Que faire lorsque Windows est infecté par TeslaCrypt ?

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
P.L.
Messages : 2
Inscription : 10 mars 2015 22:20

Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par P.L. » 10 mars 2015 22:24

Bonjour à tous,

Je travaillais tranquillement sur mes dossiers hyper importants pour mes réunions de fin de semaine quand soudain, un rançongiciel du nom de TelsaCrypt s'est déclaré.

J'ai un peu paniqué et j'ai alors fait les choses suivantes :

- J'ai lancé Roguekiller (qui n'a rien trouvé)
- J'ai lancé SpyHunter (Toujours en cours, il en est à 110 éléments infectés)
- j'ai fait des recherches sur ce malware (et les ransomware en général car je ne connaissais pas avant l'heure dernière ...) et je suis tombé sur mon cas : teslacrypt-ransomware-fichiers-extensio ... 53347.html

- Comment s'en débarasse-t-on ? Le lien vers le site que j'ai mis plus haut est-il fiable dans sa méthode ?
- Ai-je l'espoir un jour de retrouver mes fichiers de boulot sur lesquels je bossais et ainsi éviter d'avoir des soucis professionnels ? (Je sais, je rêve surement un peu ...)
- Ce problème risque-t-il d'avoir d'autres conséquences ?
- Et surtout, comment se fait-il que j'ai chopé ce truc ??!!

Merci d'avance à vous tous !

Bonne soirée,

P.L.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaque TeslaCrypt. Que faire ?

Message par Malekal_morte » 11 mars 2015 12:57

Salut,

Le site que tu mentionnes a pour but de te faire installer et acheter Spyhunter donc je l'ai retiré. Je veux bien un copier/coller ou une capture d'écran du message de TeslaCrypt.

~~

Tu as été infecté par un rançongiciel chiffreurs de fichiers.

Ces derniers vont essentiellement ]par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents, néanmoins, tente un logiciel de récupération de fichiers, peut-être les versions précédentes : windows-versions-precedentes-fichiers-t46739.html

Pour voir si l'ordinateur est encore infecté :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar- ... tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaque TeslaCrypt. Que faire ?

Message par Malekal_morte » 16 mars 2015 23:40

Une procédure TeslaCrypt sur supprimer-virus.com a été ajoutée.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Attaque TeslaCrypt. Que faire ?

Message par LaurentBQ » 15 janv. 2016 13:46

Bonjour,

Mes serveurs sous Windows sont infectés par TeslaCrypt.
Pouvez-vous m'aider. C'est assez urgent, merci.

Voici les lien avec les fichiers
http://pjjoint.malekal.com/files.php?id ... 15z9f12w66
http://pjjoint.malekal.com/files.php?id ... s15p9q8m57

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaque TeslaCrypt. Que faire ?

Message par Malekal_morte » 15 janv. 2016 13:55

Salut,

Le rapport est correct.
Windows 2003 n'est plus supporté depuis Juillet 2015. J'imagine que vous le savez déjà.

Ca semble être les restes d'une infection précédente :
S2 liazecm; C:\WINDOWS\system32\tjdtm.dll [X]
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Attaque TeslaCrypt. Que faire ?

Message par LaurentBQ » 15 janv. 2016 14:14

Merci beaucoup pour cette réponse super rapide

J'ai un deuxième serveur infecté.
http://pjjoint.malekal.com/files.php?id ... 0e14c9b5m5
http://pjjoint.malekal.com/files.php?id ... 10m12y13i8

C'est le fichier tjdtm.dll qu'il faut chercher dans le rapport ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Attaque TeslaCrypt. Que faire ?

Message par Malekal_morte » 15 janv. 2016 14:35

Le fichier tjdtm.dll ne doit plus être présent dans le système et n'a rien à voir avec TeslaCrypt.
Surement une ancienne infection ou mis par un programme (mais j'en doute).

Rapport correct, TeslaCrypt a peut-être infecté une station qui a ensuite chiffré les documents via le réseau.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Attaque TeslaCrypt. Que faire ?

Message par LaurentBQ » 15 janv. 2016 15:26

Merci encore
Plusieurs question
- La machine infecté source a-t-elle focément des fichiers en .ttt?
- Comment peut-on voir dans le rapport si il y a infection?
- J'ai 6 ordi avec des fichier .ttt? Je peux vosu les envoyer ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par Malekal_morte » 15 janv. 2016 15:28

Pour la première question, j'ai déjà répondu dans mon message précédent.
Tu peux envoyer 6 FRST.TXT si tu veux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par LaurentBQ » 15 janv. 2016 15:56

Merci encore. Sur le serveur, on peut pas savoir quelle machine ?
Déjà deux fichiers. C'est la première machine qui a été infectée si on regarde la date des fichiers.
Juste avant, les premiers fichiers, il a été créé un Prefetch commençant par 1.TMP.EXE

http://pjjoint.malekal.com/files.php?id ... 11q11t15y9
http://pjjoint.malekal.com/files.php?id ... u13b15j5c5

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par Malekal_morte » 15 janv. 2016 16:01

Je confirme.

Tu peux envoyer C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe sur http://upload.malekal.com

puis :


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :



HKU\S-1-5-21-1446360332-2538412549-2908371726-1148\...\Run: [meryHmas] => C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe [339456 2016-01-15] ()
C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par LaurentBQ » 15 janv. 2016 22:05

Bonsoir,
On a débranché la machine du réseau, remis les sauvegardes et nettoyé les machines.
Plus de propagation sur les autres machines et serveurs.
J'ai posté le fichier .exe comme tu me l'as demandé.

Deux petites questions
- Il y a un moyen de décrypter les fichiers .ttt ?
- Comment se fait-il que les antivirus ne l'ai pas bloqué?

Remerciements très sincères

-------------------------------------------
Voici le contenu du fichier Fixlog.txt

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:10-01-2015 01
Exécuté par DOCPOL1 (2016-01-15 20:59:16) Run:1
Exécuté depuis C:\Documents and Settings\DocPol1\Bureau
Profils chargés: DOCPOL1 &  (Profils disponibles: DOCPOL1 & EnPlus2 & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
HKU\S-1-5-21-1446360332-2538412549-2908371726-1148\...\Run: [meryHmas] => C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe [339456 2016-01-15] ()
C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe

*****************

HKU\S-1-5-21-1446360332-2538412549-2908371726-1148\Software\Microsoft\Windows\CurrentVersion\Run\\meryHmas => valeur supprimé(es) avec succès
C:\Documents and Settings\DocPol1\Application Data\vfavwhe45.exe => déplacé(es) avec succès

==== Fin de Fixlog 20:59:17 ====

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par Malekal_morte » 16 janv. 2016 01:52

Non il n'y a pas de moyen pour le moment de récupérer les fichiers .ttt
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

LaurentBQ
newbie
newbie
Messages : 6
Inscription : 15 janv. 2016 13:40

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par LaurentBQ » 16 janv. 2016 12:23

Ok
Comment peut-on vous remercier? Vous aider à continuer à nous aider?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Que faire lorsque Windows est infecté par TeslaCrypt ?

Message par Malekal_morte » 16 janv. 2016 13:26

Fais connaitre le site, cela sera suffisant! merci PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 22 invités