuis quelques semaines, ayant un collégue victime des .micro.

9000 et quelques fichiers cryptés dont jpg, pdf, word et de nombreux fichiers importants.
En suivant bien l'actualité de se ransomware les victimes des .micro sont toujours vraiment mal barrés...

Espérons qu'un jour prochain les .micro ouvrent leur portes !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84221
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte » 15 mars 2016 22:35

oui depuis la variante .ttt, c'est mort pour la récupération des fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

stéphane le chat
newbie
newbie
Messages : 21
Inscription : 29 mai 2008 19:09

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par stéphane le chat » 22 mars 2016 21:29

Bonjour.

Tout d'abord, merci pour l'aide apportée pour retrouver les fichiers cryptés.

Je suis en train de récupérer les fichiers sur un PC qui a été infectés "plusieurs fois".

Après avoir envoyé une première demande d'aide au décryptage, j'ai pu récupérer une partie des fichiers cryptés.

J'ai envoyé une seconde demande d'aide. Puis une 3ème.

J'ai remarqué que seule les clés "File" différaient dans le fichiers work.txt.

Pour la seconde demande, le statut de la clé BC est FF, comme pour la première demande, mais celui de la clé File est C145. Et on m'indique de passer à l'étape 3.

Mon problème : Si j'utilise la clé BC dont le statut est à FF, j'ai comme résultat "Not Found". J'ai pourtant refait la manip plusieurs fois, je ne pense donc pas m'être trompé.

D'autre part, je n'ai pas compris que faire pour utiliser la clé "File" lorsque le statut est à C145.

Les 2 demandes en questions sont FREEDOM et FREEDOM3 et même FREEDOM4 dont le statut vient de passer à C136. (bravo pour la réactivité !).

La personne qui m'a prise en charge me conseille d'utiliser la clé BC pour tous les fichiers. J'aimerais bien, mais j'ai ce résultat "Not Found".

Où ai-je fait une erreur ?
Comme je n'ai pas non plus trouvé comment répondre dans le formulaire, je pose ma question ici.

Encore une fois merci.

Sincères salutations.

Stéphane

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 22 mars 2016 21:37

stéphane le chat a écrit :Bonjour.

Tout d'abord, merci pour l'aide apportée pour retrouver les fichiers cryptés.

Je suis en train de récupérer les fichiers sur un PC qui a été infectés "plusieurs fois".

Après avoir envoyé une première demande d'aide au décryptage, j'ai pu récupérer une partie des fichiers cryptés.

J'ai envoyé une seconde demande d'aide. Puis une 3ème.

J'ai remarqué que seule les clés "File" différaient dans le fichiers work.txt.

Pour la seconde demande, le statut de la clé BC est FF, comme pour la première demande, mais celui de la clé File est C145. Et on m'indique de passer à l'étape 3.

Mon problème : Si j'utilise la clé BC dont le statut est à FF, j'ai comme résultat "Not Found". J'ai pourtant refait la manip plusieurs fois, je ne pense donc pas m'être trompé.

D'autre part, je n'ai pas compris que faire pour utiliser la clé "File" lorsque le statut est à C145.

Les 2 demandes en questions sont FREEDOM et FREEDOM3 et même FREEDOM4 dont le statut vient de passer à C136. (bravo pour la réactivité !).

La personne qui m'a prise en charge me conseille d'utiliser la clé BC pour tous les fichiers. J'aimerais bien, mais j'ai ce résultat "Not Found".

Où ai-je fait une erreur ?
Comme je n'ai pas non plus trouvé comment répondre dans le formulaire, je pose ma question ici.

Encore une fois merci.

Sincères salutations.

Stéphane
Bonjour,

Dans TeslaRefactor :

Dans le cadre du haut, mettez les facteurs récupérés sur factordb.com, dans votre cas :

Code : Tout sélectionner

2 · 7^3 · 709 · 15773 · 51998306923<11> · 50707085172416207<17> · 3085354890...57<56> · 1095248576...61<62>
Dans le champ "Public key (hex)", mettez la valeur du champ "PublicKeyBC =", tel qu'il est indiqué dans Teslaviewer.

Puis, cliquez sur "Find private key".

Si ça ne fonctionne toujours pas, déposez un de vos fichiers cryptés dans le forum, on pourra mieux vous aider.

Betacire
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

darkskysofrenia
newbie expert
newbie expert
Messages : 68
Inscription : 09 janv. 2016 21:25

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par darkskysofrenia » 23 mars 2016 08:53

attention aux nombres avec des pointillets ex : 3085354890...57<56>

dans ce cas la il faut cliquer sur le nombre puis sur show pour avoir la totalité des chiffres (nombre composé de 56 chiffres dans l'exemple).

afin d'éviter les erreurs je te conseille de préparer dans un bloc notes tout tes nombres séparés uniquement par un espace et d'utiliser cette "chaine de nombre" dans teslarefractor.

pour ton cas, d’après les infos de bectaire ( 2 · 7^3 · 709 · 15773 · 51998306923<11> · 50707085172416207<17> · 3085354890...57<56> · 1095248576...61<62> )

ta chaîne va ressembler a ça :

Code : Tout sélectionner

2 7 7 7 15773 51998306923 50707085172416207 
rajoutes les deux derniers nombres en entier ( 56 chiffres et 62 chiffres ) séparés par un espace et ça devrait fonctionner

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 mars 2016 09:04

darkskysofrenia a écrit :attention aux nombres avec des pointillets ex : 3085354890...57<56>

dans ce cas la il faut cliquer sur le nombre puis sur show pour avoir la totalité des chiffres (nombre composé de 56 chiffres dans l'exemple).
Ah oui, j'avais oublié de préciser ce détail, donc ça donne :

Code : Tout sélectionner

2 · 7^3 · 709 · 15773 · 51998306923<11> · 50707085172416207<17> · 30853548905985136875415876473252692564857738063894838657<56> · 10952485760248445418913628314050281121061584883080046127912861<62> 
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

stéphane le chat
newbie
newbie
Messages : 21
Inscription : 29 mai 2008 19:09

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par stéphane le chat » 23 mars 2016 11:25

Bonjour et merci à tous :-)

Mon erreur provenait du fait que j'avais "des grands nombres", mais que je ne les écrivais pas entièrement. C'est bien écrit dans la procédure, mais je ne l'avais pas compris.
Peut être une indication à ajouter dans les "messages d'erreur fréquents"...

Deux questions "pour ma culture personnelle" :
1) Pourquoi y a-t-il une seule clé BC, mais plusieurs clés File, en fonction des fichiers que j'ai utilisés pour TeslaViewer ?

2) Dans la procédure, il est indiqué qu'il faut cliquer sur "dec" après avoir cliquer sur "Create work.txt".
A quoi cela sert-il, puisque les clé BC et File sont écrites en décimal dans work.txt et que dans le formulaire, il est demandé d'entrer la "Valeur en décimal issue du fichier work.txt" ?
Probablement pas source d'erreur, mais du coup, j'ai douté de ce que je faisais.

Dernière question : une fois tous les fichiers décryptés, sans avoir supprimés les fichiers cryptés en .vvv, avez vous une méthode ou une ligne de commande pour supprimer "automatiquement" tous ces fichiers .vvv ?

Merci.

Stéphane

Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités