Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 22 avr. 2016 16:52

Merci de ta réponse.

J'ai réussi à passer cette étape tout à l'heure, à force de tâtonner, je sais plus comment . Maintenant je n'arrive pas à utiliser unfactor.py dans l'étape où on a obtenu les factors et il faut utiliser rentrer la commande python unfactor.py FF.pdf.vvv 3 3 3 53 67 937 3239067196433 11469834068452608160668945226664814237037201838369402173187393

PYTHON: can't open file unfactor.py: errno 2 no such file or directory

Une idée du souci?


betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 22 avr. 2016 18:16

Il450 a écrit :Merci de ta réponse.

J'ai réussi à passer cette étape tout à l'heure, à force de tâtonner, je sais plus comment . Maintenant je n'arrive pas à utiliser unfactor.py dans l'étape où on a obtenu les factors et il faut utiliser rentrer la commande python unfactor.py FF.pdf.vvv 3 3 3 53 67 937 3239067196433 11469834068452608160668945226664814237037201838369402173187393

PYTHON: can't open file unfactor.py: errno 2 no such file or directory

Une idée du souci?
Pareil que pour l'étape d'avant, pour que ça fonctionne il faut que tu sois dans le bon dossier donc :

Code : Tout sélectionner

cd %userprofile%\Desktop\TeslaCrack-master
puis,

Code : Tout sélectionner

python unfactor.py FF.pdf.vvv 3 3 3 53 67 937 3239067196433 11469834068452608160668945226664814237037201838369402173187393
(cette deuxième ligne n'est pas coupée, il faut tout mettre sur la même ligne)

Si ça ne fonctionne pas, joins un de tes fichiers cryptés dans le message.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 22 avr. 2016 22:46

Bonsoir,

Merci de votre aide.

Ca ne craint rien que vous receviez des fichiers infectés ? j'ai formaté l'ordi mais bon je crois devoir le refaire après vu que les fichiers sont infectés ?

Je ne peux vous envoyer le fichier, ça me dit extension .vvv non autorisé. Comment puis je vous l'envoyer autrement ?


J'obtiens le message suivant Traceback (most recent call last):
File "unfactor.py", line 131, in <module>
print(main(*sys.argv[1:]))
File "unfactor.py", line 123, in main
candidate_keys = unfactor_key_from_file(file, primes)
File "unfactor.py", line 100, in unfactor_key_from_file
with open(fpath, "rb") as f:
IOError: [Errno 2] No such file or directory: 'FF.pdf.vvv'


EDIT: J'ai renommé un ficher tesla.pdf.vvv que j'ai mis dans le dossier teslacrack , il me dit maintenant : Reconstruction failed! Factors don't divide AES pub
key!
Dernière édition par Il450 le 23 avr. 2016 08:54, édité 1 fois.

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 avr. 2016 08:41

Il450 a écrit : Ca ne craint rien que vous receviez des fichiers infectés ? j'ai formaté l'ordi mais bon je crois devoir le refaire après vu que les fichiers sont infectés ?

Je ne peux vous envoyer le fichier, ça me dit extension .vvv non autorisé
Ce sont juste des fichiers cryptés, ils ne contiennent pas de virus (enfin normalement).

Pour pouvoir envoyer un fichier, il faut d'abord le zipper.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 23 avr. 2016 08:55

Voilà j'en ai zippé un.

Je vous soumets l'origine possible de mon erreur. Pour factoriser la clé, en tâtonnant, ça ne marchait pas avec les fichiers pdf du coup j'ai mis des documents infectés dans le dossier teslacrack et ça m'a donné plusieurs AES key . C'est peut être pour ça que les factors ne marchent pas, car ça ne correspond pas au fichier pdf.vvv ?

Edit: J'ai refait python teslacrack.py, il me donne une clé aes pour le fichier.jpg.vvv mais pas pour le pdf.vvv. . Pourtant j'ai mis plusieurs pdf.vvv dans le dossier teslacrack.

édit 2Ce que j'observe en utilisant la commande python teslacrack.py, c'est qu'il décode les fichiers pdf.vvv que j'ai mis dans teslacrack et un fichier .pdf apparait . Mais dans l'invite de commande il ne me donne pas de clé aes pour ces fichiers.

in file: \\?\C:\Users\Sls\Desktop\TeslaCrack-master\tests\tesla_unknown_key2.p
df.ccc
2016-04-22 16:10:19,895:INF: File u'\\\\?\\C:\\Users\\Sls\\Desktop\\TeslaCrack-m
aster\\tests\\unreadable-CHMOD_IT.vvv' doesn't appear to be TeslaCrypted.
2016-04-22 16:10:19,905:INF: +++Unknown key(s) encountered: 4
AES: u'9B2A14529F5CEF649FD0330D15B4E59A9F60484DB5D044E44F757521850BC8E1DCDF
3CB770FEE0DD2B6A7742B99300ED02103027B742BC862110A1765A8B4FC6'
BTC: u'372AE820BBF2C3475E18F165F46772087EFFC7D378A3A4D10789AE7633EC09C74578
993A2A7104EBA577D229F935AF77C647F18E113647C25EF19CC7E4EE3C4C'
File: u'\\\\?\\C:\\Users\\Sls\\Desktop\\TeslaCrack-master\\tests\\tesla_key1
4.jpg.vvv'
AES: u'53531A20D6C67E44DF17B884450084152FA3F02B84B1451983D27B607C48322B41FE
8CFE7C6BC886668CAAAA46397414D6C0CB60A76164C81A617C6467340174'
BTC: u'751968C69F2E8C89067E035C53F713BEF4A49E0F923CB9EE2B9207472A17232AAC6C
C5EC9096D330F0280D2D5F204A77EC266F1752A85C27058A9345CEC53334'
File: u'\\\\?\\C:\\Users\\Sls\\Desktop\\TeslaCrack-master\\Acceptation et pr
omesse unilat\xe9rale APR.odt.vvv'
AES: u'7097DDB2E5DD08950D18C263A41FF5700E7F2A01874B20F4DDDDDDDDDDDDDDDDDDDD
DD6AF2642AE37BD64AB65B6426711A9DC44EA47FC220814E88009C90EA'
BTC: u''
File: u'\\\\?\\C:\\Users\\Sls\\Desktop\\TeslaCrack-master\\tests\\tesla_unkn
own_key2.pdf.ccc'
AES: u'7097DDB2E5DD08950D18C263A41FF5700E7F2A01874B20F4UUUUUUUUUUUUUUUUUUUU
UUUUUUUUUUUUUUUUUUUUUUUUUU711A9DC44EA47FC220814E88009C90EA'
BTC: u'E87B5578A94FAC67F7021384CBC64625DEA8B1C5608CACC66D711965E682B9EFAE1C
A639CE803D6B485BA0FB2AA56FEFF3C9B03C7C74C730AFDD631CACB516'
File: u'\\\\?\\C:\\Users\\Sls\\Desktop\\TeslaCrack-master\\tests\\tesla_unkn
own_key1.pdf.ccc'
Use `msieve` on AES-key(s), or `msieve` + `TeslaDecoder` on Bitcoin-key(s) to
crack them!
2016-04-22 16:10:19,953:INF: +++Dir 10
scanned: 75
noAccessDirs: 0
teslaExt: 58
badheader: 2
crypted: 56
decrypted: 7
skipped: 1
unknown: 47
failed: 1

overwritten: 0
badExisting: 1
deleted: 0

C:\Users\Sls\Desktop\TeslaCrack-master>


***factors found***

P1 = 3
P1 = 3
P1 = 3
P2 = 53
P2 = 67
P3 = 937
P13 = 3239067196433
P62 = 11469834068452608160668945226664814237037201838369402173187393
Pièces jointes
Acceptation et promesse unilatérale APR.odt.vvv.zip
(36.76 Kio) Téléchargé 25 fois


betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 avr. 2016 10:36

@Il450

D'après ce que vous affichez, vous avez des fichiers .ccc et des fichiers .vvv donc plusieurs infections.

Et les facteurs que vous donnez ne correspondent pas aux clés trouvées dans le fichier crypté envoyé. J'ai lancé le calcul pour le fichier, mais s'il y a plusieurs types d'infections, il doit y avoir aussi plusieurs séries de clés.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 23 avr. 2016 12:27

Merci bien pour votre aide !

J'ai regardé l'extension de mes fichiers infectés et ils ne le sont que par .vvv .

Les fichiers .ccc sont des fichiers test du dossier teslacrack .

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 avr. 2016 13:34

Il450 a écrit :Merci bien pour votre aide !

J'ai regardé l'extension de mes fichiers infectés et ils ne le sont que par .vvv .

Les fichiers .ccc sont des fichiers test du dossier teslacrack .
Ok, il vaudrait mieux supprimer le dossier "tests", ça éviterait des confusions.

Donc les clés qui sont à factoriser sont bien :

Code : Tout sélectionner

AES: 53531A20D6C67E44DF17B884450084152FA3F02B84B1451983D27B607C48322B41FE8CFE7C6BC886668CAAAA46397414D6C0CB60A76164C81A617C6467340174
BTC: 751968C69F2E8C89067E035C53F713BEF4A49E0F923CB9EE2B9207472A17232AAC6CC5EC9096D330F0280D2D5F204A77EC266F1752A85C27058A9345CEC53334
Ce sont celles que j'avais eues aussi (avec TeslaViewer) à partir de votre fichier crypté et dont j'ai lancé les calculs.
Ne reste plus qu'à attendre les résultats de la factorisation (à moins que quelqu'un d'autre ait un ordi plus rapide et puisse le faire de son côté).

Les deux clés en décimal :

AES : http://factordb.com/index.php?id=1100000000836175199

BTC : http://factordb.com/index.php?id=1100000000836175202
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 23 avr. 2016 18:49

D'accord merci encore de votre aide.

J'attends le résultat de votre opération car je n'ai pas l'ordi sur moi actuellement.

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 23 avr. 2016 20:32

Il450 a écrit :D'accord merci encore de votre aide.

J'attends le résultat de votre opération car je n'ai pas l'ordi sur moi actuellement.
Demain, ça devrait être bon.
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 23 avr. 2016 20:54

Merci beaucoup betacire, je vous souhaite une belle soirée.

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 24 avr. 2016 08:52

Il450 a écrit :Merci beaucoup betacire, je vous souhaite une belle soirée.
Bonjour,

C'est bon, voici la clé de décryptage pour vos fichiers :
605FD710FF674DB6E7AE7401C89D974217CD36A811A44D85A7E495BE516B861C

(la factorisation : http://factordb.com/index.php?id=1100000000836175199)

Pour décrypter les fichiers :
- télécharger TeslaDecoder ici : http://download.bleepingcomputer.com/Bl ... ecoder.zip
- le dézippper puis lancer TeslaDecoder.exe en mode administrateur (clic droit puis "Exécuter en tant qu'administrateur").
- cliquer sur le bouton "Set Key".
- dans le champ "Key (hex)", coller la clé privée :
605FD710FF674DB6E7AE7401C89D974217CD36A811A44D85A7E495BE516B861C
- dans le champ "Extension", choisir .vvv
- valider en cliquant sur le bouton "Set Key",
- choisir soit "Decrypt Folder" (pour un dossier), soit "Decrypt All" (pour tout).

Bon décryptage...
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

Il450
newbie
newbie
Messages : 8
Inscription : 22 avr. 2016 14:03

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Il450 » 24 avr. 2016 14:11

Bonjour Betacire, merci énormément vous me sauvez la vie.

J'ai envoyé la procédure à la personne, je vous tiens au courant de l'avancée du décodage.

Merci beaucoup et bon dimanche.

denton008
Messages : 3
Inscription : 15 mars 2016 10:51

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par denton008 » 01 mai 2016 14:40

Bonjour, je reviens vers vous au sujet des .micro ;(

En cherchant j'ai pas l'impression qu'il y a des nouvelles à ce sujet... Vous confirmez ?
Que dois-je faire de mes 8000 fichiers cryptés en .micro ?

Ps : le ransomware est supprimé sur le pc infecté.

betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 12:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire » 01 mai 2016 21:13

denton008 a écrit :Bonjour, je reviens vers vous au sujet des .micro ;(

En cherchant j'ai pas l'impression qu'il y a des nouvelles à ce sujet... Vous confirmez ?
Que dois-je faire de mes 8000 fichiers cryptés en .micro ?

Ps : le ransomware est supprimé sur le pc infecté.
Non, rien de neuf...
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;


Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités