Documents .ezz et RakhniDecryptor de Kapersky

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Documents .ezz et RakhniDecryptor de Kapersky

Message par byebye » 13 mai 2015 10:05

Bonjour à tous.

Apparemment ce logiciel de Kapersky prend en charge les fichiers .ezz et bien d'autres....

Seulement quand j'essaie de récupérer mes fichiers perdus il me demande un mot de passe que je n'ai pas.

J'ai bien celui que j'ai récupéré via Tesla Decryptor de Cisco mais est ce le même et surtout où l'insérer dans ce logiciel pour qu'il puisse décoder mes fichiers.

D'avance mille mercis pour votre aide.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 13 mai 2015 10:46

Salut,

Les documents ont été certainement chiffrés par Alpha Crypt, si c'est récent.

RakhniDecryptor, c'est pour le ransomware Rakhni, ce n'est pas du tout le même malware.
Tesla Decryptor de Cisco vise le Ransomware Tesla, c'est la même famille que Alpha Crypt, sauf que c'est la génération d'avant, où les auteurs de malwares se sont plantés sur la méthode de chiffra et ont utilisé un chiffra symétrique.

http://blogs.cisco.com/security/talos/teslacrypt
The pop up window displays misleading information: the encryption method is a symmetric AES, and not an asymmetric RSA-2048 as stated by TeslaCrypt in the screenshot above. As proof that TeslaCrypt is truly using symmetric AES and not asymmetric RSA, we provide for a decryption utility capable of decrypting all the files encrypted by this ransomware (provided you have the master key).
Cisco a sorti un outil pour déchiffrer les documents, les auteurs de malware ont ensuite sorti une nouvelle version du ransomware (Alpha Crypt) avec certainement une méthode de chiffrage revue.
Donc l'outil de Cisco ne fonctionne certainement plus dessus.

Reste à voir si les auteurs du malware se sont à nouveau planté.

Cela arrive régulièrement, d'où les divers outils disponibles pour récupérer les fichiers, voir les explications dans le dossier Ransomware chiffreurs de fichiers.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par byebye » 13 mai 2015 10:56

Salut Malekal

Ce qui est étrange c'est que quand on déroule les types de fichiers supportés par RakhniDecryptor les .ezz sont bien listés.......

Donc cet outil été prévu pour les décrypter quand même....

Quant au mot de passe demandé c'est le flou artistique.

Pour info une personne intervenant sur le blog de Cisco est parvenu a décrypter ses fichiers contaminés.

Comment a t il pu le faire? Mystère......

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 13 mai 2015 11:03

Peut-être que Rakhni est la famille de Kaspersky pour TeslaCrypt.
C'est difficile de suivre les noms donnés aux malwares par les antivirus.
Si c'est le cas, ils suivent la même méthode que le programme Cisco.

L'extension .ezz - ça ne veut rien dire.
Tesla et Alpha l'utilise, tu ne sais pas avec l'extension par quelle variante, le chiffrement des fichiers a été effectué.
Tout dépend de la date, si c'est fin Avril, c'est Tesla, si c'est récent, c'est Alpha.

Suite à la sortie d'outils pour déchiffrer, les auteurs de malwares ont sorti une version corrigée.
Le but c'est que vous ne soyez pas capable de déchiffrer les documents, sinon vous n'êtes pas enclin à payer (ça leur fait perdre de l'argent).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par byebye » 13 mai 2015 11:07

Salut Malekal
Je suis les différents blogs sur le sujet et je ne désespère pas qu'un génie de l'informatique trouve un outil pour résoudre mon problème.
Je garde ce disque dur au chaud en attendant la (bonne) nouvelle.
Merci pour tes réponses éclairantes.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 13 mai 2015 13:10

S'ils n'ont pas fait d'erreur de code comme auparavant, faut pas trop se faire d'illusion.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

skynet
newbie
newbie
Messages : 6
Inscription : 14 mai 2015 12:20

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par skynet » 14 mai 2015 12:28

Bonjour,

Je relance le débat. En effet mon client à été infecter par AlphaCrypt, à savoir plusieurs pc (cabinet dentaire), il sait propager via le réseau local, j'ai pu récupérer ses documents via la restauration de fichier, à part un seul pc (le plus important, car pc comptabilité), ce pc n'avais pas de point de restauration de fichier ... Ces antivirus ces du MSE (je vais lui mettre KAV)

J'ai testé TeslaDecrypt, mais il fonctionne pas, voir lien de ma capture d'écran.
http://hpics.li/2279f3e

Que faire ? Car tout ces document sont crypter et renommer en .ezz

Pourtant il à l'air de fonctionner chez d'autre :
http://www.bleepingcomputer.com/forums/ ... eslacrypt/

Merci.
Skynet

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 14 mai 2015 14:23

no key.dat found.

Le tool n'a pas trouvé le fichier key.dat qui doit contenir la clef, c'est pour cela que la récupération des fichiers n'est pas possible.

Vous avez essayé les versions précédentes de Windows, des fois que ce malware ne supprime pas les Shadow Copies.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

skynet
newbie
newbie
Messages : 6
Inscription : 14 mai 2015 12:20

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par skynet » 14 mai 2015 15:35

J'ai trouvé là réponse à mon interrogation, il faut obligatoirement une machine infectée pour pouvoir tester l'utilitaire, là j'ai testé sur ma machine (pas infectée) pour savoir comment fonctionne le soft avant l'intervention chez mon client.

Donc, une fois l'utilitaire lancer sur la machine infecter, ou faut t-il chercher les fichier dans windows ? key.dat et storage.bin

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 14 mai 2015 16:11

Sur une VM, ça ne fonctionne pas.
Il dit que le fichier key.dat ne contient pas la master key.

Avec le programme Kaspersky, j'ai "Cannot recover password".
TeslaCrypt.png
TeslaCrypt

Ca me paraît vraiment peu probable que ça continue de fonctionner s'ils sortent une nouvelle version.
Chez moi le fichier key.dat ne contient que :
1JLfGhr9ZJdWBbx39L3vzUS5PDhLxiPCXA
Ca ne correspond pas vraiment au contenu donner dans l'entrée du blog Cisco.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par byebye » 14 mai 2015 16:27

Bonjour à tous.

Au début de la découverte de l'infection du PC j'avais passé l'outil de Kaspersky qui avait trouvé une clef à partir du Key.dat.....

Il y avait même marqué "success".

Cette clef je l'ai toujours en stock mais comment l'incorporer dans un logiciel pour retrouver mes fichiers?

Je ne désespère pas ...mais ça devient un peu long:)

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par ѠOOT » 14 mai 2015 17:40

Bonjour,

Depuis Windows, menu Démarrer → Exécuter → saisir cmd.exe puis OK.
Pour indiquer manuellement la "key.dat", saisir la commande suivante:
TeslaDecrypter.exe /keyfile:"z:\key.dat" /file:"z:\test.txt.ecc"

Simple exemple donc adaptez suivant l'emplacement.
conseil: utilisez une copie d'un de vos fichiers chiffrés,
conservez bien l'original car ce fichier sera ré-écrit.

Si le déchiffrage s'avère correct, vous obtiendrez:
Decrypting file "test.txt.ecc"... Success!

Dans le cas où vous auriez le message d'erreur suivant:
Error! Unable to import the TeslaCrypt master key!
Dernière édition par ѠOOT le 14 mai 2015 18:25, édité 3 fois.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

skynet
newbie
newbie
Messages : 6
Inscription : 14 mai 2015 12:20

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par skynet » 14 mai 2015 17:43

Je vois je vois, je testerais ça la semaine prochaine quand je serais chez mon client (ou en prise en main), en tout cas merci pour les info PDT_018

Dernière question, il a beaucoup de document en .ezz, est-ce l'utilitaire peux décrypter tout les documents d'un seul coup ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par Malekal_morte » 14 mai 2015 17:50

Ca ne fonctionne pas avec un sample récent.
Je pense vraiment que le fichier key.dat ne contient pas ce que l'outil attend car il a changé entre Tesla et Alpha Cryptor.
AlphaCryptor_decryptor.png
AlphaCryptor Déchiffrage
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Documents .ezz et RakhniDecryptor de Kapersky

Message par ѠOOT » 14 mai 2015 17:59

Bonjour,

@Malekal : Transfert sur MDB l'échantillon et indique moi le hash s'il te plait que je te confirme. Dans les cas auxquels j'ai été confronté dernièrement l'outil ne fonctionne pas en l'exécutant ( par défaut ) mais fonctionne en spécifiant la master-key.

@skynet: Les options sont claires à ce sujet.

/key - Manually specify the master key for decryption (32 bytes/64 digits)
/keyfile - Specify the "key.dat" file used to recover the master key.
/file - Decrypt an encrypted file
/dir - Decrypt all ".ecc" files in the target directory and its subdirector
/scanEntirePc - Decrypt all ".ecc" files on your computer
/KeepOriginal - Keep original file(s) through the decryption process
/deleteTeslaCrypt - Automatically kill and delete the TeslaCrypt dropper[/color]


Je préconise toutefois la plus grande prudence. Faites d'abord un test sur un fichier seul et sur une copie, conservez bien l'original. Si ça fonctionne, utilisez scanEntirePc avec KeepOriginal.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Alderick, Bing [Bot], Moustik*07 et 1 invité